Die Firma für den Ernstfall absichern

Das ging noch einmal glimpflich ab: Gerhard Klein führt eine Druckerei in Saarbrücken – und wurde vor drei Jahren Opfer eines Cyberangriffs, genauer gesagt einer Ransomware-Attacke. Kriminelle verschafften sich Zugriff auf die Rechner von Braun und Klein Siebdruck, verschlüsselten die Daten und verlangten Lösegeld für deren Entschlüsselung. Der Forderung von 3500 Euro kam das Unternehmen nach. Doch das war den Angreifern nicht genug, sie wollten bald mehr.

Das ist nur ein Beispiel von vielen. Im vergangenen Jahr sind rund um den Globus unzählige Unternehmen und Behörden Opfer von Hackerangriffen geworden. Dabei geht es in vielen Fällen um weit mehr als nur um ein paar Tausend Euro. Nicht selten werden Lösegelder in Millionenhöhe gefordert.

Deutschland ist bei Cyberkriminellen sehr beliebt: Ob die Elektronikkette MediaMarktSaturn, die Universität Leipzig oder der Landkreis Anhalt-Bitterfeld – sie alle wurden Opfer von Ransomware-Attacken, der derzeit besonders weit verbreiteten Angriffsart. Dass sich Deutschland großer Beliebtheit erfreut, bestätigen die Zahlen des Antiviren-Spezialisten Bitdefender: 2021 belegte Deutschland unter den Ländern, die am meisten von Ransomware betroffen sind, Platz fünf.

Gerhard Klein änderte übrigens nach der erneuten Lösegeldforderung der Cyberkriminellen seine Taktik: Anstatt weiter zu zahlen, versuchten Spezialisten, die verschlüsselten Daten wiederherzustellen. Wochenlang war man damit beschäftigt, Kundendaten und Rechnungen zu rekonstruieren. Letztendlich sorgte der Angriff für einen Gesamtschaden von rund 70.000 Euro – und die Erkenntnis, dass eine Cyber-Versicherung dringend notwendig ist. Nach der Erfahrung, die Gerhard Klein damals mit der Ransomware-Attacke machen musste, kann er Unternehmen nur dringend empfehlen, sich mit diesem Thema zu beschäftigen.

Diebstahl, Spionage, Sabotage: Dadurch entsteht laut Bitkom der deutschen Wirtschaft jährlich ein Gesamtschaden von 223 Milliarden Euro. Jedes Unternehmen kann es treffen – egal welcher Branche und Größe. Haupttreiber für die enorme Schadenshöhe ist dem Digitalverband zufolge der massive Anstieg von Erpressungsvorfällen, verbunden mit dem Ausfall von Informations- und Produktionssystemen sowie der Störung von Betriebsabläufen.

Die Wucht, mit der Ransomware-Angriffe die Wirtschaft erschüttern, ist laut Bitkom-Präsident Achim Berg besorgniserregend.

Hinzu kommt nun auch noch der russische Angriffskrieg gegen die Ukraine, der auch im Cyberraum geführt wird und die Unternehmen zusätzlich verunsichert. Zwei Drittel der deutschen Firmen rechnen laut Bitkom damit, dass sich für sie die Bedrohungslage im Cyberraum verschärfen wird. 17 Prozent sehen sogar bereits konkrete Anzeichen dafür.

Von der wachsenden Gefahr durch Cyberangriffe zeugen auch die Statistiken des Versicherers Allianz Global Corporate & Specialty (AGCS): „2020 hatten wir rund 1100 Schadensfallmeldungen in der Cyber-Versicherung. 2016 waren es noch unter 100“, berichtet Alexander Beth, Senior Underwriter Financial Lines bei AGCS. Man sehe also eine Verzehnfachung innerhalb von fünf Jahren. Ein steigender Teil sei dabei auf Ransomware zurückzuführen.

