Cyberrisiken: „Your System Was Hacked! Pay $…“

Foto: Shutterstock

Sie haben Angst. Aber sie tun es trotzdem (nicht). Die Rede ist von kleineren und mittleren Unternehmen, von denen 46 Prozent laut der Gothaer KMU-Studie 2021 einen Hackerangriff als bedrohlichstes Risiko 2021 einschätzen. Dennoch haben nur 16 Prozent davon eine Cyberversicherung. Ein Blick auf den Markt der diffusen Risiken.

Laut Hiscox Cyber Readiness Report 2021 haben deutsche Firmen ihre Ausgaben für Cybersicherheit im vergangenen Jahr massiv erhöht. Aber noch längst ist nicht alles safe. Für Makler tut sich ein interessantes Geschäft auf. Führende Versicherer schätzen das Absicherungsniveau größerer Unternehmen generell besser ein als das von kleineren und mittleren.

Aber selbst bei den Großen trügt die Sicherheit. „Wir stellen fest, dass, anders als man vielleicht erwartet, auch größere Unternehmen beim Thema IT-Sicherheit schlecht aufgestellt sein können“, sagt Marcus Unger vom Competence-Center Cyber der Artus Gruppe, Versicherungsmakler für den Mittelstand. Maßgeblich für das Absicherungsniveau eines Unternehmens sei die Ansiedlung des Themas im Unternehmen. IT-Sicherheit gehöre inzwischen mit ganz hoher Priorität auf die Agenda der Geschäftsführung, denn die IT sei für Geschäftsprozesse bei fast allen Branchen ein Herzstück der Organisation und müsse in allen Unternehmensbereichen organisiert sein. Habe man das erkannt, nehme das Absicherungsniveau schnell zu.

Auch Christian Gründl, Vorstandsmitglied der Ergo und verantwortlich für das Gewerbe- und Industriegeschäft, attestiert sowohl kleineren als auch größeren Unternehmen aller Branchen ein unterschiedliches IT-Sicherheits-Niveau, wobei größere Unternehmen durch die hauseigene IT als notwendige Grundsicherung gegen Cyberrisiken meist besser aufgestellt seien. Dies gilt laut der Basler für Unternehmen ab ca. 50 Millionen Euro Jahresumsatz.

Noch immer einer der häufigsten Denkfehler: „Wir sind zu klein, um für Cyberkriminelle interessant zu sein.“

Basler, Ergo, Gothaer, HDI, Thinksurance und Zurich sehen unisono trotz bekannter Gefahr- und Schadenlage große Lücken bei der Absicherung von KMUs. Die Unternehmen hielten sich zu unbedeutend für einen Cyberangriff und machten damit einen fatalen und möglicherweise teuren Denkfehler zu ihrem Risikoprofil. Begründungen wie „Wir sind zu klein, um für Cyberkriminelle interessant zu sein“, „Wir fliegen „unter dem Radar” von Cyberkriminellen” oder „Die eigene Branche ist zu „nischig“ seien falsch, denn der grundsätzliche Nutzen einer Cyberversicherung sei über alle Unternehmensgrößen und -branchen hinweg groß, so Chief Sales Officer Sven Schönfeld von der Plattform für Versicherungsvertrieb Thinksurance. Kostendruck, Umwelt, Pandemie und Lieferketten seien weitere Gründe für KMUs, sich nicht mit der Cyberversicherung zu beschäftigen, so die Basler. Oft mache sich der Kunde erst Gedanken, wenn er die Kosten und Aufwände eines Cybervorfalls erlebe. Für Thinksurance sind zum Beispiel Start-ups ein besonders interessanter Fall. Das Thema Absicherung werde bei der Existenzgründung wegen vieler anderer Aufgaben erst einmal geschoben.

„Dabei sind gerade SaaS- oder E-Commerce-Unternehmen attraktive Ziele für Cyberattacken“, so Schönfeld. Cyber-Expertin Jutta Berger-Knickmeier von der Zurich sieht auch KMUs, die gut aufgestellt sind, aber insgesamt müsse das Thema Cybersicherheit künftig an Bedeutung gewinnen. Vielen fehle es an Backup-Konzepten und Notfallplänen. Unger von Artus stellt außerdem fest, dass viele Unternehmen im ersten Schritt die technische Absicherung in den Vordergrund stellen. Für eine hohe Cyberresilienz sei aber auch die organisatorische Absicherung besonders wichtig. Gerade die Mitarbeiterschulung im Bereich Awareness sei in der Vergangenheit unterschätzt worden, sei jedoch sehr wichtig bei der Begegnung von Cyberrisiken. Ein zweiter Punkt, bei dem Unternehmen oft strukturierte Prozesse fehlten, sei die Prüfung der Risiken durch die Vernetzung mit Kunden, Lieferanten und Dienstleistern.

