Die Bedrohungen aus dem Internet nehmen rasant zu. Mit Cyberversicherungen können sich Unternehmen gegen die Folgen eines Hackerangriffs schützen. Aber lohnt sich der Abschluss einer solchen Police überhaupt? Und welche Risiken können damit abgedeckt werden?

Auf dem Parkplatz eines mittelständischen Unternehmens findet ein Mitarbeiter einen USB-Stick. Neugierig schließt er das Gerät an seinen Arbeitsplatzrechner an. Damit schnappt die Falle zu: Unbemerkt installiert sich eine Spionagesoftware auf dem Computer und breitet sich von dort aus in der gesamten Unternehmens-IT aus.

Unglaublich? Keineswegs. Sicherheitsforscher der Universitäten Illinois und Michigan legten 2016 an markanten Stellen USB-Sticks als Köder aus. Das Ergebnis: Mehr als die Hälfte wurden geöffnet. Das zeigt, wie groß die Gefahr ist, dass Unternehmen Opfer von Cyberkriminalität werden. Die Schäden können immens sein.

Versicherer haben die Gefahren von Cyberkriminalität erkannt und neue Produkte entwickelt: Cyberversicherungen. Sie sollen Unternehmen vor den Folgen von Datenkriminalität schützen: „Je stärker die Unternehmen ihre Prozesse digitalisieren, desto größer ist auch das Bedürfnis, sich gegen Cyberkriminalität abzusichern“, sagt Carsten Wiesenthal, Leiter Firmen Haftpflicht der Allianz Deutschland.

Zusätzlich zu den monetären Leistungen bieten viele Versicherer ihren Kunden ein umfassendes Servicepaket. Gerade für mittelständische Unternehmen, die nur über begrenzte IT-Ressourcen verfügen, kann sich die Unterstützung eines erfahrenen Spezialisten im Krisenfall schnell bezahlt machen. „Was macht ein Mittelständler, der am Wochenende plötzlich feststellt, dass sein Unternehmen gehackt worden ist? Was tut er, wenn er seine zuständigen Experten nicht erreichen kann oder das notwendige Know-how in seinem Betrieb gar nicht erst vorhanden ist?“, fragt Wiesenthal.

Die Allianz beispielsweise bietet für solche Fälle über ihre Schadens-Hotline, die an 365 Tagen im Jahr rund um die Uhr erreichbar ist, Unterstützung durch ein Notfallteam an, das bei ihrem auf IT spezialisierten Tochterunternehmen Metafinanz angesiedelt ist. Metafinanz unterstützt die Versicherten zudem bei Ursachenforschung und der Suche nach möglichen Sicherheitslücken. Auch für die Rettung von Daten, den Umgang mit den Behörden oder Krisenkommunikation stehen Spezialisten zur Verfügung, die den betroffenen Unternehmen im Notfall helfen.

Bevor es zum Abschluss einer Cyberversicherung kommt, müssen die Unternehmen allerdings erst einmal ihre Hausaufgaben machen: „Technische und organisatorische Sicherheit im Unternehmen sind die Grundvoraussetzungen dafür, dass eine Versicherung für die dann noch verbleibenden Restrisiken einstehen kann“, erläutert Wiesenthal.

Deshalb steht vor dem Abschluss der Cyberversicherung immer eine Risikoprüfung durch den Versicherer – in der Regel in Form eines ausführlichen Fragebogens. Der Versicherer will beispielsweise wissen, ob das Unternehmen seine IT-Systeme mit Firewalls schützt, ob die Systeme regelmäßig aktualisiert und auf dem neuesten Stand gehalten werden oder ob das Unternehmen die Daten mithilfe von Backup-Lösungen sichert. Auch das Sicherheitsbewusstsein der Mitarbeiter wird überprüft: Existiert im Unternehmen eine verbindliche Sicherheitsrichtlinie? Werden die Mitarbeiter ausreichend geschult? Wie wird sichergestellt, dass alle Mitarbeiter ihre Systemzugänge mit geheimen, schwer entschlüsselbaren Passwörtern schützen?

