Die Anzahl der Unternehmen, die von Hackerangriffen betroffen sind, steigt stetig an. Das Technologieunternehmen Microsoft, Handwerkskammer Koblenz und auch der Rüstungskonzern Rheinmetall waren in den letzten Monaten Opfer von Cyberangriffen. Und das sind keine Einzelfälle: In Deutschland waren 2023 sieben von zehn Unternehmen von einem Hacker-Angriff betroffen. Und das ist nur ein kleiner Ausschnitt.

Das zeigt: „Ich bin zu klein“ oder „Ich bin zu uninteressant“ sind Sätze, die für Hackerangriffe nicht mehr gelten. Cyberrisiken betreffen jedes Unternehmen, dass mit Kundendaten hantiert. Somit ist fast jeder Betrieb in der einen oder anderen Form von diesem Risiko betroffen.

Cyberrisiken sind längst nicht mehr diffus und schwer zu fassen – im Gegenteil. Sie haben reale Konsequenzen. Allein im vergangenen Jahr beliefen sich die Schäden deutschlandweit auf rund 205,9 Milliarden Euro. Umso wichtiger ist es für Unternehmen, sich optimal abzusichern. In diesem Beitrag erklären wir, warum Cyberversicherungen wichtig sind und was Unternehmen im Schadenfall tun müssen.  

• Mit einer Cyberversicherung schützen Unternehmen sich und ihre Belegschaft gegen die Schäden, die durch Cyberangriffe entstehen.
• Der Schutz einer Versicherung gegen Cyberkriminalität umfasst nicht nur die Deckung von Vermögensschäden, sondern auch präventive Hilfsmaßnahmen und Services.
• Cyberversicherungen sind in der Regel nach einem Baukastenprinzip aufgebaut, sodass sich Unternehmen die für sie wichtigsten Aspekte heraussuchen können.
• Cyberkriminalität ist kein Randphänomen mehr. Davon sind die gesamte Wirtschaft sowie Behörden, staatliche Einrichtungen, kritische Infrastruktur, NGOs oder Regierungen betroffen.

Eine Cyberversicherung schützt Unternehmen und ihre Mitarbeitenden gegen Cyberangriffe oder Internetkriminalität. Das bedeutet: Eine Versicherung übernimmt die Schadenskosten aus Fremd- und Eigenschäden und bietet präventive Hilfsmaßnahmen an.

Da sich jeder im Internet bewegt, gibt es Cyberversicherungen sowohl im beruflichen als auch privaten Kontext. Man spricht auch von Cyberschutz, Data-Risk, Datenschutz-, Hacker-, oder Datenträgerversicherung.

Die meisten Versicherer bieten Cyberversicherungen nach unterschiedlichen Baukastensystemen, sodass Unternehmen den Schutz an ihre individuellen Bedürfnisse anpassen können. Versicherbar sind daher beispielsweise folgende Fälle und Szenarien:

• Cyber- und Daten-Eigenschaden
• Cyber-Haftpflicht
• Cyber-Betriebsunterbrechung
• Cyber-Erpressung
• Cyber-Kreditkartenschaden
• Cyber-Vertrauensschaden
• Cyber-Diebstahl
• Cyber-Betrug
• Cyber-Spionage

Mehr als 136.000 erfasste Fälle in Deutschland und ein weltweiter Anstieg von 8 Prozent – laut Bundeskriminalamt ist das die Bilanz von Cyberangriffen im Jahr 2022.

Besonders im Fokus: Unternehmen. Der Branchenverband BITKOM hat in einer Studie ermittelt, dass im vergangenen Jahr acht von zehn deutschen Unternehmen häufiger von Cyberangriffen betroffen waren und sich die Mehrheit der Firmen durch Cyberattacken in ihrer Existenz bedroht fühlt.

Dabei belief sich die Schadenssumme durch Wirtschaftskriminalität im Jahr 2023 auf rund 205,9 Milliarden Euro – davon sind 148,2 Milliarden Euro durch Cyberattacken entstanden.

Fallen Betriebe einer Cyberattacke zum Opfer, hat das teils gravierende Folgen:

• in Produktionen stehen die Straßen still,
• Krankenhäuser haben keinen Zugriff auf Patientendaten,
• Onlinedienste sind zeitweise nicht mehr verfügbar
• Mitarbeitende nicht arbeitsfähig, weil sie keinen Zugriff mehr auf die Firmensysteme haben,
• Kundendaten gehen verloren und
• in extremen Fällen drohen Betriebsunterbrechungen, insbesondere dann, wenn die Abhängigkeit von funktionierenden IT-Systemen groß ist.

