Cyberangriffe haben sich zu einer der größten Bedrohungen für Unternehmen entwickelt. Im Allianz Risk Barometer werden sie in den letzten Jahren stets unter den Top3 Geschäftsrisiken in Deutschland genannt. Hundertprozentigen Schutz gibt es nicht. Umso wichtiger ist ein wirksames Sicherheitskonzept und eine Versicherung, die Ihnen im Ernstfall nicht nur finanziell, sondern auch mit einem Netzwerk 24/7 zur Seite steht. 

Es kann jeden treffen. Jederzeit. Einen Kaufhauskonzern. Ein Naturkundemuseum. Einen mittelständischen Hersteller von Landmaschinen. Einen IT-Dienstleister, der Städte und Gemeinden sowie öffentliche Verwaltungen und Behörden zu seinen Kund:innen zählt. Sie und noch viel mehr Unternehmen und Organisationen wurden allein im November 2023 in Deutschland Opfer von Cyberattacken. Die Dunkelziffer ist hoch. Oft sind Angreifer:innen schon Wochen oder Monate auf den Systemen Ihrer Opfer, bevor eine Verschlüsselung und/oder ein Datenabzug erfolgt.

Die Schäden, die durch Spionage, Datendiebstahl, Schadsoftware oder Sabotage von IT verursacht werden, sind immens. „206 Milliarden Euro Schaden ist den Unternehmen in Deutschland in den vergangenen zwölf Monaten durch Wirtschaftskriminalität entstanden, davon rund 150 Milliarden Euro durch Cyberattacken“, heißt es im aktuellen Wirtschaftsschutzbericht des IT-Branchenverbands BitKom.¹ Das Bundeskriminalamt zählte 2022 über 130.000 Fälle von Cyberkriminalität in Deutschland.

Hinzu kommt: Die Täter:innen werden immer professioneller. Und mit dem Aufkommen von öffentlich zugänglichen generativen KI-Lösungen wie beispielsweise ChatGPT sind ganz neue Angriffsmethoden möglich. Deep Fakes, also KI-basierte Fälschungen, die so täuschend echt wirken, dass sie nicht mehr von wahren Informationen zu unterscheiden sind, lassen sich heute selbst von Laien mit wenigen Klicks herstellen. Auch Voice Cloning, also die täuschend echte Imitation von Stimmen lebender Personen, ist heute leicht möglich. Expert:innen befürchten, dass sich damit die Bedrohungslage für Unternehmen weiter verschärft. „KI kann nahezu perfekt klingende Phishing-Mails formulieren und sogar Code für Schadsoftware programmieren“, warnt der IT-Branchenverband BitKom.² Das Bundesamt für Informationssicherheit (BSI) bezeichnet die Gefahr im Cyberraum in seinem Jahresbericht 2023 folgerichtig als „so groß wie nie“.

Umso problematischer sind die Ergebnisse, die eine repräsentative Forsa-Umfrage unter Entscheider:innen und IT-Verantwortlichen von mittelständischen Unternehmen im Auftrag des Gesamtverbands der Versicherungswirtschaft, GDV, zutage gefördert hat.³ Demnach meinen 80 Prozent, dass ihr Unternehmen genug für die Cybersicherheit tun würde – „eine Überzeugung, die in den meisten Fällen keine Basis hat“ – so der GDV.

Mittelständische Unternehmen sind also gut beraten, der IT-Sicherheit hohe Priorität einzuräumen und in den Schutz ihrer IT-Infrastruktur zu investieren. Technische Schutzmaßnahmen wie Sicherheits-Updates von Betriebssystemen und Software sowie der Einsatz von Programmen gegen Schadsoftware sind Pflicht und sollten unbedingt immer auf dem neuesten Stand gehalten werden. Die Allianz rät, darüber hinaus die menschlichen Risiken nicht zu vergessen. Regelmäßige Schulungen von Mitarbeitenden sollten in keinem Sicherheitskonzept fehlen. Für den Ernst- und Schadensfall sollten Unternehmen zudem einen Notfallplan vorhalten. 

¹ https://www.bitkom.org/Presse/Presseinformation/Bitkom-BSI-Jahresbericht
² https://www.bitkom.org/Presse/Presseinformation/KI-Herausforderung-fuer-Cybersicherheit
³ Quelle: Gesamtverband der Versicherer, GDV: Faktenblatt Cyberkriminalität 2023.