Um die teils enormen Kosten einer digitalen Attacke abzufedern, gibt es Spezialversicherungen: „Eine Cyber-Versicherung hilft, wenn Unternehmen Opfer von Cyberkriminellen werden oder aus einem anderen Grund Daten verlieren“, erklärt Anja Käfer-Rohrbach. „Die Cyber-Versicherung deckt die Kosten für die Wiederherstellung der betroffenen Daten und Systeme, zahlt eine Entschädigung für die Zeit, in der das Unternehmen lahmgelegt ist, und übernimmt Schadenersatzforderungen Dritter“, führt die stellvertretende Hauptgeschäftsführerin des Gesamtverbands der Deutschen Versicherungswirtschaft (GDV) weiter aus. Darüber hinaus stehe eine solche Versicherung den Kunden im Ernstfall mit einem umfangreichen Service-Angebot zur Seite: Nach einem erfolgreichen Angriff schicke die Versicherung Experten für IT-Forensik und vermittele spezialisierte Anwälte und Krisenkommunikatoren. „So hilft sie, den Schaden für das betroffene Unternehmen so gering wie möglich zu halten.“

Cyber-Versicherungen greifen also dann, wenn Schäden durch Cyberkriminalität entstehen. Dabei kann es sich zum Beispiel um gezielte Hackerangriffe handeln oder um DDoS-Attacken. Und auch eines der größten Einfallstore ist abgesichert: das E-Mail-Postfach. Immer ausgefeiltere Methoden bringen Menschen in Unternehmen dazu, Passwörter herauszugeben oder Schad-Software herunterzuladen. Auch die Folgen solcher Angriffe sind laut Anja Käfer-Rohrbach versichert – ebenso wie fahrlässiges Verhalten oder Bedienfehler von Mitarbeitern.

Abgedeckt sind laut Hanno Pingsmann aber nicht nur eigene Schäden, sondern auch Datenschutzverletzungen infolge eines Hackerangriffs und die damit verbundenen Haftungsrisiken. Pingsmann ist Geschäftsführer von Cyber-­Direkt – einem Vergleichsportal für Cyber-Versicherungen. „Der Versicherungsschutz greift in der Regel, wenn es zu einer ‚unzulässigen Nutzung‘ oder einem ‚unberechtigten Eingriff‘ in das IT-System des Unternehmens kommt.“

Einige Versicherer würden hier vage bleiben und eher schwammig formulieren, was für den Kunden unter Umständen vorteilhaft sei.

Gute Versicherungslösungen bieten darüber hinaus, so  Sarah Solga, Underwriter Financial Lines bei Allianz Global Corporate & Specialty (AGCS), auch einen erweiterten Deckungsumfang und neue Deckungselemente, zum Beispiel für Systemverbesserungen nach dem Schadensfall und für die Kostenübernahme von forensischen Dienstleistungen. Auch eine selbst herbeigeführte Betriebsunterbrechung zur Einhaltung von Datenschutzverpflichtungen sei gedeckt.

Vor allem bei Ransomware-Angriffen geht es nicht selten um Millionen. So fordern die Cyberkriminellen nicht nur immer höhere Lösegelder – auch eine Wiederherstellung der verschlüsselten Daten und das Bereinigen der IT-In­frastruktur gehen ordentlich ins Geld.

Grundsätzlich lässt sich sagen: Keine Versicherung leistet unbegrenzt. Bei Cyber-Versicherungen gilt laut Anja Käfer-Rohrbach vom GDV dasselbe wie bei anderen Versicherungen auch: Die Deckungssumme der Versicherung muss zum versicherten Risiko passen. Dabei kommt es unter anderem auf die Unternehmensgröße, vor allem aber auf das Geschäftsmodell des Unternehmens an.

Man sollte daher darauf achten, dass eine ausreichende Deckungshöhe versichert wird. Dabei sollte man sich Gedanken darüber machen, wie wichtig die IT-Infrastruktur für den Betrieb des Unternehmens ist und welche Folgen ein Ausfall mit sich bringt. Ein Unternehmen muss also überlegen, wie digital es ist. Grundsätzlich sind IT-Risiken ja etwas, das jedes Unternehmen hat. Wenn man jedoch ein besonders digitales Unternehmen ist, das zum Beispiel mit digitalen Produkten einen Großteil seines Umsatzes erwirtschaftet, dann ist das Risiko eines Ausfalls geschäftsgefährdend.

