Cyber-Versicherung
Wusstest du, dass Experten davon ausgehen, dass es heutzutage nur noch eine Frage der Zeit ist, bis dein Unternehmen Opfer eines Cyber-Angriffs wird? Und wusstest du, dass viele der Cyber-Schäden direkt oder indirekt durch die eigenen Mitarbeiter verursacht werden? Erfahre hier, was eine Cyber-Versicherung ist und was sie leistet. Eine gute Cyber-Versicherung kann dir nämlich sogar schon helfen, bevor ein Schaden entsteht und dadurch die Wahrscheinlichkeit eines schädlichen Cyber-Angriffs verkleinern.
Die Cyber-Versicherung ist eine Versicherung, die dir im Idealfall vor, während und nach einem Schaden durch Cyber-Kriminalität hilft. Zu Cyber-Kriminalität zählen z.B. Hacker-Angriffe, DoS-Attacken, Ransomeware, Social Engineering oder Innentäter, d.h. Cyber-Kriminalität durch eigene Mitarbeiter (Sabotage, Datendiebstahl, etc.). Sie kann die Risiken eines Cyber-Angriffs nicht per se verhindern. Aber eine gute Cyber-Versicherung kann dir dabei helfen, das Risiko zu minimieren. Außerdem bietet sie Leistungen, die den Schaden in Grenzen halten und deine finanzielle Existenz (bzw. die deines Unternehmens) retten können. Sie bietet also - anders als andere Versicherungen - schon aktive Hilfe während eines Schadenfalles und nicht nur den nachgelagerten Schadenausgleich.
Eine Cyber-Versicherung ist ein sehr komplexes Produkt. Denn die rasanten technologischen Fortschritte sorgen für wechselnde Risiken, die in der Versicherung berücksichtigt werden müssen. Sie ist eine relativ neue Versicherung. Cyber-Angriffe sind erst mit dem verbreiteten Einsatz von Computern, dem Internet und mobilen Endgeräten zu einer Bedrohung geworden. Je mehr Technologie mit Schnittstellen zur digitalen Welt in unserem Alltag zum Einsatz kommt, desto höher wird das Risiko durch Cyber-Angriffe. Da immer mehr Technologien in unseren Alltag integriert werden und immer mehr Prozesse digitalisiert werden, steigen sowohl das Risiko als auch die Abhängigkeit der Unternehmen. Diese teilweise 100%tige Abhängigkeit gilt es zu schützen. Deshalb nimmt die Bedeutung der Cyber-Versicherung zu. Sie wird aus gutem Grund auch schon als „Feuerversicherung des 21. Jahrhunderts“ bezeichnet. In den USA, wo die Cyber-Versicherung ihren Ursprung hat, ist sie mittlerweile fast zu einer Standardversicherung geworden.
Die Cyber-Versicherung ist, wie gesagt, ein noch relativ junges Produkt. Die erste Cyber-Versicherung gab es 2011 in Deutschland. Erst seit 2016 hat sie mit ca. 40 Anbietern ihren Durchbruch in Deutschland. Deshalb gibt es vergleichsweise wenig Erfahrungswerte, auf die die Versicherer zurückgreifen können. Das führt dazu, dass Inhalte, Leistungen und Prämien bei den Cyber-Versicherungen stark variieren. Dadurch fällt es schwer, sie untereinander zu vergleichen. Es gibt aber Bestandteile, die viele Versicherer im Rahmen der Cyber-Versicherung anbieten. Je nach Anbieter variieren die Bestandteile in Bestand und Leistungsumfang.
Die Cyber-Versicherung sollte diese 3 Bestandteile beinhalten:
Eigenschäden können auf vielfältige Art und Weise durch einen Cyberangriff entstehen. Deren Beseitigung kann schnell sehr hohe Kosten verursachen. Wenn dein Unternehmen auf den Einsatz von Computern, sonstiger Technik oder Maschinen und auf die Daten angewiesen ist, dann ist es unerlässlich, dass alle Systeme und Daten wiederhergestellt werden. Und das auch noch möglichst schnell. Je nach Art des erfolgten Cyber-Angriffs kann das kompliziert sein und teure IT Spezialisten erfordern. Vor der Beseitigung muss allerdings als erstes die Ursache identifiziert werden, damit die richtigen Maßnahmen getroffen werden könne. Die Ursachenfindung wird von einem IT-Forensiker durchgeführt. Bei der Identifizierung der Schadensursache, handelt es sich um eine sehr spezielle Kernkompetenz, die in der Regel in den seltensten Fällen in internen IT-Abteilungen von Unternehmen vorhanden ist.
