Cyberversicherungen: Was sie können, wem sie nutzen
Die Risiken von Cyberangriffen sind für Betriebe schwer kalkulierbar. Cyberversicherungen sollen ihnen Schutz im Ernstfall bieten. Was ist beim Abschluss zu beachten?
Auf einen Blick
200 Milliarden Euro Schäden jährlich und starke Anstiege bei Angriffen aus dem Ausland. Das im Mai dieses Jahres erschienene Bundeslagebild Cybercrime 2023 macht deutlich, dass Cyberkriminalität in Deutschland eine ernsthafte wirtschaftliche Bedrohung darstellt. „Auch leicht verwundbare kleine und mittelständische Unternehmen waren […] stark betroffen“, schreibt das herausgebende Bundeskriminalamt.
Das macht die Schattenseite der Digitalisierung im Handwerk sichtbar: Je digitaler ein Handwerksbetrieb aufgestellt ist, desto stärker kann ein Cyberangriff sich auf seine Betriebsabläufe auswirken. „Wer am Computer nur das Office -Paket nutzt, dem wird bei einer schweren Cyberattacke noch kein Produktionsausfall drohen“, sagt der unabhängige Versicherungsberater Michael Jander . Bei stark digitalisierten Handwerksunternehmen hingegen kann der Schaden immense Auswirkungen haben.
Cyberversicherungen können den finanziellen Schaden eines Cyberangriffs auf einen Handwerksbetrieb abfedern. Inzwischen gibt es zahlreiche Angebote kleiner und großer Versicherungsunternehmen. Der Markt ist vielfältig; ebenso sind es die individuellen Versicherungspolicen.
Cyberversicherungen: Was kann geschützt werden?
Häufig würden Versicherer ihre Policen nach dem Baustein-Prinzip aufbauen, sagt Jander. Unternehmen könnten sich daraus die Schutzbausteine für die Bereiche heraussuchen, die für sie das größte Schadensrisiko darstellen. „Dass die Versicherung für die Kosten der Spezialisten aufkommt, die die Systeme wieder zum Laufen bringen, gehört zum Kern einer Cyberversicherung“, sagt Jander. Darüber hinaus würden häufig folgende Leistungen angeboten:
Hohe Anforderungen an die Betriebe
Mindestens so umfangreich wie die Schutzoptionen sind leider auch die Voraussetzungen, die Betriebe erfüllen müssen, damit eine Versicherung nach einem Angriff bezahlt. „Regelmäßige Updates , eine funktionierende Firewall, eine mindestens wöchentliche vollständige externe Datensicherung, Zwei-Faktor-Authentifizierung und 4-Augen-Prinzip bei größeren Überweisungen sind nur einige Punkte, die häufig verlangt werden“, sagt Jander.
Eine gute Orientierung, wie man sich versicherbar macht, gebe der IT-Grundschutz des Bundesamts für Sicherheit in der Informationstechnik (BSI). Die Anforderungen machen deutlich: Klein ist der Aufwand, der zur Erlangung so eines Grundschutzes betrieben werden muss, nicht.
Die hohen Ansprüche, die Versicherungen an Unternehmen stellen, machen deutlich, wie hoch sie das Risiko und die finanziellen Folgen eines Angriffs bewerten. „Ein Betrieb ohne nennenswerte Schutzmechanismen gegen Cyberangriffe ist für seriöse Anbieter schlicht nicht versicherbar“, fasst Michael Jander zusammen.
Risiken analysieren
Zugleich sei es nicht trivial, das eigene Risiko und die entsprechende Leistung einer Cyberversicherung zu beurteilen. „Das ist viel schwerer zu bewerten als eine Sachversicherung. Von Feuer, Wasser und Vandalismus hat man eine gewisse Vorstellung. Von den Einfallstoren für Cyberangriffe und den möglichen Folgen weiß man sehr viel weniger“, sagt Jander. Daher genüge es nicht, eine Versicherung abschließen und sich zurückzulehnen. „Betriebe sollten mit einer internen Risikoanalyse beginnen und sich dafür Aufgaben vornehmen, die sie auch bewältigen können“, erklärt der Versicherungsberater.
Fallstricke lauerten zudem in konkreten Fragen, wie der sogenannten Haftzeit bei Betriebsunterbrechungen. Denn ist diese Zeit überschritten, enden die Zahlungen der Versicherung. Von einer Haftzeit, die nur einen Monat beträgt, rät der Versicherungsberater beispielsweise ab. So schnell seien die Auswirkungen eines Angriffs häufig nicht behoben. „Man darf den zeitlichen Rahmen zur Wiederherstellung der Systeme nicht unterschätzen“, sagt Jander.
Cyberversicherung: Praxisbeispiel
In einem konkreten Fall hat Jander einen produzierenden Handwerksbetrieb mit 50 Mitarbeitern bei der Wahl einer Cyberversicherung beraten. „Der Betrieb ist so weit digitalisiert wie viele Unternehmen in seiner Größenklasse: Einiges läuft in der Produktion schon automatisiert, anderes noch manuell.“ Die in Frage kommenden drei Versicherungen hätten Policen zu Kosten von 1.500 bis 3.000 Euro pro Jahr angeboten.
„Der teuerste Anbieter war in dem Fall der schlechteste“, sagt Jander. Der günstigste sei gut gewesen, der beste habe preislich genau in der Mitte der beiden anderen gelegen. Größte Aufgabe für den Handwerksbetrieb: „Die Versicherung verlange ausdrücklich, dass der für die EDV zuständige Mitarbeiter jeden einzelnen Punkt einer Anforderungsliste überprüfen musste. Das waren 9 Punkte, in der jeder Punkt, wenn er nicht erfüllt ist, ein KO-Kriterium für den Versicherer darstellt.“ Die maximale Versicherungssumme betrug eine halbe Million Euro. Sie umfasse unter anderem Haftung gegenüber Dritten, Eigenschäden und Betriebsunterbrechungen.
Tipp: Sie wollen mehr über die Digitalisierung im Handwerk erfahren? Mit dem handwerk.com-Newsletter bleiben Sie auf dem Laufenden. Hier geht es zur Anmeldung!