Cyberattacken mittels Ransomware gehören zu den  häufigsten Schadensfällen. Die Versicherer mussten laut Hanno Pingsmann von CyberDirekt aufgrund der hohen Schadensbelastung im vergangenen Jahr die Prämien deutlich anheben. Sein Rat: Vor dem Abschluss einer Cyber-Versicherung sollte man immer mindestens drei Angebote verschiedener Gesellschaften vergleichen und das Leistungsniveau dem Absicherungsbedarf des Unternehmens gegenüberstellen. Dazu zählten auch Haftungsgrenzen für einzelne Leistungen und neuerdings auch für bestimmte Risikoarten. Zu ihnen wird Ransomware gerechnet, weswegen für solche Cyberangriffe unter Umständen geringere Versicherungssummen angesetzt würden. „Man spricht in diesem Fall von einem sogenannten Sublimit, welches sich monetär oder auch prozentual ausdrücken kann.“

Bei den weitverbreiteten Ransomware-Attacken stellt sich für die betroffenen Unternehmen die entscheidende Frage: zahlen oder nicht zahlen? Wer eine Cyber-Versicherung abgeschlossen hat, sollte sich nicht nur die Bedingungen der Police genau ansehen, sondern stets auch Kontakt mit dem Versicherer aufnehmen. Im Fall von Ransomware-Angriffen ist zwischen der Bezahlung von Lösegeld auf der einen Seite und der Kostenübernahme zur Abwehr des Angriffs und der Folgen auf der anderen Seite zu unterscheiden. Im Fokus der Versicherer steht dabei, Lösegeldzahlungen an Kriminelle zu vermeiden und stattdessen einen Angriff schnell zu beenden und die Folgekosten zu übernehmen.

Der Gesamtverband der Deutschen Versicherungswirtschaft sieht in seinen Musterbedingungen einen Versicherungsschutz rund um Ransomware-Angriffe vor – allerdings ohne die Lösegeldzahlung selbst zu versichern. Gleichwohl versichern manche Assekuranzen auch die Zahlung von Lösegeld. „Dabei haben Versicherer bewährte Methoden, nur solche Risiken zu zeichnen, die sie auch tragen können. An einer Situation, in der Versicherungsschutz unbezahlbar wird, kann niemand Interesse haben“, betont Anja Käfer-Rohrbach.

Eine Cyber-Versicherung ist selbstverständlich kein Ersatz für die Notwendigkeit einer funktionierenden IT-Sicherheit im Unternehmen. Die IT-Sicherheit und der Schutz durch eine Cyber-Versicherung müssen viel mehr Hand in Hand gehen. Denn nichts ist schlimmer als eine Versicherung, die im Fall der Fälle nicht zahlt. Daher sollten Unternehmen beim Abschluss einer Police genau darauf achten, welche Mindestanforderungen die Assekuranz an den Unternehmenskunden stellt. In aller Regel fragen die Cyber-Versicherer das Schutzniveau aufseiten des Unternehmens ab und fordern gegebenenfalls Verbesserungen ein. Viele Versicherungen unterstützen ihre Kunden auch bei der Prävention, etwa durch Schulungen der Mitarbeiter.

Hanno Pingsmann weist darauf hin, dass diese IT-Mindestanforderungen notwendig und gegenüber den Versicherungskunden auch klar und transparent formuliert seien. Konkret verlangen die Versicherer zum Beispiel das regelmäßige Updaten von Software, die Nutzung von Virenschutz und Firewalls, ein gesichertes Backup oder den Einsatz von Multi-Faktor-Authentifizierung. „Sollten die vom Kunden gemachten Angaben nicht der Wahrheit entsprechen, kann der Versicherer aufgrund der Verletzung einer vorvertraglichen Anzeigepflicht die Leistungen kürzen oder gänzlich ablehnen“, so Pingsmann.

Das bestätigt Alexander Beth von der Allianz: „Die Anforderungen an die IT und Informationssicherheit haben sich dramatisch verändert. Wir schauen unter anderem viel stärker auf Patch-Management, also die regelmäßigen Updates von zum Beispiel Software und Betriebssystemen, und ob die Mitarbeiter regelmäßig geschult werden.“ Kunden müssten auch nachweisen, dass sie ein aktuelles, getestetes und geschütztes Offline-Back-up haben.