Bei der Wiederherstellung der Systeme und Daten hören die Kosten für die Beseitigung der Eigenschäden aber nicht auf. Falls Kundendaten von dem Cyberangriff betroffen sind, muss die Verletzung des Datenschutzes gemeldet und die Betroffenen müssen benachrichtigt werden. Dazu gibt es in Deutschland eine gesetzlich geregelte Verpflichtung. Wird dieser Verpflichtung nicht nachgekommen, kann es rechtliche Folgen nach sich ziehen. Da dein Unternehmen unter Umständen dafür haftbar gemacht wird oder ein Reputationsschaden entstehen kann, wird die Zusammenarbeit mit einem Datenschutzanwalt und einem PR- bzw. Krisen-Berater empfohlen. Eine gute Cyberversicherung deckt auch die Kosten für diese Beratungsleistungen ab.
Zu verursachten Drittschäden zählt z.B., wenn sensible Kundendaten gestohlen werden und die betroffenen Kunden für diesen Missbrauch von dir einen Schadenersatz verlangen. Oder wenn du oder deine Mitarbeiter unabsichtlich ein Virus weiterleiten, dass sich auf deinem Computer befindet. Diese Schäden werden unter einer Cyber-Haftpflichtversicherung gefasst und von dieser übernommen. Bei einigen Vermögensschadenhaftpflichtversicherungen ist eine Versicherung von Cyber-Drittschäden sogar schon bereits Teil des Versicherungsschutzes. Wenn du Hilfe bei der Prüfung deiner Versicherung benötigst, melde dich gerne bei uns. Wir helfen dir dabei.
Bei einer Betriebsunterbrechung handelt es sich zwar auch um einen Schaden, der bei deinem Unternehmen entsteht – also ein eigener Schaden – aber trotzdem wird die Betriebsunterbrechung über einen separaten Bestandteil auf Grund von Cybergefahren abgedeckt. Gerade für Onlineshops, die ihre Einnahmen zum ganzen oder größten Teil über einen Onlinekanal erwirtschaften, ist eine Versicherung, die eine Betriebsunterbrechung abdeckt, überlebensnotwendig. Eine DoS Attacke führt nämlich dazu, dass der Onlineshop nicht mehr erreichbar ist und dadurch keine Produkte mehr verkauft werden können. DoS Attacken haben laut einer Studie von Accenture und dem Ponemon Institute allein von 2017 zu 2018 um 3% zugenommen. Dabei sind allerdings die Kosten der DoS Attacken um ganze 11% von 1,6 Mio. auf 1,7 Mio. US$ gestiegen.
„Jedes Unternehmen muss jederzeit mit einem Cyberangriff rechnen und sich ausreichend davor schützen – koste es, was es wolle. Das allerdings passiert viel zu selten. […] Wer seinen wertvollsten Rohstoff – Patente, Ideen, Baupläne – nicht ausreichend vor fremden Blicken schützt, wird schon in Kürze bedeutungslos werden.“ – Frankfurter Rundschau
Jede gute Cyber-Versicherung sollte aber nicht nur die Möglichkeit bieten die oben genannten Bereiche abzudecken. Sie sollte Leistungen anbieten, bevor überhaupt ein Schaden eintritt. Sie sollte präventive Maßnahmen anbieten, die den Eintritt eines Schadens minimiert. Und sie sollte in dem Moment unterstützen, wenn der Schaden passiert oder ein Risiko erkannt wurde.
Das bedeutet konkreter:
Präventive Maßnahmen
Unterstützung im Schadensfall
Die Cyber-Risiken sind zahlreich. Und durch jede technologische Neuentwicklung und verbesserte Angriffsstrategien der Hacker, kommen weitere Risiken hinzu. Und wie bereits mehrfach gesehen, machen die Angreifer vor nationalen Grenzen keinen Halt. Außerdem muss die eingesetzte Schadsoftware niemals eine Ruhepause machen und lässt sich in ihrer Effizienz auch noch durch zusätzliche Rechenleistung steigern.