Beratungsbedarf ist also angezeigt bei Cyber. Die Marktdurchdringung bei KMUs ist schwach, Geschäftsfelder für Makler gibt es sowohl im Bestand als auch bei Neukunden. 87 Prozent der deutschen Unternehmen haben keine Cyberversicherung. Essenziell für Makler ist es, Kunden auf das Cyberrisiko anzusprechen und ein Risikobewusstsein zu wecken. Anknüpfen könne man beispielsweise an die stärkere mediale Berichterstattung über Cybergefahren, so die Basler.

HDI unterstreicht: „Ansatzpunkte bieten zum Beispiel immer wieder neue Cyberangriffe auf Unternehmen, die regelmäßig durch die Medien gehen“. Der Beratungsprozess selbst steht und fällt mit einer exakten Risikoanalyse, um Beratungsfehler zu vermeiden. Zu analysieren ist zunächst der Status-quo der Absicherung des Kunden, dann die speziellen Gefahren von Größe und Branche. Wo liegt die Wertschöpfung des Unternehmens? Wie sehen die Gegebenheiten, Strukturen und Prozesse aus? Für die Artus-Gruppe ergibt sich aus der Analyse, welche Risiken der Kunde selber tragen kann und will und wofür Artus im Auftrag des Kunden Versicherungsschutz einkauft. Damit die Cyberrisiken versicherbar blieben, müssten die Unternehmen weiter in ihre IT-Sicherheit investieren. Am Ende werde das Restrisiko zu versichern sein.

Sven Schönfeld, Thinksurance: „Annahmen, die eigene Branche sei zu nischig, sind falsch.“

Mit Blick auf die rasante technische Entwicklung müsse Artus als Versicherungsmakler einen kontinuierlichen Dialog mit seinen Kunden etablieren, damit das Absicherungskonzept auch diese Veränderungen berücksichtige. Der Versicherungsmakler für den Mittelstand werde verstärkt in das Risk-Management der Unternehmen eingebunden, das erlebe man auch in anderen Segmenten.

Bei Cyber gehe es inzwischen auch verstärkt darum, mit dem Kunden nicht nur über die Abwehr von Cyberrisiken zu sprechen, sondern sich auch über Maßnahmen und Prozesse nach einem Cybervorfall auszutauschen. Denn es sei unmöglich, sich gänzlich gegen eine Cyberattacke zu schützen: „So dick können sie die Mauer nicht bauen. Es geht vielmehr darum, den Cybervorfall gut zu überleben”, betont Unger.

Ein enormes Potenzial für Vermittler sieht Thinksurance besonders bei dem Thema Unterversicherung.

Thinksurance sieht beim Thema Unterversicherung ein enormes Potenzial für Vermittler. Und es werde noch größer, wenn man bedenke, dass auch ein bestehender Versicherungsschutz meist nur unregelmäßig kontrolliert und angepasst wird. Zusätzlich zum konkreten Absicherungs- bestehe auch realer Beratungsbedarf. Zum einen seien die Versicherungsprodukte noch recht neu und entwickelten sich dynamisch, zum anderen durch die bereits genannte Risikoanalyse. Für Makler sei es hilfreich, sich hier zu spezialisieren und zum Experten zu werden.

Das fördere auch einen Wandel im Selbstbild. Sie sollten beim Thema Cyber vom Vermittler zum Risikomanager der Kunden werden. Beispielsweise müsse verdeutlicht werden, dass nicht nur die Cyberversicherung, sondern auch die Prävention, also IT-Sicherheit und Mitarbeiterschulungen, enorm wichtig sei. Hier könne man auch den IT-Beauftragten des Unternehmens mit ins Gespräch nehmen. So werde es Maklern möglich, schrittweise und gemeinsam mit dem Kunden die Fragen zum Geschäftsmodell, der vorhandenen IT-Sicherheit oder nach möglichen Einfallstoren zu klären und ein Bewusstsein für das Thema zu bilden oder zu schärfen.

Schmalspur- oder Annexdeckungen reichen bei weitem nicht aus, um einen vollständigen Schutz zu gewährleisten

Die Basler ist neben HDI und Provinzial NordWest für die „Basler Cyber-Police“ mit dem Deutschen Versicherungs-Award 2021 von Franke und Bornberg ausgezeichnet worden. Der Versicherer definiert in drei Bausteinen, welche Absicherung ein Muss ist. Keinesfalls reichten Schmalspur- oder Annexdeckungen aus. Nur eine vollumfängliche Deckung mit allen Teilbereichen biete ausreichenden Schutz. Hierzu gehöre die Absicherung gegen Kostenschäden, wie die Soforthilfe und die Forensik (Ursachenermittlung), Benachrichtigungskosten, Krisenkommunikation und PR-Maßnahmen sowie Systemverbesserungen nach der Cyberattacke.