Nur eine Minderheit der befragten Unternehmen erfüllt die Basis-Anforderung ¹ an die IT-Sicherheit vollständig

¹ Die zehn Basis-Schutzmaßnahmen entsprechen grundliegenden Obliegenheiten der GDV-Musterbedingungen für eine Cyberversicherung. Hier geht es unter anderem um Passwörter und Zugänge, Schutz vor Schadsoftware, Datensicherungen und Sicherheitsupdates. Die konkreten Basis-Schutzmaßnahmen finden Sie unter www.gdv.de/cybercheck.

Quelle: Gesamtverband der Versicherer, GDV: Faktenblatt Cyberkriminalität 2023

Kommt es zum Ernstfall, können Cyberversicherungen helfen, die schlimmsten Folgen von Datenkriminalität zu mildern und die finanziellen Risiken abzufedern. Die Cyberversicherung der Allianz beispielsweise bietet Unternehmen nicht nur eine umfangreiche Absicherung gegen Eigen- und Drittschäden, sondern auch eine professionelle Beratung im Schadenfall und ein effektives Krisenmanagement.

Gerade für mittelständische Unternehmen, die nur über begrenzte IT-Ressourcen verfügen, kann sich die Unterstützung einer:eines erfahrenen Spezialist:in im Krisenfall schnell bezahlt machen. „Was macht ein Mittelständler, der am Wochenende plötzlich feststellt, dass sein Unternehmen gehackt worden ist? Was tut er, wenn er seine zuständigen Expert:innen nicht erreichen kann oder das notwendige Know-how in seinem Betrieb gar nicht erst vorhanden ist?“, fragt Fabian Waller, Leiter der Firmen Cyberversicherung Allianz Deutschland.

Die Allianz bietet für solche Fälle über ihre Cyber-Krisen-Hotline Unterstützung durch ein Notfallteam an. Die Schadens-Hotline ist an 365 Tagen im Jahr rund um die Uhr erreichbar. Für die Rettung von Daten, den Umgang mit den Behörden oder Krisenkommunikation stehen Spezialist:innen zur Verfügung, die den betroffenen Unternehmen im Notfall helfen.

Bevor es zum Abschluss einer Cyberversicherung kommt, müssen die Unternehmen erst einmal ihre Hausaufgaben machen: „Cybersecurity, die eine technische und organisatorische Sicherheit im Unternehmen gewährleistet, ist die Grundvoraussetzung dafür, dass eine Versicherung für die dann noch verbleibenden Risiken einstehen kann“, erläutert Waller.

Deshalb steht vor dem Abschluss der Cyberversicherung immer eine ausführliche Risikoprüfung durch den Versicherer. Der Versicherer will beispielsweise wissen, ob das Unternehmen seine IT-Systeme mit Firewalls schützt, ob die Systeme regelmäßig aktualisiert und auf dem neuesten Stand gehalten werden und ob das Unternehmen die Daten mithilfe von Backup-Lösungen sichert. Auch das Sicherheitsbewusstsein der Mitarbeiter:innen wird überprüft: Werden die Mitarbeiter:innen ausreichend geschult? Wie wird sichergestellt, dass alle Mitarbeiter:innen ihre Systemzugänge mit komplexen Passwörtern schützen?

Das Ergebnis der Risikoprüfung fasst die Allianz in einem Bericht zusammen, der auch dem potenziellen Unternehmenskunden zur Verfügung gestellt wird. „Viele Unternehmen, die unser Risiko-Assessment durchlaufen haben, geben uns das Feedback, dass schon die Prüfung ein echter Gewinn für sie war“, sagt Waller.

Treffen kann es jeden: Großkonzerne ebenso wie kleine Mittelständler. Lange Zeit haben gerade kleine Unternehmen geglaubt, dass sie unter dem Aufmerksamkeitsradar der Cyberkriminellen herfliegen könnten. Doch das stimmt nicht. Zum einen, weil es für Cyberkriminelle natürlich verlockend sein kann, gerade nach solchen Unternehmen zu suchen, deren Sicherheitsniveau schon aus Kapazitätsgründen niedriger ist als das großer Konzerne. Zum Zweiten aber auch, weil viele Cyberattacken gar nicht gezielt erfolgen, sondern als Massenangriffe nach dem Schrotflintenprinzip. Das WannaCry-Virus, mit dem Cyber-Gangster vor einigen Jahren weltweit Lösegeldzahlungen erpressen wollten, indem sie über 230.000 Computer infizierten, ist dafür ein gutes Beispiel. Ein Virus, das sich viral verbreitet, kann jeden treffen. Ende 2023 listete das BSI über 60 dieser sogenannte Botnetzfamilien auf, die noch aktiv seien.⁴ WannaCry ist auch darunter. Die Gefahr ist also keineswegs gebannt.