Der Hacker-Angriff ist wohl das häufigste Risiko, an das die Menschen im Kontext von Cyber-Kriminalität oder Cyber-Schäden denken. Es sind auch die Fälle, die bisher die meiste Aufmerksamkeit von den Medien bekommen. Es gibt gezielte und nicht gezielte Angriffe. Im Speziellen sind es die ungezielten Angriffe, die keinen Halt bei vermeintlich „unwichtigen“ Unternehmen oder Daten machen. Diese werden meistens von Ransomeware verursacht und sind dann mit Lösegeldforderungen verbunden. Die Lösegeldforderung ist oft relativ gering. Aber die Kosten der Folgeschäden (IT-Forensik, Wiederherstellung, Betriebsunterbrechung, Krisenkommunikation etc.) sind enorm.
Viele Geschäftsführer sehen keine Bedrohung für ihr Unternehmen, wenn sie der Meinung sind, dass ihre Daten nicht spannend oder von keinem ersichtlichen Wert sind. Am Ende entscheidest allerdings nicht du darüber, ob deine Daten interessanten sind, sondern der Hacker oder der Algorithmus einer KI (künstlichen Intelligenz). Und dass Cyber-Risiken auch für kleine oder mittelständische Unternehmen zu einer echten Bedrohung werden können, haben leider zahlreiche Beispiele bereits bewiesen. Laut Untersuchungen der Telekom gab es allein im April 2019 durchschnittlich 31 Millionen Angriffe auf deutsche Firmen pro Tag! Der Spitzenwert lag bei 46 Millionen Angriffen pro Tag.
Und selbst wenn ein Angreifer bei deinem Unternehmen keine spannenden oder wertvollen Daten findet, stellt dies einen guten Ausgangspunkt für den Täter dar. Denn mit Hilfe von Ransomeware können die Daten geklaut oder der Zugang zu ihnen versperrt werden. Damit kann dein Betrieb außer Gefecht gesetzt werden oder du musst darum bangen, dass ein Reputationsschaden entsteht, falls die Daten veröffentlicht werden. Diese Situation ist für die Täter eine gute Gelegenheit für eine Erpressung. Ohne Fachpersonal oder spezielles Knowhow stehst du dann vor der Entscheidung die geforderte Erpressungssumme zu zahlen und zu hoffen, die Daten wiederzubekommen. Oder nicht zu zahlen und den oft noch höheren und vielschichtigen Schaden in Kauf zu nehmen.
Zu Cyber-Risiken zählen nicht nur Hacker als Täter. Laut der Bitkom Studie aus 2019 waren die Täter bei 33% der befragten Unternehmen ehemalige Mitarbeiter, die sogar vorsätzlich handelten. Das ist schon eine recht hohe Zahl. Diese wird aber noch durch die Mitarbeiter erhöht, die „nur“ fahrlässig handelten oder ausversehen Fehler begingen. Den Angreifern, die an deine Daten wollen, ist es egal aus welchem Grund deine Mitarbeiter Daten weitergeben oder Zugang gewähren. Hauptsache, sie tun es. Und leider tun die Mitarbeiter das relativ oft und stellen damit eines der höchsten Sicherheitsrisiken in deinem Unternehmen dar.
Das haben auch viele Angreifer erkannt und haben deshalb spezielle Methoden entwickelt, mit denen sie sich auf das schwächste Glied in der Sicherheitskette konzentrieren: den Menschen. Auf Grund der immer besser werdenden Sicherheitssystemen in den Unternehmen, ist es heutzutage einfacher, Menschen zu kontaktieren und diese zu beeinflussen. Genau das passiert beim sogenannten Social Engineering. Dabei werden Mitarbeiter beeinflusst, mit dem Ziel, Daten herauszugeben oder den Zugang zu ihnen zu gewähren. Diese Beeinflussung kann auf viele unterschiedliche Weisen passieren.
Zum einen können Mitarbeiter ausspioniert, angeschrieben oder angerufen werden. Dabei wird ihnen zum Beispiel vorgetäuscht, dass ein Dienstleister oder Experte aus der IT-Sicherheit am Telefon ist. Um einen großen Schaden zu vermeiden, soll der Mitarbeiter nun sofort Passwörter übermitteln oder Zugang zum Computer gewähren. Zum anderen kann es aber auch so weit gehen, dass Mitarbeiter vor Ort angesprochen oder dazu benutzt werden, sich auf bequeme Art und Weise Zugang zu den Serverräumen in den Büros des Unternehmens zu verschaffen.