Vorsicht ist geboten, wenn man als Unternehmen seine IT oder die IT-Sicherheit auslagert. Das kann nämlich zumindest dann zum Problem werden, wenn „die auslagernden Unternehmen es versäumen, ihre eigenen Sicherheitsanforderungen zu definieren und ihre externen IT-Dienstleister zur Einhaltung zu verpflichten“, betont Anja Käfer-Rohrbach. Wer das mache – und das betreffe ihres Wissens nach mehr als die Hälfte der Unternehmen –, vertraue seinem Dienstleister vollkommen „blind“ und mache im Zweifel die Existenz seines Unternehmens von dessen Entscheidungen abhängig.

Die Tarife für Cyber-Versicherungen orientieren sich unter anderem an der Höhe der Versicherungssumme, dem Jahresumsatz des Unternehmens, der Branche sowie dem individuellen Risikoprofil. Aber auch die vereinbarte Selbstbeteiligung, die Anzahl der gespeicherten personenbezogenen Daten und die Abhängigkeit der Produktion von der IT des zu versichernden Unternehmens spielen eine Rolle.

Die Zunahme von Ransomware-Angriffen hat Sarah Solga zufolge zu einer erheblichen Verschiebung auf dem Cyber-Versicherungsmarkt geführt. „Laut dem Versicherungsmakler Marsh sind die Tarife für Cyber-Versicherungen gestiegen, während die Kapazitäten knapper geworden sind. Die Versicherer nehmen die von den Unternehmen eingesetzten Cyber-Sicherheitskontrollen immer genauer unter die Lupe.“

Zunächst beurteilen Versicherungsunternehmen die Risikoqualität, also den IT-Reifegrad des Unternehmens. „Je höher der IT-Reifegrad des Unternehmens ist, desto höhere Kapazitäten können wir unseren Versicherten zur Verfügung stellen“, so Alexander Beth. Dabei biete etwa AGCS für seine Versicherten maximal eine Kapazität in Höhe von 10 Millionen Euro pro Police an.

Große Konzerne, die höhere Versicherungssummen benötigen, müssen dann sogenannte Versicherungstürme mit verschiedenen Versicherungskonzernen aufbauen. Das geht laut Sarah Solga allerdings auch nur dann, wenn die IT-Sicherheit des Unternehmens gewisse Mindestkriterien erfüllt.

Das Preisbeispiel, das Hanno Pingsmann von Cyber­Direkt anführt, bezieht sich auf ein Unternehmen aus dem produzierenden Gewerbe mit einem Jahresumsatz von 1 Million Euro und sehr guten IT-Sicherheitsstandards. Eine 500.000-Euro-Cyber-Versicherung gebe es hier bereits für eine Jahresprämie zwischen 700 und 1400 Euro.

Das Thema Cyber-Versicherungen ist äußerst komplex und es gibt einiges zu beachten. com! professional spricht darüber mit Marcus Beckmann von Beckmann und Norda Rechtsanwälte in Bielefeld. Er berät Unternehmen unter anderem in den Bereichen  IT-Recht und gewerblicher Rechtsschutz.

• 

   

  Marcus Beckmann Rechtsanwalt bei Beckmann und Norda Rechtsanwälte

  Quelle:

  Privat

Marcus Beckmann: Unternehmen sind zahlreichen Risiken im Online- und IT-Bereich ausgesetzt. Eine Cyber-Versicherung kann helfen, diese abzumildern. Sie sollte die für das Unternehmen relevanten Problemfelder zu akzeptablen Konditionen absichern. Ein Problem ist der nach wie vor rasante technischen Fortschritt und das Entstehen immer neuer Cyberrisiken. Diese Dynamik sollte von der Versicherung abgebildet werden, sodass der Versicherungsschutz nicht bereits bei Vertragsschluss teilweise obsolet ist.

Beckmann: Versichern lässt sich im Grunde fast alles. Dazu zählen zum Beispiel Schäden an der IT-Infrastruktur durch Malware, DDoS-Attacken, Ransomware-Angriffe, Phishing und Identitätsdiebstahl oder Umsatzausfälle durch Server-Downtime. Je größer das Risiko, umso teurer ist die Versicherung. Insofern sollten Unternehmen abwägen, welche Risiken zu welchen Kosten versichert werden.