Wie abhängig ein Unternehmen von seiner IT-Infrastruktur ist, liegt dabei nicht unbedingt in seiner Größe, sondern eher in Prozessen und Strukturen sowie Geschäftsmodell begründet. Zudem dauert es bei über der Hälfte der Betroffenen bis zu drei Tage, bis die Systeme wieder laufen. Bei mehr als einem Fünftel sogar noch länger.

Der Blick auf diese Zahlen zeigt: Cyberattacken sind ein reales Risiko, das immer wahrscheinlicher wird und von Jahr zu Jahr zunimmt. Wenngleich viele Firmen um dieses Risiko wissen, schätzen sie die Gefahr für sich selbst als eher gering ein: zu klein, zu uninteressant und bisher noch nie Opfer gewesen, so der gefährliche Irrglaube. Doch gerade kleine und mittelständische Unternehmen sind von Cyberattacken betroffen. Denn hier bestehen noch wenige Schutzmechanismen.

Die guten Nachrichten: Unternehmen können sich vor Cyber-Schäden schützen. Nicht nur mit einer leistungsfähigen IT-Sicherheitsstruktur und Mitarbeiterschulungen, sondern auch mit Cyberversicherungen.

Eine Cyberversicherung lohnt sich für jedes Unternehmen, das Computer- und IT-Systeme nutzt und Daten jeglicher Art speichert. Das bedeutet: Für nahezu jeden Betrieb, unabhängig von seiner Größe, ist eine Cyberversicherung sinnvoll.

Zwar ist eine solche Versicherung kein Ersatz für ein starkes IT-Sicherheitssystem und sensibilisierte Mitarbeiter, allerdings hilft sie im Falle von Cyberattacken dabei, zügig kompetente Hilfe und Unterstützung zu bekommen. Ein weiteres Plus: Viele Versicherer bieten präventive Maßnahmen an – diese reichen von Beratung und Krisenplänen bis hin zu finanzieller Unterstützung bei Sicherheitsverbesserungen.

Denn analog zu den eigenen technischen Systemen entwickeln sich auch die Möglichkeiten von Cyberkriminellen schnell und dynamisch weiter. Im Bereich Cyberkriminalität ist daher Vorsicht besser als Nachsicht.

Tipp: Beim Abschluss einer Cyberversicherung sollte ein besonderes Augenmerk daraufgelegt werden, ob der Tarif eine Leistungsupdate-Garantie beinhaltet.

Phishing

Die Buchhaltung stellt fest, dass ein Betrag von 10.000 Euro abgebucht wurde. Nach einer kurzen Umfrage unter den Kollegen kommt heraus, dass einer der Mitarbeitenden eine Mail des Geldinstituts erhalten hat. In dieser Mail wurde er dazu aufgefordert, die im Onlinebanking-System der Bank hinterlegten Daten zu prüfen. Pflichtbewusst kam er dieser Aufforderung nach und hat auf der Website die Login-Daten eingegeben. Damit hat er die Daten jedoch unbewusst an Betrüger übermittelt.

Virus

Ein Mitarbeitender öffnet den Anhang einer E-Mail, die vermeintlich von einem Kollegen kommt. Die Folge: Ein Schadprogramm dringt in die IT-Systeme ein und löscht verschiedene wichtige Dateien. IT-Experten müssen nun das Schadprogramm identifizieren, die IT-Systeme bereinigen und die gelöschten Daten aufwendig wiederherstellen. Zusätzlich müssen Mitarbeitenden die seit dem letzten Back-up eingegebenen Daten manuell nachtragen.

Datenverlust

Im Zug, unterwegs zum Kunden. Ein Mitarbeitender eines Dienstleistungsunternehmens verliert seinen Laptop auf einer Dienstreise. Darauf gespeichert: diverse Kundendaten. Daraufhin muss das Unternehmen alle Kunden über den Datenverlust informieren. Nach kurzer Zeit melden erste betroffene Kunden Schadensersatzansprüche an, weil ihre Daten missbräuchlich genutzt wurden.

Cyber-Erpressung

Während einer Internetrecherche folgt ein Mitarbeitender einem Link. Durch diesen Klick wird im Hintergrund ein Krypto-Trojaner heruntergeladen, der alle Daten des Unternehmens verschlüsselt. Der Mitarbeitende erhält dann die Nachricht, dass gegen Zahlung eines namhaften Betrages in Bitcoins ein Decodierschlüssel zur Verfügung gestellt wird. In der Folge bedarf es mehrerer IT-Spezialisten, die die Situation analysieren und den Krypto-Trojaner entfernen. Die Daten werden, soweit möglich, decodiert oder durch die vorhandenen Back-ups wieder eingespielt.