Der zweite Baustein sei die Abdeckung von Drittschäden, wie Befriedigung oder Abwehr von Ansprüchen Dritter, Vertragsstrafen wegen der Verletzung von Geheimhaltungspflichten und Datenschutzvereinbarungen und vertragliche Schadenersatzansprüche. Der dritte Baustein umfasse schließlich die Eigenschäden: Cyberdiebstahl, -erpressung oder -betrug, Betriebsunterbrechung, die Wiederherstellung von Daten, der Ersatz von IT-Hardware. Je nach Anbieter gebe es verschiedene optionale Zusatzbausteine, um die Absicherung individuell passend zu vervollständigen, etwa die Absicherung von Betriebsausfällen von mit dem Unternehmen verbundenen Dienstleisten aufgrund einer Cyberattacke.

HDI betont, dass neben dem reinen Deckungsumfang der Police vor allem auch professionelle Präventionsmaßnahmen entscheidend dazu beitragen, Cyberangriffe abzuwehren oder Schadenmöglichkeiten von vornherein eng zu begrenzen. Dazu gehörten einerseits entsprechende technische und organisatorische Maßnahmen, aber auch Mitarbeiterschulungen. Diese müssten in die Lage versetzt werden, beispielsweise Phishing-Mails als solche zu erkennen und entsprechend zu reagieren. Die HDI arbeitet deshalb bei der „HDI Cyber Versicherung“ immer mit den Cyber-Sicherheitsdienstleister Perseus zusammen.

Artus und Ergo sehen vor allem die Betriebsunterbrechung als Absicherungs-Muss. Weiterhin wichtig ist laut Ergo-Vorstand Gründl die Verfügbarkeit der zwingend notwendigen Spezialisten im Schadenfall. Anbieter von Cyberversicherungen könnten üblicherweise auf ein solches Netzwerk von Spezialisten zurückgreifen, die im Schadenfall sofort herangezogen werden könnten. Außerdem sei es wichtig, bei der Beratung die Möglichkeit zu nutzen, mit Hilfe von Fragebögen oder Spezialisten der Versicherer IT-Sicherheitslücken zu finden und zu schließen. Wichtig seien professionelle Serviceleistungen vor, während und nach dem Schadenfall.

Die Ergo ist mit der „Ergo Cyber-Versicherung“ am Markt. Für das Betriebsunterbrechungsrisiko ist es laut Unger von Artus von besonderer Bedeutung zu prüfen, welche Redundanzen es gebe und wie Wiederanlauf- und Notfallpläne aussähen. Für die Bewertung der maximalen Schadenhöhe sei die Netzwerksegmentierung sehr wichtig. Hier wird das Netzwerk in kleinere, separate Subnetzwerke unterteilt, wodurch Services speziell für jedes Subnetzwerk bereitgestellt werden können.

Wegen der Zunahme von Ransomware-Vorfällen seien außerdem die Themen Backup und Backup-Strategie ganz oben auf der Tagesordnung. Ransom heißt „Lösegeld“ und meint digitale Erpressung. Diese bewertet auch der Marsh Versicherungsmarktreport 2021 als derzeit höchste Gefahr. Dazu sollte sich jedes Unternehmen intensiv Gedanken machen und Rücksicherungen regelmäßig testen. Um das richtige Produkt zu finden, gebe es zahlreiche relevante Parameter. Insbesondere sollten die verwalteten und gespeicherten Daten hinsichtlich Menge und Kritikalität geprüft werden. Auch die Zurich betont die Abhängigkeit von Daten als extrem wichtigen Parameter. Kosten für die Datenwiederherstellung und Hilfe bei Datenschutzverletzungen seien Kernelemente einer jeden Deckung. Im Angebot hat die Zurich den „Firmen CyberSchutz“.

Anspruchsvolles Vermittler-Thema: Auch verdeckte Risiken und Kumulschäden können zu einem Spuk werden.

Aus Sicht von Thinksurance gibt es keine pauschalen Must-haves, es hänge vom Kunden, Branche und Geschäftsmodell ab. So gebe es auch den Fall, dass sich Unternehmen dafür entschieden, ein spezielles Risiko selbst zu tragen und eben keine Absicherung „einzukaufen“. Um das passende Produkt zu finden empfiehlt Schönfeld vier Punkte. Ersten sei es wichtig, Interdependenzen hinsichtlich eines eventuell bereits bestehenden Schutzes abzuklären. Komme es als Beispiel in einer Industry of Things-Fabrik zu einem Cybervorfall und es entstehe dann ein Schaden an einer Maschine, könne mitunter eine Maschinenbruch- oder eben eine Cyberversicherung greifen. Zweitens gelte es, die Angst vor dem Selbstbehalt abzulegen, wenn der Tarif inhaltlich überzeuge.

