Die Cyber-Versicherung im Check

Cybercrime ist längst fester Bestandteil unserer Gesellschaft geworden. Dass wissen die meisten Unternehmen. So gaben bei der Studie „Cyberrisiken im Mittelstand 2020“ des Gesamtverbandes der deutschen Versicherungswirtschaft 70 Prozent der befragten Unternehmer an, dass sie das Risiko von Cyberkriminalität für Mittelständler durchaus als „hoch“ einstufen. Interessant dabei: lediglich 28 Prozent sehen ein Risiko für das eigene Unternehmen. Fakt ist aber: schon seit längerem sind auch kleine und mittelständische Firmen beliebte Ziele für Angriffe. Denn das Datenmaterial ist hier im Regelfall schlechter geschützt . Auch in unserem Kundenkreis gab es bereits Cyber-Attacken. Durchschnittlich verursacht ein erfolgreicher Hacker-Angriff auf ein kleines oder mittelständisches Unternehmen einen wirtschaftlichen Schaden von 70.000 €. Bei unseren Kunden belief sich der Schaden auf einen sechsstelligen Betrag.

Genauso wie die Angriffe auf Unternehmen zunehmen, vervielfachen sich auch die Spielarten der Cyberkriminalität. Wir stellen Ihnen hier drei typische Schadenszenarien vor und hoffen, dass Sie dadurch das konkrete Gefahrenpotenzial für Ihr Unternehmen realistischer einschätzen können.

Drei Schadenbeispiele aus der Praxis:

– Mailbombe: Unter einer Mailbombe versteht man das organisierte Verschicken einer Vielzahl von E-Mails mit oder ohne Anhängen, um die E-Mail-Kommunikation des Empfängers durch Überlastung der Mail-Server zu blockieren. Dies führt – abhängig von Stückzahl und Mailgröße – zu immensen Verzögerungen im Arbeitsalltag. Mailbomben sind selbst für Laien einfach umzusetzen. Im Internet gibt es eine Vielzahl an frei verfügbaren Tools, die den Versand von tausenden Mails gleichzeitig ermöglichen

– Datensabotage: Bei einem Datensabotageakt werden Daten beschädigt, verändert oder gelöscht. Dies erfolgt über ein Schadprogramm oder wird gezielt durch einen Eindringling vorgenommen

– digitale Erpressung: Digitale Erpressung kann in verschiedenen Formen auftreten. Die größte Verbreitung erfolgt über Schadprogramme. Hier wird in der Regel der Zugriff auf den eigenen Rechner blockiert und suggeriert, dass diese Blockade aufgehoben wird, wenn man eine Zahlung tätigt. Auch die Drohung, erbeutete Kundendaten zu veröffentlichen, ist ein häufiger Erpressungsansatz.

Ausführliche Infos zu diesen und weiteren Cyber Bedrohungen finden Sie in unserem Fact Sheet „Schadenszenarien Cyber“.

Damit Sie sich in die Situation hineinversetzen können, wie es sich anfühlt, Opfer einer Cyberattacke zu werden, hat die Hiscox ein Online-Spiel  entwickelt. Probieren Sie das gerne mal aus!

Restrisiko absichern

Fakt ist: Grundsätzlich kann jeder Betrieb geschädigt und auch schadenersatzpflichtig gemacht werden. Die Rechtsprechung vertritt hierbei nämlich einen klaren Standpunkt: Wer z. B. durch unzureichende Sicherung seines Datenbestandes eine Schädigung eines Dritten begünstigt, ist Mitschuldiger. Und hundertprozentige Sicherheit gibt es selbst mit einem hochprofessionellem Sicherheitskonzept nicht. Denn auch die Hacker entwickeln ihre Schadsoftware fortlaufend weiter. Da kann es durchaus sinnvoll sein, das Restrisiko mit einer Cyberversicherung zu begrenzen. Diese kann eine wirksame Firewall sicherlich nicht ersetzen. Aber sie kann helfen, die Folgen einer Attacke abzumildern.

Eine Cyber-Versicherung eignet sich für alle Gewerbetreibenden, Freiberufler und Betriebsinhaber, die Daten nicht nur in Papierform verwalten. Versichert sind – je nach Umfang des Vertrages – die gerechtfertigten Haftpflichtansprüche, die aus dem Missbrauch der Daten entstanden, die in Ihrem Betrieb gespeichert waren. Neben diesen Drittschäden sind aber auch Eigenschäden sowie Serviceleistungen Teil des Versicherungsschutzes.

Bausteine einer Cyber-Versicherung

Eine Cyberdeckung übernimmt je nach Versicherer, Tarif und vereinbartem Umfang in der Regel:

• Kosten für IT-Forensik
• Rechtsberatung
• Informationskosten
• Kreditüberwachungsdienstleistungen
• Kosten für Krisenmanagement
• Kosten für PR-Beratung
• Betriebsunterbrechungsschäden
• Vertragsstrafen (PCI)
• Lösegeldzahlungen
• Wiederherstellungskosten
• Sicherheitsverbesserungen

3 Tipps zur Cyberversicherung

Tipp 1: Individuelle Risikosituation analysieren

Vor jedem sinnvollen Policen-Abschluss sollte zunächst die umfassende Bewertung der individuellen Risiken Ihres Unternehmens stehen. Werden sensible Kundendaten erfasst und gespeichert? Wenn ja, wo? Werden beispielsweise personenbezogene Daten in einer Cloud ausgelagert? Welche Transaktionen werden vorgenommen? Nur eine detaillierte Analyse offenbart, für welche Schäden Sie überhaupt Versicherungsschutz benötigen.

Tipp 2: Leistungen vergleichen

Da sich die einzelnen Cyber-Versicherungen in ihren Leistungen, Umfängen und möglichen Zusatzbausteinen sehr unterscheiden, gilt es ganz genau hinzuschauen und die einzelnen Pakete mit Ihren Bedürfnissen abzugleichen. Denn bei weitem nicht jedes Unternehmen benötigt den kompletten Versicherungsschutz. Prüfen oder lassen Sie die Versicherungsbedingungen genau prüfen: welche Schäden werden bis zu welcher Höhe erstattet? Wie sieht es in punkto Selbstbeteiligung aus?

Tipp 3: Präventiv arbeiten

Die Cyber-Versicherung ist kein Allheilmittel. Sie müssen Ihren Pflichten als Arbeitgeber natürlich trotzdem nachkommen. So zahlt die Versicherung zum Beispiel nicht bei grober Fahrlässigkeit. Es werden also keine Schäden erstattet, wenn Sie schludrig bei Software-Updates waren oder Ihre Viren-Software veraltet ist. Manche Versicherer bieten aber diesbezüglich auch proaktive Beratung und Maßnahmen wie Schulungen, IT-Sicherheitsprüfungen etc. an.

Da die Tarife am Markt stark differieren und die Auswahl der für Sie sinnvollen Bausteine nicht ganz einfach ist, beraten wir Sie bei Bedarf gerne. Natürlich unterstützen wir Sie auch bei der Festlegung der passenden Versicherungssummen. Denn jede Cyberversicherung muss zur individuellen Risikosituation Ihres Unternehmens passen.

Schauen Sie sich zu diesem Thema auch unser Cyber-Video der Reihe „EVK erklärt“ an