Die Einfallstore für Cyberangriffe sind sehr unterschiedlich, dementsprechend gibt es auch verschiedene Versicherungsfälle. Diese unterscheiden sich je nach Schadensfall. Laut GDV erfolgen zwei Drittel aller erfolgreichen Cyberangriffe via E-Mail, gefolgt von klassischen Hackerangriffen, die rund ein Drittel ausmachen.

Ein nicht zu unterschätzender Faktor ist der Mensch (Social Engineering) über den der Zugriff auf Netzwerke und Systeme von Unternehmen gelingt. Zu den etablierten Versicherungsfällen gehören:

• Netzwerksicherheitsverletzung
• Identitätsdiebstahl
• Datenrechtsverletzung
• Bedienfehler
• Cyber-Erpressung
• Rechtsverletzung durch Marketing oder Werbung
• Veränderung der Website des Versicherungsnehmers
• Unbefugter Zugriff auf Daten
• DDoS-Angriff (zielgerichteter Angriff auf IT-Systeme, bei denen das System mit Anfragen überflutet wird, sodass die Serverkapazitäten nicht ausreichen und der Dienst nicht mehr erreichbar ist)

Je nach Tarif und Versicherer unterscheiden sich die Kosten für eine Cyberversicherung. Dennoch gibt es über verschiedene Tarife hinweg einige Konstanten, etwa die Selbstbeteiligung, die Versicherungssumme (VSU), den Versicherungsumfang und die Vertragslaufzeit.

Je nach Kundensituation ist die Versicherungssumme unterschiedlich hoch anzusetzen: Unternehmen, die etwa mit sensiblen Kundendaten umgehen, sollten eine höhere Versicherungssumme wählen als Unternehmen, die keine sensiblen Daten verarbeiten.

Weitere Anhaltspunkte, um die Höhe der Versicherungssumme zu bestimmen, sind zudem die Kosten für die Wiederherstellung der IT-Systeme, die Anzahl der gespeicherten Kundendaten, die Menge an sensiblen und nicht-sensiblen Daten oder auch die Anzahl der gespeicherten Bankkarten/Kreditkartendaten. Auch Vergleichsrechner können eine Hilfe bei der Bestimmung einer Versicherungssumme sein.

Tipp: Die Versicherungssumme sollte stets vom Unternehmen geliefert werden. Anderenfalls entstehen mitunter Haftungsansprüche.

Jeder Versicherer definiert unterschiedliche Mindestvoraussetzungen, die ein Versicherungsnehmer zu erfüllen hat. Je nach Tarif und Konzept können diese Voraussetzungen demzufolge verschieden sein. Einige Versicherer verlangen beispielsweise, dass Unternehmen wöchentlich eine umfassende Datensicherung durchführen.

Zudem soll dieses „Backup“ physisch getrennt von den Originaldaten aufbewahrt werden. Eine andere Anforderung: Das Unternehmen muss Software verwenden, die mit regelmäßigen Updates von den Herstellern versorgt wird. Das bedeutet im Umkehrschluss: Risiken, die zustande kommen, weil die Software veraltet ist und daher Sicherheitslücken aufweist, sind im Schadensfall nicht versichert.

Weitere dieser Anforderungen sind:

• Einsatz von Virenschutzmaßnahmen
• Einsatz von Firewalls und VPN-Zugängen
• Sicherungsmaßnahmen bei WLAN
• Verschlüsselter Datenversand
• Passwortgeschützte Zugänge für alle Nutzer sowie ggf. spezifische Komplexitätsgrade und turnusmäßige Wechsel von Passwörtern
• Schutz vor Schadsoftware
• Regelmäßige Sicherheitsupdates
• Einhaltung von gesetzlichen, behördlichen sowie vertraglichen Sicherheitsvorschriften
• PCI-Standards
• Verwendung von vom Hersteller unterstützten Programme

Die meisten Tarife arbeiten mit einem Baukastensystem. Prinzipiell ist es also möglich, gewisse Risiken bewusst nicht abzusichern oder einen All-in-One-Ansatz zu wählen. Dennoch gibt es – wie bei jeder anderen Versicherung auch – gewisse Ausschlüsse. Dazu gehören:

• Infrastrukturstörungen (z. B. bei der Strom-, Wasser-, oder Internetversorgung.)
• Erfüllungsansprüche
• Kriegsereignisse, Generalstreik, Kernenergie
• Terror
• Glücksspiel, Online-Gaming und Gambling
• Vertragsstrafen
• Paten- und Kartellrechtsverletzungen
• Hoheitliche Eingriffe
• Bereits eingetretene Versicherungsfälle
• Höhere Gewalt
• Rückrufkosten
• Illegale Software
• Verlust von Geld in virtuellen Währungen wie Bitcoins, Ethereum, etc.