Daraus ergebe sich schon der dritte Punkt: bei Cyber solle man nicht nur nach dem Preis gehen, sondern nach Tarifmerkmalen, die wiederum zum Kunden passen sollten. Und viertens gelte es, vor Abschluss unbedingt die Obliegenheiten zu prüfen – es wäre mehr als ärgerlich, wenn der Schutz nicht greife, weil nicht alle Obliegenheiten erfüllt werden könnten.
Wie man sieht, ist Cyber für Vermittler sehr anspruchsvoll. Die Ermittlung der Deckungssumme ist komplex.

Auch verdeckte Risiken (Silent Cyber) und Kumulschäden können zu einem Spuk werden. Und das ist immer noch nicht alles, womit sich Vermittler auseinanderzusetzen haben. Laut Marsh Versicherungsmarktreport 2021 stieg das Risikobewusstsein der Unternehmen, für einige Versicherer sei das Risiko aber nicht oder schlecht einschätzbar. Als Folge hätten die Versicherer 2020 noch stärker als im Vorjahr die Prämien angehoben mit Steigerungen von 30 bis 40 Prozent, vereinzelt von 500 Prozent. Parallel wurden die Kapazitäten gesenkt. Einige Risiken galten für die Versicherer als gar nicht mehr versicherbar oder nur mit der Erfüllung bestimmter IT-Sicherheitsmaßnahmen. Dieser Trend werde auch 2021 anhalten.

Die Anbieter bestätigen die Marktverhärtung. Basler und Ergo gehen davon aus, dass Kosten und Bedingungen, zu denen die Kunden früher Cyberschutz einkaufen konnten, so nicht mehr gehalten werden können. Insbesondere für größere Unternehmen sieht die Basler das Problem, bestehende Kapazitäten zu halten oder zu erhöhen: „Durch die gestiegene Schadenhäufigkeit und -höhe, insbesondere bei größeren Risiken, sind die Bestände der Erst- und damit verbunden auch die Bestände der Rückversicherer unter Druck geraten“. Auch Berger-Knickmeier von der Zurich sagt: „Die größeren Unternehmen, die höhere Deckungssummen einkaufen möchten, trifft die Verhärtung stärker, da die verfügbaren Deckungssummen aktuell im Sinkflug sind“. Eine Marktverhärtung sei in allen Bereichen zu sehen, da für alle Segmente die Risiken und die Schadenzahlen stiegen.

Christian Gründl, Ergo, attestiert Unternehmen ein unterschiedliches Sicherheitsniveau.

Während Gründl von der Ergo ein gemeinsames Bemühen von Versicherern und Vermittlern sieht, bestehende Risiken durch ein aktives Risikomanagement versicherbar zu gestalten, spricht Thinksurance besonders im Gewerbe- und Industriemarkt von vermeintlichen Grabenkämpfen: Kunden gegen Vermittler gegen Versicherer. Das Insurtech sieht jedoch mithilfe moderner Tools wie seiner Beratungsplattform Ansatzpunkte, um die Marktteilnehmer an einen Tisch zu bekommen. Die Vermittler können über diese Plattform jederzeit auf die neuesten Tarifbedingungen zugreifen und diese auch übersichtlich und strukturiert einander gegenüberstellen.

Noch viel wichtiger sei ein Data Analytics Tool, das den Versicherern Insights in Kundenbedürfnisse und Marktnachfrage gebe und somit helfe, passende Versicherungsprodukte zu entwickeln. Und davon profitierten wiederum Vermittler und Kunden. HDI bietet Versicherungsschutz für Unternehmen mit einem Jahresumsatz von bis zu 20 Millionen Euro. Der Markt in diesem Segment sei fester geworden, HDI biete aber weiterhin Cyberversicherungsschutz für geeignete Risiken an.

Artus erwartet, dass künftig gewisse Risiken selbst zu tragen sind, zunehmende Ausschnittsdeckungen bei großen Unternehmen und steigende Prämien. Wie erwähnt, müsse der Kunde selbst in seine IT-Sicherheit investieren. Dann erwarte man vom Versicherer aber Treue und Verlässlichkeit.

Autorin Silvia Fischer ist Diplom-Betriebswirtin und Journalistin (FJS).

0 Kommentare
Inline Feedbacks
View all comments
Weitere Artikel
Unternehmen im Fokus
  • Skyline bei Sonnenuntergang
Wissen, was los ist – mit den Newslettern von Cash.
Wissen, was los ist – mit den Newslettern von Cash.