Beckmann: Wie immer kommt es auf den konkreten Vertrag an. Die Versicherungsbedingungen können sehr unterschiedlich sein. Welche Risiken in welchem Umfang unter welchen Voraussetzungen von der Versicherung abgedeckt sind, muss daher mit der Versicherung soweit möglich verhandelt und dann entsprechend vereinbart werden.

Beckmann: Auch Fehler von Mitarbeitern sind regelmäßig abgedeckt. Oft geht damit für den Versicherten die Obliegenheit einher, dass die Mitarbeiter ausreichend geschult sind. Insofern enthalten die Versicherungsbedingungen häufig entsprechende Regelungen.

Beckmann: Auch dies richtet sich nach dem Vertrag im Einzelfall. Dort sind Haftungsobergrenzen geregelt, die je nach versichertem Risiko unterschiedlich sein können. Die Höhe ist dabei eine Frage des Preises. Hier gilt es abzuwägen, was für ein Unternehmen wirtschaftlich ist.

Beckmann: Der Versicherungsvertrag enthält regelmäßig umfassende Regelungen, welche sicherheitsrelevanten Maßnahmen vorgehalten werden müssen, damit der Versicherungsschutz greift. Diese gilt es genau zu prüfen, einzuhalten und zu dokumentieren. Andernfalls kann die Versicherung im Schadensfall die Zahlung verweigern.

Viele versicherte Unternehmen sind sich nicht vollumfänglich bewusst, welche Kriterien eingehalten werden müssen, damit der Versicherungsschutz greift.

Beckmann: Ein Unternehmen kann sich nicht hinter Drittunternehmen verstecken. Ob und in welchen sicherheitsrelevanten Bereichen Drittunternehmen eingesetzt werden können und dürfen, regelt der Versicherungsvertrag. Dabei kann der Versicherungsvertrag festlegen, dass Drittunternehmen besondere Kriterien erfüllen müssen. Insofern sollten entsprechende Vereinbarungen mit dem Drittunternehmen geschlossen werden, die die Einhaltung der sicherheitsrelevanten Kriterien garantieren.

Beckmann: Eine Cyber-Versicherung kann ein ausreichendes Sicherheitskonzept und die strikte Einhaltung der IT-Sicherheit im Unternehmen niemals ersetzen, sondern einen wirtschaftlichen Schaden im Fall der Fälle nur reduzieren. Es empfiehlt sich, zunächst eine Bestandsaufnahme hinsichtlich der eigenen IT-Sicherheit und der unternehmensspezifischen Risiken zu machen. Dann sollten verschiedene, möglichst maßgeschneiderte Angebote von Versicherern eingeholt und die Bedingungen genauestens verglichen werden.

Die Zahl an Cyberangriffen nimmt weltweit dramatisch zu – und die Schadenssummen steigen. Eine Cyber-Versicherung kann zwar keinen Schutz vor einem Angriff bieten, aber zumindest die finanziellen Folgen abfedern. So verwundert es nicht, dass die Nachfrage nach entsprechenden Policen zunimmt. Allein von 2020 auf 2021 stiegen hier die Beitragseinnahmen bei den Versicherern in Deutschland um 50 Prozent auf rund 160 Millionen Euro. Der Markt wächst dabei von oben nach unten: Je größer das Unternehmen, desto höher die Wahrscheinlichkeit, dass eine Cyber-Versicherung vorhanden ist.

„Ich erwarte, dass die Cyber-Versicherung ebenso wie eine Betriebshaftpflicht-, Feuer- oder Vollkaskoversi­cherung ein Standardprodukt wird“, resümiert Hanno Pingsmann von CyberDirekt. In Anbetracht der steigenden Schadenszahlen und erhöhten Risikolage für Unternehmen sei allerdings damit zu rechnen, dass die Versicherungs-Tarife steigen werden. „Dies sehe ich jedoch im Verhältnis als nicht so problematisch“, so Pingsmann, „denn sehr viele Unternehmen zahlen heute mehr für die Vollkaskoversicherung ihres Fuhrparks als für die passende Cyber-Versicherung.“

---