Das Ergebnis der Risikoprüfung fasst die Allianz in einem Bericht zusammen, der auch dem potenziellen Kunden zur Verfügung gestellt wird. „Viele Unternehmen, die unser Risiko-Assessment durchlaufen haben, haben uns hinterher gesagt, dass schon die Prüfung ein echter Gewinn für sie war“, sagt Wiesenthal.

CyberkriminalitäVor Abschluss einer Cyberversicherung füllt der Versicherungsnehmer einen Fragebogen aus. Bei der Allianz umfasst dieser sieben Themenfelder; die Skala reicht von 0 (niedriger Standard) bis 4 (hoher Standard) ein.

Unsere Grafik zeigt ein fiktives Rating (Schnitt: 2,2). Fahren Sie mit der Maus über die blauen Punkte, um Details zu den Themenfeldern zu erhalten.st ein transnationales Phänomen. Das Bundeskriminalamt beobachtet dabei eine zunehmende Professionalisierung der Täter, die vom Aufkommen neuer Tatgelegenheiten profitieren und stetig neue Herangehensweisen entwickeln. So werden zum Beispiel vermehrt Anonymisierungsdienste zur Verschleierung genutzt.

Unsere Infografik zeigt, welche Arten von Delikten im Jahr 2016 von der Kriminalitätsstatistik erfasst wurden.

Cyberversicherungen gibt es in Deutschland erst seit ein paar Jahren. Die ersten Produkte kamen vor etwa fünf Jahren auf den Markt. Doch erst jetzt erlebt das Segment seinen Durchbruch: „Die Entwicklung verläuft sehr rasant“, sagt Wiesenthal.

Kein Wunder: Mehr als jedes zweite deutsche Unternehmen ist in den vergangenen zwei Jahren aus dem Internet angegriffen worden, ergab eine repräsentative Studie des Digitalverbands Bitkom im Sommer 2017. 53 Prozent der deutschen Firmen wurden demnach Opfer von Wirtschaftsspionage, Sabotage oder Datendiebstahl. Der Schaden beträgt rund 55 Milliarden Euro jährlich. Nach einer aktuellen Untersuchung der Allianz sind Bedrohungen aus dem Internet mittlerweile das drittgrößte Unternehmensrisiko – mit steigender Tendenz.

Zu dem gegenwärtigen Boom bei Cyberversicherungen haben sicher auch öffentlichkeitswirksame Fälle wie der des WannaCry-Virus beigetragen. Im Mai 2017 hatte das Schadprogramm in einem weltweiten Cyberangriff über 230.000 Computer infiziert und Lösegeldzahlungen wurden verlangt. In Deutschland sorgte der Virus unter anderem dafür, dass die Anzeigetafeln der Bahn nicht mehr funktionierten. Die Angriffe seien ein erneuter Weckruf für Unternehmen, IT-Sicherheit endlich ernst zu nehmen und nachhaltige Schutzmaßnahmen zu ergreifen, so der Präsident des Bundesamts für Sicherheit in der Informationstechnik, Arne Schönbohm, in einer Pressemitteilung.

Treffen kann es jeden: Großkonzerne ebenso wie kleine Mittelständler. Lange Zeit haben gerade kleine Unternehmen geglaubt, dass sie unter dem Aufmerksamkeitsradar der Cyberkriminellen herfliegen könnten. Doch das stimmt nicht. Zum einen, weil es für Cyberkriminelle natürlich verlockend sein kann, gerade nach solchen Unternehmen zu suchen, deren Sicherheitsniveau schon aus Kapazitätsgründen nicht so hoch ist wie das großer Konzerne. Zum zweiten aber auch, weil viele Cyberattacken gar nicht gezielt erfolgen, sondern als Massenangriffe nach dem Schrotflintenprinzip. WannaCry ist dafür ein gutes Beispiel. Ein Virus wird viral verbreitet und wo er sich festsetzt, ist gar nicht vorhersehbar.

