Cyberversicherung: Lohnt sich der Versicherungsschutz gegen Hackerangriffe?

Auf bis zu 203 Milliarden Euro Schaden schätzt der Digitalverband Bitkom die Summe, die Unternehmen alleine in Deutschland durch Cyberangriffe entstanden sind. Betriebe müssen folglich in der Zukunft intensiver in IT-Sicherheit investieren. Auch der Abschluss einer Cyberversicherung ist eine Überlegung wert.

Die Bedrohung durch Cyberkriminalität wird immer gegenwärtiger. Neun von zehn Unternehmen hatten in den vergangenen Jahren bereits erhebliche Scherereien mit Angriffen aus dem Internet. Von Totalstillstand der Produktionsanlagen über den Diebstahl von sensiblen Kundendaten bis hin zu Erpressungen nach der Infiltration eines IT-System reichen die Vorfälle. In den schlimmsten Fällen kann ein solcher Angriff das betroffene Unternehmen in seiner Existenz bedrohen, von langanhaltenden Image-Schäden einmal ganz abgesehen. Angesichts der steigenden Fallzahlen erwägen immer mehr Unternehmen den Abschluss einer Cyberversicherung, die inzwischen von sehr vielen B-to-B-Versicherern angeboten werden.

Das leistet eine Cyberversicherung

Der Gesamtverband der Versicherer definiert Cyberversicherungen nach dem Schutzumfang, die sie den Versicherten gewähren. Dazu gehören in der Regel:

• Ausgleichszahlungen für Betriebsausfälle (Dazu wird im Versicherungsvertrag ein Tagessatz vereinbart)
• Übernahme von Drittschäden (Damit sind beispielsweise Schadenersatzforderungen abgedeckt, die durch Datenverlust Dritter entstehen)
• IT-Forensik-Kosten (Zur Wiederherstellung der gewohnten Sicherheitslage müssen Experten Nachforschungen anstellen und Gegenmaßnahmen einleiten; dieser Aufwand ist abgedeckt)
• Datenwiederherstellung (Werden Daten vernichtet oder entwendet, müssen sie in aufwändigen Prozessen wiederhergestellt werden)
• Rechtsberatung (Kommt es zu Vorfällen, die Datenschutzbehörden gemeldet werden, kann dies zu rechtlichen Konsequenzen und Bußgeldern führen. Die rechtliche Vertretung durch Fachanwälte ist durch die Versicherung gedeckt)
• Krisen-Kommunikation (Spektakuläre Cyberattacken gelangen meist schnell und breit an die Öffentlichkeit. Das betroffene Unternehmen benötigt eine professionelle Krisen-Kommunikation. Auch die Kosten hierfür trägt die Versicherung)

Diese Vorkehrungen setzt der Versicherer voraus

Wie bei jeder Versicherungsleistung sind auch bei einer Cyberversicherung vom versicherten Unternehmen einige Mindestanforderungen zu erfüllen, damit im Schadenfall die Versicherung bezahlt. Ganz so wie eine Kfz-Versicherung nur dann für Schäden aufkommt, wenn das versicherte Fahrzeug den gesetzlichen Sicherheitsvorschriften entspricht, greift auch die Cyberversicherung nur dann, wenn das Unternehmen selbst die gängigsten Sicherheitsvorkehrungen nachweisen kann. Dazu gehören IT-Sicherheits-Elemente, wie:

• ein professioneller Virenschutz der IT-Einrichtungen
• doppelte und redundante Datensicherung, mindesten einmal pro Woche
• passwortgeschützte Zugänge in die Firmen-IT für Mitarbeiter, Lieferanten und Kooperationspartner
• Einhaltung der Bestimmungen der DSGVO
• Firewall vor dem Firmenserver
• begrenzte Anzahl von Administratoren-Zugängen
• Einrichtung sicherer Passwörter
• zuverlässige Installation aller relevanten Sicherheits-Updates

Tipp: Der Gesamtverband der Deutschen Versicherungswirtschaft (GDV) bietet einen Sicherheits-Check an, den Unternehmen absolvieren können, bevor sie sich um eine Cyberversicherung bemühen. Die Kosten einer Cyberversicherung richten sich selbstverständlich nach den zu vereinbarenden Schadenssummen sowie der Unternehmensgröße und dem Umsatz.

Fazit: Angesichts der rasant ansteigenden Zahl von Cyberkriminalität ist der Abschluss einer Cyberversicherung durchaus angebracht. Allerdings muss auch nach dem Abschluss einer Versicherung regelmäßig in die IT-Sicherheit investiert werden. Bitkom hat errechnet, dass die Unternehmen im Durchschnitt 9 Prozent ihres IT-Budgets für IT-Sicherheit ausgeben. Ein Wert, der in den kommenden Jahren ebenso steigen dürfte wie die registrierten Fälle in der Cyber-Kriminalitäts-Statistik.