Die Schäden eines solchen Angriffs können ein Unternehmen hart treffen. Waller nennt ein Beispiel:

Ein Trojaner verschlüsselte den Server eines Unternehmens mit mehreren Niederlassungen im In- und Ausland. Die Ausfallzeiten betrugen je nach Niederlassung einige Tage. Mehrere IT-Unternehmen wurden mit der Wiederherstellung der Daten und Systeme beauftragt.

„In unserem Beispiel sind für die Umsatzeinbußen über 250.000 Euro angefallen. Dazu kamen Kosten für die Wiederherstellung der Systeme von knapp 35.000 Euro. Solche Summen können einen Mittelständler ganz schön in Bedrängnis bringen“, sagt Waller.

Eine Vertrauensschadenversicherung ist eine sinnvolle Ergänzung zu einer reinen Cyberversicherung. Unmittelbare Schäden durch vorsätzliche unerlaubte Handlungen sind hier versichert. Ob Cyberkriminelle oder kriminelles bzw. unachtsames Personal, CyberSchutz und Vertrauensschadenversicherung bieten gemeinsam wirksamen und umfassenden Schutz gegen Eigen- und Fremdschäden.

⁴ MEHR BEIM bUNDESAMT FÜR sICHERHEIT IN DER iNFORMATIONSTECHNIK

Auch die Bedrohung durch Datendiebstahl, Betrug, Untreue und Korruption wird immer noch unterschätzt, warnt die Allianz Trade Deutschland. „Selbst wenn die Täter:innen gefasst werden, ist von dem entwendeten Geld meistens nichts mehr übrig. Viele Unternehmen bleiben deshalb auf dem Schaden sitzen“, erklärt Rüdiger Kirsch, als Head of Department Claims Fidelity bei Allianz Trade ein Experte zum Thema Cyberkriminalität.

Bleibt die Frage, ob viele der Cyberrisken nicht schon von anderen Versicherungen wie etwa der Betriebshaftpflicht mit abgedeckt werden. Tatsächlich enthalten einige Policen Bausteine, die Unternehmen gegen finanzielle Folgeschäden einzelner IT-Risiken absichern. Einen zeitgemäßen Cyberschutz aber können diese in der Regel nicht ersetzen.

• Haftpflichtansprüche: Damit sind alle Ansprüche gemeint, die Dritte gegen das betroffene Unternehmen im Schadensfall haben könnten. So können bei einem Ausfall der Produktion oder im Fall von Datendiebstahl Schadenersatzansprüche an das Unternehmen gestellt werden.
• Eigenschäden: Die Cyberversicherung springt ein, wenn nach einem Cyberangriff der Betrieb stillsteht (Betriebsausfall). Auch die Kosten für die Wiederherstellung oder Wiederbeschaffung verlorener Daten und eine notwendige Schließung von schadenursächlichen Sicherheitslücken werden von den meisten Cyberversicherungen übernommen.
  
• Behördliche Datenschutzverfahren: Die EU-Datenschutzgrundverordnung schreibt Unternehmen unter anderem vor, welche Maßnahmen im Fall eines Cyberangriffs unternommen werden müssen. Dazu gehören zum Beispiel die Pflicht, im Fall eines Datenlecks die Betroffenen zu informieren. Auch dafür können schnell hohe Kosten anfallen, insbesondere dann, wenn keine E-Mail-Adressen hierfür vorhanden sind. Die Übernahme solcher Informationskosten ist ebenfalls Bestandsteil der Cyberversicherung.

In der vernetzen Welt der Industrie 4.0 gibt es viele neue Risiken, die in keiner der herkömmlichen Haftpflicht- und Sachversicherungen ausreichend erfasst sind. Dazu gehören etwa Risiken der Cyber-Betriebsunterbrechung, behördliche Untersuchungen sowie Kosten für externe Expert:innen. „Die heutigen Anforderungen an einen wirksamen Cyberschutz können von den herkömmlichen Versicherungen nicht abgedeckt werden“, fasst Waller zusammen. „Das können nur Cyberpolicen leisten, die speziell auf diesen Zweck hin konzipiert worden sind. Sie sind insbesondere in der Lage, schnell und interdisziplinär im Schaden zu unterstützen.“

Die Bedeutung der IT-Sicherheit für Unternehmen nimmt im Zeitalter der Digitalisierung weiter zu. Cyberversicherungen sind ein unverzichtbarer Baustein im Risikomanagement eines Unternehmens. Ein Allheilmittel zum Schutz vor Cyberrisiken sind sie jedoch nicht. Vielmehr müssen Unternehmer selbst sicherstellen, dass ihre Informationssicherheit auf dem neuesten Stand ist und die Mitarbeiter:innen alle Sicherheits- und Verhaltensregeln kennen und einhalten.