Manchmal ist es aber auch ganz simpel und es werden lediglich E-Mails versendet, in denen der Mitarbeiter aufgefordert wird auf einen Link zu klicken. Oder es werden im oder um das Unternehmen herum, leicht zu findende USB Sticks verteilt, auf denen sich Schadsoftware befindet. Und wer kann schon der Versuchung widerstehen, nachzuschauen, was sich wohl auf dem USB Stick befinden mag?
Und zu all dem oben Genannten, kommt auch noch nachlässiges Verhalten hinzu. Damit ist die Verwendung von unsicheren Passwörtern oder die Verweigerung der Durchführung von Updates gemeint. Da ist es nicht mehr verwunderlich, dass es 2019 in Deutschland ca. 17,7 Millionen Opfer von Internetkriminalität gab (laut den Angaben von Statista). Dabei handelt es sich aber natürlich nur um die Taten, die entdeckt und auch gemeldet wurden. In Deutschland stiegen die Kosten im Zusammenhang mit Cyberangriffen 2018 um 18%. In den letzten 5 Jahren war sogar ein Anstieg von sage und schreibe 40% zu verzeichnen.
Eine Cyber-Versicherung kann nicht einfach so von jedem abgeschlossen werden. Unternehmen, die ein erhöhtes Risiko aufweisen oder bereits mehrfach Opfer von Cyber-Kriminalität wurden, können keine oder nur noch unter erschwerten Bedingungen eine Cyber-Versicherung abschließen. Je nach Risiko oder bereits in der Vergangenheit eingetretenen Schäden, wird die Prämie der Cyber-Versicherung dann auch sehr hoch sein.
Deshalb ist es wichtig, möglichst früh eine Cyberversicherung abzuschließen. Damit sparst du dir bzw. deinem Unternehmen später exorbitant hohe Versicherungsprämien. Aber noch viel wichtiger: mit der Unterstützung deiner Cyber-Versicherung wirst du vielleicht deine Mitarbeiter sensibilisieren, deine IT verbessern und dadurch den einen und anderen Cyber-Angriff verhindern und es den Hackern schwerer machen. Übrigens ist die Eintrittswahrscheinlichkeit eines Cyber-Schadens höher als beispielsweise Feuergefahr. Wer hätte das gedacht?
Die Kosten für eine Cyber-Versicherung hängen von verschiedenen Faktoren ab. Bei einem Unternehmen z.B. vom Umsatz, der Größe und den existierenden Sicherheitsmaßnahmen. Kontaktiere uns und wir errechnen dir gerne den Beitrag für deine Cyber-Versicherung.
Ja. Denn kein IT-System ist immer 100%tig sicher. Außerdem stellen die Mitarbeiter des Unternehmens ein hohes und oft unterschätztes Risiko dar. Deshalb ist eine Cyber-Versicherung sehr wichtig und stellt einen elementaren Baustein eines ganzheitlichen Risikomanagements dar.
Es ist super gut, wenn du eine Cyber-Versicherung abgeschlossen und als Bestandteil deines Risikomanagements berücksichtigt hast. Sie ersetzt aber keinesfalls die Notwendigkeit deiner IT-Sicherheit. Vielmehr sind gewisse IT-Sicherheitsvorkehrungen sogar Voraussetzung, damit du dein Unternehmen gegen Cyber-Risiken absichern kannst. Eine gute IT-Sicherheit kann Schutz vor Cyber-Angriffen bieten. Eine Cyber-Versicherung greift, wenn dein Unternehmen trotz IT-Sicherheitsvorkehrungen durch eine Cyber-Attacke geschädigt wurde.
Viele kleine und mittelständische Unternehmen unterschätzen die Gefahren, die von Cyber-Angriffen ausgehen. Gleichzeitig verfügen sie in den seltensten Fällen über die Ressourcen, die für eine umfängliche Absicherung und Eingrenzung von Schäden notwendig sind. Ein erfolgreicher Cyber-Angriff kann in solchen Fällen noch gravierendere Schäden verursachen. Im schlimmsten Fall sogar die Existenz kosten. Deshalb ist eine Cyber-Versicherung für kleine und mittelständische Unternehmen besonders wichtig.
Dieser Artikel ist ein Informationsangebot und ersetzt keine persönliche und individuelle Beratung.
Dein Ansprechpartner für das Fachgebiet Cyber-Versicherung
