Ob ein harmlos wirkender E-Mail-Anhang, ein zu einfach gewähltes Passwort oder ein infizierter USB-Stick: Im Unternehmensalltag bieten sich für Hacker zahlreiche Einfallstore für einen möglichen Cyberangriff. Insgesamt wurden im vergangenen Jahr neun von zehn Unternehmen Opfer einer solchen Attacke – Tendenz steigend. Denn besonders die Arbeit im Home-Office bietet Kriminellen eine enorme Angriffsfläche. In vielen Unternehmen fehlt es hier an ausreichenden technischen Sicherheitsvorkehrungen und klaren Richtlinien zum Schutz vor digitalen Bedrohungen.
Ein einziger Vorfall kann hier insbesondere für kleinere Betriebe schnell das finanzielle Aus bedeuten. Angesichts der steigenden Bedrohung ist es deshalb wenig verwunderlich, dass der Bedarf an Cyberversicherungen immer weiter zunimmt. Mittlerweile gibt es in Deutschland eine Vielzahl an verschiedenen Versicherern, mit denen sich all jene Schäden absichern lassen, die in Zusammenhang mit der Internetnutzung entstehen können. Darunter fällt beispielsweise auch die Rettung von Geschäftsdaten infolge eines Cyberangriffs.
Welche Leistungen werden standardmäßig übernommen?
Wie bei allen anderen Arten von Versicherungen gilt allerdings auch hier: Je nach Anbieter und Tarif können die enthaltenen Leistungen erheblich schwanken. Gleiches ist bei den Kosten der Fall, diese sind in der Regel von der Selbstbeteiligung (sofern enthalten), der Risikobewertung sowie möglichen vereinbarten Ausschlüssen abhängig. Weitere Faktoren, die den Preis beeinflussen, sind darüber hinaus die Unternehmensgröße sowie die Branche des jeweiligen Unternehmens. Grundsätzlich werden von den Versicherungen die folgenden drei Leistungsschwerpunkte abgedeckt:
Eigenschäden: Kommt es nach einem Cyberangriff zu einem Betriebsausfall, dann leistet die Versicherung ein zuvor festgelegtes Tagegeld für die Dauer der Unterbrechung. Außerdem werden die Kosten für die Wiederherstellung der Daten und Systeme übernommen.
Drittschäden: Werden infolge der Attacke von Dritten Schadensersatzforderungen erhoben, weil sich zum Beispiel Lieferungen verzögern und/oder Daten im Zuge des Angriffs abgegriffen wurden, dann fallen auch diese Schadenersatzzahlungen in den Versicherungsschutz.
Service-Leistungen: Dieser Bereich beinhaltet weitere Dienstleistungen, die von der Versicherung übernommen werden können. Darunter beispielsweise
- die Erstattung der Kosten für eine Rechtsberatung durch Anwälte für IT- und Datenschutzrecht bei Datenschutzverstößen
- die Bezahlung für PR-Spezialisten für Krisenkommunikation zur Eindämmung des Image-Schadens
- In der Regel nicht abgesichert sind hingegen finanzielle Schäden durch den Verlust von geistigem Eigentum, Kosten zur Wiederherstellung der Reputation sowie Kosten zum Ausbau der internen IT als Reaktion auf einen Hackerangriff. Einige Versicherungen bieten allerdings auch diese Leistungen als Zusatzmodule an.
Was gilt es bei dem Abschluss zu beachten?
Damit Sie im Schadensfall auch wirklich abgesichert sind, sollte vor dem Abschluss einer Cyberversicherung immer genau geprüft werden, ob die gebotenen Leistungen auch den Bedarfen Ihres Unternehmens entsprechen und die Kondition verschiedener Anbieter miteinander verglichen werden. Hier gilt: Egal, ob Arztpraxis, Steuerkanzlei, Handwerksbetrieb oder Industrieunternehmen: Cyberangriffe können kleine und mittlere Unternehmen jeder Branche treffen. In welcher Form eine Attacke auftritt und welche Daten betroffen sind, kann sich allerdings von Unternehmen zu Unternehmen stark unterscheiden. Deshalb sollte bei der Auswahl der Cyberversicherung immer mit bedacht werden, welche spezifischen Anforderungen diese für die jeweilige Art des Unternehmens erfüllen sollte.
Unabhängig von der Branche gibt es aber auch einige allgemeine Punkte, die jeder Betrieb beachten sollte. So sollten Sie bei der Auswahl einer Cyberversicherung im Vorfeld unbedingt prüfen, wie hoch die maximale Entschädigungssumme pro Versicherungsfall ist. Denn im Ernstfall sind die entstandenen Schäden auch nur bis zu dieser Höhe abgedeckt. Vor dem Abschluss sollten Sie außerdem abklären, ob bestimmte Risiken nicht bereits durch andere vorhandene Versicherungen abgesichert sind – etwa durch eine Betriebshaftpflichtversicherung, Vermögensschadenhaftpflichtversicherung oder eine Rechtsschutzversicherung.
Fazit: Erhöhung der IT-Sicherheit im Unternehmen bleibt wichtigste Maßnahme
Unabhängig von der Einführung einer Cyberversicherung gilt jedoch: Technische und organisatorische Maßnahmen zum Ausbau der digitalen Sicherheit im Unternehmen stellen weiterhin die wichtigste Ressource zum Schutz vor digitaler Kriminalität dar. Denn mit ihnen lässt sich bestenfalls komplett vermeiden, dass solche IT-Sicherheitsvorfälle überhaupt erst eintreten und Schaden anrichten können.
Gleichzeitig sind einige Versicherungen an einen Mindeststandard an IT-Sicherheitsmaßnahmen geknüpft, die zunächst im Unternehmen implementiert werden müssen, bevor eine Cyberversicherung überhaupt abgeschlossen werden kann. Im Rahmen dieser Überprüfung können sich Betriebe einen Überblick über den Zustand der eigenen IT-Sicherheit verschaffen und mögliche Schwachstellen geschlossen werden. Dabei wird im Schadensfall von den Versicherern häufig noch einmal eingehend überprüft, ob die gestellten Kriterien auch nach dem Abschluss der Versicherung durch das Unternehmen eingehalten worden sind – falls nicht, dann können Zahlungen im schlimmsten Fall also ausbleiben. Zu den Kriterien gehören hier beispielsweise das regelmäßige Anlegen von Sicherheitskopien (Backups), die Einführung einer Zwei-Faktor-Authentifizierung sowie die stetige Sensibilisierung von Mitarbeitenden, die innerhalb des Unternehmens unbedingt implementiert werden sollten.
Eine ausführliche Übersicht über die wichtigsten Maßnahmen zur Erhöhung der Cybersicherheit im Unternehmen bietet Ihnen hier auch unser IT-Sicherheitskompass. Dort erfahren Sie, wie Sie die ersten Schritte zur Absicherung Ihrer digitalen Infrastruktur einfach umsetzen können.