Die Schäden eines solchen Angriffs können ein Unternehmen hart treffen. Wiesenthal nennt ein fiktives Beispiel: Angenommen, bei einem mittelständischen Sportgerätehersteller kommt es aufgrund eines Hackerangriffs zu einem Produktionsausfall. Er kann seine Auftragszusagen nicht einhalten. Ein Forensiker ermittelt später als Ursache des Angriffs eine fahrlässige Verletzung der Netzwerksicherheit: Ein Administrator hatte versehentlich die Firewall abgeschaltet.

"In unserem Beispiel haben wir für die Umsatzeinbußen 205.000 Euro angesetzt. Die Auftraggeber machen wegen der verspäteten Lieferungen Vertragsstrafen von 500.000 Euro geltend. Dazu kommen die Kosten für Sachverständige von 30.000 Euro. Solche Summen können einen Mittelständler ganz schön in Bedrängnis bringen“, sagt Wiesenthal.

Auch die Bedrohung durch Datendiebstahl, Betrug, Untreue und Korruption wird immer noch unterschätzt, warnt die Euler Hermes Deutschland. „Selbst wenn die Täter gefasst werden, ist von dem entwendeten Geld meistens nichts mehr übrig. Viele Unternehmen bleiben deshalb auf dem Schaden sitzen“, erklärt Rüdiger Kirsch, als Head of Department Claims Fidelity bei Euler Hermes ein Experte zum Thema Cyberkriminalität.

Bleibt die Frage, ob viele der Cyberrisken nicht schon von anderen Versicherungen wie etwa der Betriebshaftpflicht mit abgedeckt werden. Tatsächlich enthalten viele Policen Bausteine, die Unternehmen gegen finanzielle Folgeschäden einzelner IT-Risiken absichern. Einen zeitgemäßen Cyberschutz aber können diese in der Regel nicht ersetzen.

• Haftpflichtansprüche: Damit sind alle Ansprüche gemeint, die Dritte gegen das betroffene Unternehmen im Schadensfall haben könnten. So können bei einem Ausfall der Produktion oder im Fall von Datendiebstahl Schadenersatzansprüche an das Unternehmen gestellt werden.
• Eigenschäden: Die Cyberversicherung springt ein, wenn nach einem Cyberangriff die Produktion mehrere Tage stillsteht (Betriebsausfall). Auch die Kosten für die Wiederbeschaffung verlorener Daten oder die Wiederherstellung und Verbesserung der Systeme werden von den meisten Cyberversicherungen übernommen. 
• Behördliche Datenschutzverfahren: Ergänzend zu den schon bestehenden Bestimmungen des Datenschutzes gilt ab Mai 2018 die EU-Datenschutzgrundverordnung. Diese schreibt Unternehmen unter anderem vor, welche Maßnahmen im Fall eines Cyberangriffs unternommen werden müssen. Dazu gehören zum Beispiel die Pflicht, im Fall eines Datenlecks die Betroffenen zu informieren. Auch dafür können schnell hohe Kosten anfallen, für die von Cyberversicherungen einstehen.

Vielmehr gibt es in der vernetzen Welt der Industrie 4.0 viele neue Risiken, die in keiner der herkömmlichen Haftpflicht- und Sachversicherungen erfasst sind. Dazu gehören etwa Risiken der Betriebsunterbrechung, behördliche Untersuchungen und Auflagen sowie Kosten für externe Experten. „Die heutigen Anforderungen an einen wirksamen Cyberschutz können von den herkömmlichen Versicherungen nicht abgedeckt werden“, fasst Wiesenthal zusammen. „Das können nur moderne Cyberpolicen leisten, die speziell auf diesen Zweck hin konzipiert worden sind.“

Fazit: Die Bedeutung der IT-Sicherheit für Unternehmen nimmt weiter zu. Cyberversicherungen sollten ein wichtiger Baustein des Sicherheitskonzepts von Unternehmen sein. Ein Allheilmittel zum Schutz vor Cyberrisiken sind sie jedoch nicht. Vielmehr müssen Unternehmer selbst sicherstellen, dass ihre Sicherheitstechnik auf dem neuesten Stand ist und alle Mitarbeiter die Sicherheits- und Verhaltensregeln kennen und einhalten.