Wie Sie sich richtig gegen Cyberangriffe versichern

Richtiger Schutz vor Cyberangriffen

Zum Schutz vor Cyberangriffen und deren Folgen empfiehlt sich eine Versicherung

Keyfacts über Cyberangriff

  • Cyberangriffe verursachen Millionenschäden
  • Nur jedes 10. Unternehmen ist versichert
  • Im Angriffsfall zählt die Erstreaktion
Zusammenfassung lesen Studie herunterladen

Cyberkriminelle entwenden oder manipulieren vertrauliche Daten, schleusen Schadsoftware in das Netzwerk oder legen Produktionsanlagen lahm. Dabei verursachen sie Schäden in Millionenhöhe, das zeigen die Fälle von Sony Pictures und dem Deutschen Bundestag. Doch lohnt sich eine Cyberversicherung?

Gemessen an der Wirtschaftsleistung sind diese Schäden nirgends so hoch wie in Deutschland. 40 Prozent der Unternehmen waren in den vergangenen zwei Jahren von Cyberkriminalität betroffen. Der Gesamtschaden beläuft sich auf circa 54 Milliarden Euro. Dennoch sichern sich nur 10 Prozent der deutschen Unternehmen dagegen ab. In den USA und in Großbritannien gehören Cyberversicherungen zu den Trendprodukten. In Deutschland bieten inzwischen 13 Versicherer Cyberpolicen für Geschäftskunden an. Die Angebote unterscheiden sich teilweise erheblich.

Was man vor einem Abschluss wissen muss

Cyberversicherung werden als Standard- oder Individuallösung angeboten. Die Deckungssumme ist bei allen Versicherern begrenzt. Die größte Flexibilität wird bei ausbleibender Minimalgrenze der Deckungssumme und einer Maximalgrenze bei 100 Millionen Euro erreicht. Der Eigenanteil des Versicherungsnehmers – auch im Hinblick auf vorab definierte Ausfallzeiten – ist meistens verhandelbar.

Sämtliche Anbieter übernehmen die Kosten für das Abwehren unberechtigter und das Begleichen berechtigter Schadensersatzansprüche Dritter, außerdem die Haftpflicht infolge von Hackerangriffen, Denial-of-Service-Attacken, Datenschutzverletzungen oder nicht funktionierender digitaler Kommunikation.

40 %

der Unternehmen waren in den vergangenen zwei Jahren von Cyberkriminalität betroffen.

Was sind die kritischen Fälle?

Bei der Sabotage von IT-Anlagen begleichen nur wenige Anbieter den Schaden, den Kosten für Ersatzleistungen, Reparaturen oder Neuanschaffungen verursachen. Auch bei Lösegeldzahlungen ist das Bild uneinheitlich – Cyber-Erpressungsversuche treten oft auf, vorrangig mit sogenannter Ransomware. Für fast alle Anbieter sind dies zumindest theoretische Regulierungsfälle. Nur ein Versicherer schließt derartige Zahlungen explizit aus.

Ebenso wenig zahlen alle Anbieter bei klassischem Internetbetrug oder Urkundenfälschung. Letztere ist ein probates Mittel, um bei Fake-President-Betrugsmaschen beispielsweise die Freigabe von Zahlungsanweisungen durch Mitarbeiter vorzutäuschen.

Eine Lücke besteht außerdem bei Reputationsschäden. Da diese gravierende Folgen haben können, decken einige Versicherer dieses Risiko ausdrücklich nicht ab.

Vorsicht bei den Regelungen zu Cyberangriffen auf verbundene Dritte

Das betrifft zum Beispiel Cloud-Anbieter oder Geschäftspartner, die Unternehmensdaten nutzen oder bereitstellen. Die Frage ist, wie verbundene Dritte zu definieren sind: Sind davon auch Konzerngesellschaften betroffen? Wie sind Minderheitsbeteiligungen geregelt? Das Bild ist hier heterogen. Ausdrücklich nicht abgesichert werden bei fast allen Versicherern Personen- und Sachschäden, auch Strafzahlungen nach Verurteilungen sind bei vielen nicht gedeckt.

Im Schadensfall ist die Erstreaktion besonders kritisch

Oft versuchen Unternehmen Cybervorfälle eigenständig aufzuarbeiten, selbst wenn sie nicht über ausreichend Kapazitäten und Fachwissen verfügen. Das führt zu höheren Schäden, da es die Aufklärung verzögert. Unklare Zuständigkeiten, Fehler in Beweissicherung und Kommunikation haben oft irreparable Auswirkungen. Versicherer verlangen deshalb eine schnelle Reaktion über den Notfall-Service.

Dieser besteht aus einer Hotline, oft ergänzt durch eine Cyber-Assistance mit IT-Forensik-Experten. Mit ihrer Erfahrung und globalen Netzwerken stellen sie eine schnelle, koordinierte und angemessene Reaktion der Beteiligten sicher. Selbst wenn zeitgleich an mehreren Standorten Maßnahmen erforderlich sind. Häufig kooperieren sie mit spezialisierten Wirtschaftskanzleien.
IT-Forensiker stellen die komplexen technischen Sachverhalte verständlich dar und ermöglichen klare Aussagen nach innen und außen. Sie wissen auch, für welche Einzelfragen weitere technische Spezialisten, beispielsweise für Fragen zu proprietärer Software, einzubeziehen sind.

Eine Risikoanalyse ist für Unternehmer unumgänglich

Grundsätzlich lohnt sich das Abschließen einer Cyberpolice. Doch der Versicherungsnehmer muss konkrete Risikoszenarien definieren und prüfen. Nur so ist zu gewährleisten, dass er bekommt, was er sich von einer Cyberversicherung erhofft.

Zudem empfiehlt es sich, Sicherheitskonzepte einzuführen und Mitarbeiter für Cyberrisiken zu sensibilisieren. Denn deren Achtsamkeit kann das Risiko eines Cyberangriffs senken.

Studie herunterladen
14. September 2015
Zusammengefasst

»„Gemessen an der Wirtschaftsleistung sind diese Schäden nirgends so hoch wie in Deutschland.“«

Der Schaden durch Cyberangriffe geht in die Millionenhöhe, doch nur jedes 10. Unternehmen in Deutschland entscheidet sich für eine Cyberversicherung. Der IT-Forensik-Experte erklärt warum: Nicht jeder Schaden wird von der Versicherung übernommen. Im Falle eines cyberkriminellen Angriffs heißt es dann schnell und vor allem richtig reagieren. Mitarbeiterschulungen und die Implementierung von Sicherheitskonzepten stellen dabei eine nicht zu unterschätzende Größe dar.

Alexander Geschonneck Partner, Forensic
Ganzen Artikel lesen

Kommentare

Welche Komponenten in der Police gegen Cyberangriffe sind sinnvoll?

*Ihre E-Mail-Adresse wird nicht veröffentlicht

Das könnte Sie auch interessieren

KPMG verwendet Cookies, die für die Funktionalität und das Nutzerverhalten auf der Website notwendig sind. Durch die Nutzung der Website stimmen Sie dem Einsatz von Cookies zu, wie sie in der Datenschutzerklärung von KPMG im Detail ausgeführt ist. Schließen