Es vergeht kaum eine Woche in der es keine Nachricht über eine neue Sicherheitslücke, gestohlene Daten oder einen Cyberangriff auf ein Unternehmen oder eine öffentliche Einrichtung gibt. Verständlicherweise wollen sich Firmen für einen solchen Fall absichern und ziehen eine Cyberversicherung in Betracht. Wir möchten uns heute einmal anschauen, welche Möglichkeiten eine solche Versicherung bietet und ob sie sich lohnt.
Vorteile einer Cyberversicherung
Die meisten Versicherungen haben ein ähnliches Repertoire an Leistungen im Schadensfall. Sie unterscheiden sich oft nur in der Höhe der Ersatzzahlungen oder im zeitlichen Umfang der Dienstleistungen.
Wichtig an dieser Stelle: in der Regel dienen die Versicherung nicht dazu einen Schaden zu verhindern, sondern ihn auf ein Minimum zu begrenzen oder finanzielle Kompensation zu leisten. Folgende Leistungen sind meistens enthalten:
Expertenunterstützung: Bei vielen Cyberversicherungen gibt es ein Experten-Team. Dieses hilft einem betroffenen Unternehmen schneller wieder handlungsfähig zu werden. Beispielsweise um nach einem Ransomware-Angriff wieder arbeiten zu können oder eine durch einen DDoS Angriff überlastete Webseite wieder funktionstüchtig zu machen.
Finanzieller Schutz: In der Regel decken Versicherungen die Kosten ab, die bei einem solchen Vorfall entstehen. Darunter zählt auch häufig eine Rechtsberatung und die Information der Kund*innen. Manche decken auch Kosten für Produktionsausfälle und Verkaufsverluste ab.
Rufschädigungsmanagement: In manchen Policen gibt es Leistungen für PR-Maßnahmen, um den guten Ruf einer Firma wiederherzustellen. Das beinhaltet beispielsweise eine ausgereifte SEO-Strategie (Suchmaschinenoptimierungs-Strategie) um den Vorfall bei Google schneller verschwinden zu lassen.
Nachteile einer Cyberversicherung?
Zunächst möchten wir nochmals betonen, dass eine Cyberversicherung erst nach einem eigentlichen Vorfall greift. Natürlich ist eine vollkommene Systemsicherheit nahezu utopisch, sich aber umgekehrt rein auf eine Cyberversicherung zu verlassen, ist ebenfalls nicht der richtige Weg. Werfen wir deshalb einen etwas kritischeren Blick auf die genannten Vorteile der Versicherung:
Expertenunterstützung: Auch IT-Experten sind Grenzen gesetzt. Ohne eine sinnvolle Backup-Strategie kann es passieren, dass nicht alle Daten wiederhergestellt werden können. Bei manchen Vorfällen dauert es entsprechend länger, bis der ursprüngliche Zustand wieder hergestellt wurde oder er kann sogar gar nicht mehr erreicht werden.
Finanzieller Schutz: Je nach Versicherung, Unternehmensgröße und Branche kann eine Cyberversicherung auch entsprechend viel Geld kosten. Hinzu kommt, dass viele Policen sehr komplex gestaltet sind und nicht immer alle Risiken automatisch abgedeckt werden. Manchmal sind bestimmte Bedingungen nötig für die Abdeckung und diese müssen genau eingehalten werden, damit die Versicherung greift. Zusätzlich wird oft eine Selbstbeteiligung fällig, die das Unternehmen dann tragen muss.
Rufschädigungsmanagement: Zwar helfen einige Cyberversicherungen dabei den Ruf wiederherzustellen, aber das hilft nicht immer einen entstandenen Reputations-Verlust zu kompensieren. Manche Firmen müssen ihre Kunden beispielsweise künftig durch NIS-2-Gesetze je nach Schwere eines Vorfalls verpflichtend informieren. Dies kann auch durch eine gute PR-Kampagne nicht rückgängig gemacht werden.
Preise und Anbieter
Mittlerweile gibt es einige Anbieter, die sich auf Cyberversicherungen spezialisiert haben und diese mit unterschiedlichen Preismodellen anbieten. Oft hängt die Summe von der Größe des Unternehmens, dem Umsatz und den Mitarbeiterzahlen ab. Dadurch lassen sich keine allgemeingültigen Aussagen über die Preise treffen. Ein Beitrag von 150 Euro jährlich ist mindestens notwendig. Dies betrifft jedoch eher kleinere Firmen. Bei größeren Unternehmen kann der Beitrag auch mehrere tausend Euro jährlich betragen.
Welches ist die passende Cyberversicherung für mein Unternehmen?
Generell raten wir dazu sich Zeit bei der Auswahl der passenden Cyberversicherung zu nehmen. Es gibt viele Faktoren, die beeinflussen, welche Versicherung für Ihr Unternehmen die beste ist. Zunächst sollte eine Risikoanalyse erstellt werden. Welchen Gefahren unterliegt die eigene Firma und was muss entsprechend geschützt werden? Diese Daten können dann mit dem Deckungsumfang der Versicherung abgeglichen werden. Sind alle wichtigen Risiken versichert? Beachten sollten Sie dabei, ob es bestimmte Voraussetzungen gibt, bei denen die Versicherung nur zahlt, wenn sie vorher umgesetzt wurden, wie beispielsweise Multi-Faktor-Authentifizierung für Mitarbeiter. Geklärt werden sollte auch, ob Eigenverschulden durch das Öffnen von Phishing-Mails abgedeckt ist und ob es eine Entschädigungszahlung für Betriebsunterbrechungen gibt.
Anschließend raten wir dazu mehrere Angebote zu vergleichen oder Vergleichsportale zu nutzen, um die Versicherung zu finden, die das beste Preis-Leistungs-Verhältnis bietet. Vergessen Sie hierbei nicht eine mögliche Selbstbeteiligung und vergleichen Sie auch hier die unterschiedlichen Preisklassen.
Ist eine Cyberversicherung für mein Unternehmen sinnvoll?
Pauschal lässt sich diese Frage nicht beantworten. Prinzipiell kann sie schon helfen, um nach einem Sicherheitsvorfall schnell Maßnahmen ergreifen zu können und auch finanzielle Schäden etwas abzumildern. Tatsächlich muss man sich aber auch immer vor Augen halten, dass eine solche Versicherung nicht vor einem Angriff schützt, sondern nur dann greift, wenn tatsächlich bereits etwas passiert ist. Die Frage ist hierbei, ob es nicht sinnvoller wäre, bereits vorher etwas Geld in die Hand zu nehmen, um sich vor solchen Angriffen zu schützen und nicht zu warten bis sie passieren. Manchmal sind solche Maßnahmen ohnehin eine Voraussetzung dafür, überhaupt eine Versicherung abschließen zu können. Somit wäre es sinnvoller zunächst einmal die eigene Risikobewertung durchzugehen und eklatante Lücken bereits im Voraus zu erkennen und zu schließen. Im Anschluss kann man dann erneut darüber nachdenken, das Unternehmen noch einmal zusätzlich abzusichern.