Gleichzeitig gibt es verschiedene Zusatzbausteine, deren Ergänzung durchaus sinnvoll sein kann. Denn eine Cyberversicherung deckt lediglich die grundlegenden Fremd- und Eigenschäden, die aus Cyberkriminalität resultieren, ab.

Was aus den Sach- und Haftpflichtsparten bereits bekannt, gilt auch bei Cyberversicherungen: Vorsorge ist wichtig. Deshalb haben viele Unternehmen umfangreiche Konzepte entwickelt, um Cyberrisiken vorzubeugen.

Auch Versicherer unterstützen bei präventiven Maßnahmen, sodass Unternehmen ein breites Portfolio an präventiven Abwehrmechanismen zur Verfügung steht. Dieses wird getragen von drei Säulen: der IT-Sicherheit, dem passenden Mindset und der Krisenvorbereitung.

• IT-Sicherheit: Unternehmen sind gut beraten, wenn sie ein ganzheitlich gedachtes Sicherheitskonzept entwickeln. Dieses sollte Back-ups, Firewalls und Viren- bzw. Spam Scanner oder auch sich verändernde Passwörter und Monitoring- und Alarmsysteme enthalten. Dabei sollten auch branchenübliche Risiken bedacht werden. Hilfreich sind zudem regelmäßige Tests zu Datenschutz und Cybersicherheit sowie diverse Checklisten. Wichtig ist zudem, bestehende Konzepte kontinuierlich zu überprüfen.
• Mindset: Zentral ist es, die Mitarbeitenden für Cyberrisiken zu sensibilisieren. Dies gelingt vor allem mit Schulungen und Trainings, etwa zur Passwortvergabe (z. B. via Passwortgenerator oder Zwei-Faktor-Authentifizierung), zu Social Engineering oder Phishing oder generell zum Thema IT-Sicherheit. Auch konkrete Handlungsempfehlungen können helfen.
• Krisenvorbereitung: Zur Vorbereitung des Schadensfalles sind auch Krisenpläne sinnvoll. Sie definieren unter anderem, in welchen Fällen welche Schritte einzuleiten und welche Personen und Stellen zu informieren sind. Auch hier ist eine regelmäßige Überprüfung der Pläne zu empfehlen.

Bei Cyberversicherungen gibt es abweichend zu den üblichen Versicherungsfällen einige Besonderheiten. Beispielsweise leisten viele Versicherer bereits bei vermuteten Schadensfällen. Vor dem Hintergrund, dass Schadensfälle in diesem Bereich oftmals nicht offensichtlich sind, ist dies für viele Unternehmen besonders wichtig.

Dennoch: Bevor der Fall von der Versicherung bearbeitet wird, müssen Unternehmen einige vorgelagerte Schritte unternehmen.

• Im Moment des Angriffs: Die Netzwerkverbindung des infizierten Rechners ist unverzüglich zu trennen und das betroffene Gerät umgehend auszuschalten. Die Back-ups sind, sofern nicht bereits erledigt, zu isolieren. Daten, die Auskunft über die Attacke geben, sollten gesichert werden. Zudem ist es ratsam alle Nutzer- und Netzwerkpasswörter sofort zu ändern.
• Unmittelbar nach dem Angriff: Die erste Notfall- und Krisenunterstützung leisten i.d.R. nicht die Versicherer, sondern spezialisierte IT-Dienstleister. Der erste Schritt sollte daher immer sein, die Notfall-Hotline zu kontaktieren. Dort bekommen Unternehmen eine erste Einschätzung zur Lage sowie konkreten Support. Parallel dazu kann es sinnvoll sein, IT-Forensiker, Rechtsanwälte oder PR-Sachverständige einzuschalten. Außerdem gilt: Anzeige bei der Polizei erstatten.
• Nach einem Angriff: Nachdem Unternehmen Opfer eines Cyberangriffs geworden sind, sollten sie unbedingt in ihre IT-Sicherheit investieren. Denn so kann im Idealfall eine zweite Attacke verhindert werden.

Neben den bereits genannten Schadensfällen (Cyber-Erpressung, Phishing, Virus und Datenverlust) können Unternehmen auch auf anderen Wegen von einem Cyberangriff betroffen sein. Dazu gehören:

Datenmanipulation

Hacker haben das E-Mail-System eines Betriebs manipuliert. Aus dem System werden nun elektronische Rechnungen versendet, die mit falschen Bankverbindungen arbeiten. Dadurch wurden Zahlungen der Kunden auf ein anderes Konto gelenkt.

