Ist eine Cyberversicherung gegen Cyberkriminalität rentabel?

Die Branchen-Experten von Bitkom haben errechnet, dass deutsche Unternehmen 2020 über 200 Milliarden Euro durch Cyberattacken eingebüßt haben. Betriebe müssen folglich in der Zukunft intensiver in IT-Sicherheit investieren. Immer mehr der betroffenen Firmen entscheiden sich für eine Cyberversicherung.

Cyberkriminelle richten immer größeren Schaden an, seit Jahren steigt die Quote. Bis zu 90 Prozent aller Unternehmen haben bereits unangenehme Bekanntschaft mit Internetkriminalität gemacht. Von Totalstillstand der Produktionsanlagen über den Diebstahl von sensiblen Kundendaten bis hin zu Erpressungen nach der Infiltration eines IT-System reichen die Vorfälle. In den schlimmsten Fällen kann ein solcher Angriff das betroffene Unternehmen in seiner Existenz bedrohen, von langanhaltenden Image-Schäden einmal ganz abgesehen. Zahlreiche B-to-B-Versicherer haben inzwischen maßgeschneiderte Versicherungen gegen die Folgen von Cyberkriminalität im Angebot. Und die Unternehmen machen Gebrauch davon.

Cyberversicherungen decken viele Schäden ab

Der Schutzumfang, den eine klassische Cyberversicherung bietet, umfasst laut Gesamtverband der Versicherer (GDV) in der Regel folgende Details:

• Wiederherstellung gelöschter oder beschädigter Daten
  (Werden Daten vernichtet oder entwendet, müssen sie in aufwändigen Prozessen wiederhergestellt werden)
• Kosten für Forensik
  (Zur Wiederherstellung der gewohnten Sicherheitslage müssen Experten Nachforschungen anstellen und Gegenmaßnahmen einleiten; dieser Aufwand ist abgedeckt) - Abfedern von Schäden durch Betriebsstillstand oder Teil-Stillstand (Dazu wird im Versicherungsvertrag ein Tagessatz vereinbart)
• Schäden, die „Dritten“ entstehen
  (Damit sind beispielsweise Schadenersatzforderungen abgedeckt, die durch Datenverlust Dritter entstehen)
• Rechtliche Beratung
  (Kommt es zu Vorfällen, die Datenschutzbehörden gemeldet werden, kann dies zu rechtlichen Konsequenzen und Bußgeldern führen. Die rechtliche Vertretung durch Fachanwälte ist durch die Versicherung gedeckt)
• Kommunikation in Krisenzeiten
  (Spektakuläre Cyberattacken gelangen meist schnell und breit an die Öffentlichkeit. Das betroffene Unternehmen benötigt eine professionelle Krisen-Kommunikation. Auch die Kosten hierfür trägt die Versicherung)

Das muss für den Abschluss einer Versicherung gewährleistet sein

Eine Cyberversicherung tritt im Schadensfall nur dann vollumfänglich für Schäden ein, wenn bestimmte Anforderungen seitens des versicherten Unternehmens erfüllt sind. Ganz so, wie eine Kfz-Versicherung nur dann für Schäden aufkommt, wenn das versicherte Fahrzeug den gesetzlichen Sicherheitsvorschriften entspricht, greift auch die Cyberversicherung nur dann, wenn das Unternehmen selbst die gängigsten Sicherheitsvorkehrungen nachweisen kann. Die wichtigsten Voraussetzungen auf einen Blick:

• begrenzte Anzahl von Administratoren-Zugängen
• ein professioneller Virenschutz der IT-Einrichtungen
• zuverlässige Installation aller relevanten Sicherheits-Updates
• Einrichtung sicherer Passwörter
• doppelte und redundante Datensicherung, mindesten einmal pro Woche
• passwortgeschützte Zugänge in die Firmen-IT für Mitarbeiter, Lieferanten und Kooperationspartner
• Einhaltung der Bestimmungen der DSGVO
• Firewall vor dem Firmenserver

Tipp: Beim GDV gibt es einen kostenlosen Sicherheits-Check, mit dem sich schnell ermitteln lässt, ob der Versicherungsabschluss möglich ist. Die Kosten für die Police hängen von den definierten Schadensummen sowie der Unternehmensgröße ab und können stark voneinander abweichen.

Fazit: Angesichts der steigenden Fallzahlen von Cyberkriminalität sind Cyberversicherungen durchaus anzuraten. Allerdings muss auch nach dem Abschluss einer Versicherung regelmäßig in die IT-Sicherheit investiert werden. Bitkom hat errechnet, dass die Unternehmen im Durchschnitt 9 Prozent ihres IT-Budgets für IT-Sicherheit ausgeben. Dieser Anteil an den Gesamtkosten für IT wird sich aber vermutlich in der näheren und ferneren Zukunft eher nach oben entwickeln.