Die Konsequenzen:

• Finanzieller Schaden aufgrund der falschen Rechnungsadresse
• Möglicher Vertrauensverlust bei Kunden
• Zusätzlicher IT-Aufwand, um Sicherheitslücken zu identifizieren und zu beheben
• Zusätzlicher weiterer Datenmissbrauch möglich

Datendiebstahl

Ein Hacker hat Sicherheitslücken bei einer elektronischen Datenbank, die Kundendaten speichert, sowie beim Server, auf dem diese Datenbank gespeichert ist, gefunden. Diese Lücken nutzt er aus, um das System mit einer Schadsoftware zu infizieren. Auf diese Weise gelangt der Hacker an hunderte Kundendatensätze, die auch persönliche Informationen ebenso wie Kreditkartendaten enthalten.

Die Konsequenzen:

• Finanzieller Schaden aufgrund der falschen Rechnungsadresse
• Möglicher Vertrauensverlust bei Kunden
• Zusätzlicher IT-Aufwand, um Sicherheitslücken zu identifizieren und zu beheben

Bedienfehler

Ein neuer Mitarbeiter fängt an. Im Zuge der Einarbeitung setzt er sich mit den unterschiedlichen Systemen und Tools seines neuen Arbeitgebers auseinander. Dabei löscht er versehentlich eine Datenbank, von der kein aktuelles Back-up vorliegt.

Die Konsequenzen:

• Einsatz teurer IT-Spezialisten, um zu prüfen, ob die Daten wiederhergestellt werden können
• Gegebenenfalls zusätzlicher Aufwand durch manuelle Wieder-Eingabe der gelöschten Daten
• Zusätzliche wirtschaftliche Folgen, falls die Daten komplett verloren gehen
• Vertrauensverlust nach außen, falls es sich um personenbezogene Daten handelt.
• Betriebseinschränkungen für den Zeitraum des Datenverlustes, falls es sich bei den Daten um für den Betrieb notwendige Daten handelt

DDOS-Attacke

Ein Online-Shop wird durch einen Distributed-Denial-of-Service-Angriff lahmgelegt. Ein DDOS-Angriff liegt vor, wenn ein angefragter Dienst nicht mehr bzw. nur noch stark eingeschränkt verfügbar ist. Auslöser ist in den meisten Fällen eine mutwillig herbeigeführte Überlastung der IT-Infrastruktur. Der Angriff auf den Online-Shop blockiert den Server für einige Tage, was zu einem Warenumsatzeinbruch führt.

Die Konsequenzen:

• Wirtschaftliche Schäden: Wenige Minuten Offline sein, kann schnell einen Schaden von mehreren Tausend Euro bedeuten. Grund dafür können bspw. entgangene Gewinne oder verpuffte Marketingbudgets sein.
• Imageschäden: Ein DDoS-Angriff kann langfristige Schäden in Bezug auf Reputation mit sich bringen und das Vertrauen der Kunden mindern.

Social Engineering

Der Telekomtechniker ruft einen Mitarbeiter des Unternehmens an und erklärt, dass er die Voice-over-IP-Anlage überprüfen muss. Herr Müller aus dem Vorstand hätte Ihn damit beauftragt. Für die Überprüfung der Anlage sind Änderungen von Einstellungen auf dem PC notwendig. Um diese Anpassung vorzunehmen, bittet der Telekomtechniker den Mitarbeiter den Zugriff auf den PC freizugeben und kann somit die Pläne eines noch geheimen Prototypen kopieren.

Die Konsequenzen:

• Wirtschaftliche Folgen, da Dritte auf den langjährig geplanten Prototypen Zugriff erhalten

Cyberversicherungen sind für jedes Unternehmen von Relevanz. Hacker unterscheiden nicht zwischen kleinem und mittleren Unternehmen oder einem Konzern – das zeigen die Fälle der vergangenen Monate deutlich.

Für Betriebe bedeutet das, nicht nur die entsprechenden Schutzmechanismen bei der IT-Sicherheit der eigenen Infrastruktur zu etablieren und die Belegschaft auf die Gefahren einer Cyberattacke hin zu sensibilisieren. Es gilt auch, sich mit einer Cyberversicherung zu schützen.

Die Digitalisierung und die zunehmende Dezentralisierung von Arbeitsplätzen (Home Office und Remote Work) erhöhen für Unternehmen das Risiko von Cyberangriffen. Insbesondere durch die Corona-Pandemie stiegen die Gefahren solcher Attacken. Viele Unternehmen waren und sind dafür nicht gewappnet.