Cyberangriffe richten regelmäßig erheblichen Schaden an. IBM beziffert in einer weltweiten Studie die durchschnittlichen Kosten eines erfolgreichen Angriffs auf satte 4,45 Millionen US-Dollar und verzeichnet einen kontinuierlichen Anstieg – seit 2020 um 15 Prozent (Cost of a Data Breach Report 2023). In einer Befragung mittelständischer Unternehmen in Deutschland ermittelte der Cyberversicherungsmakler CyberDirekt „nur“ knapp 200.000 Euro durchschnittliche Schadenshöhe (CyberDirekt Risikolage 2022) – für viele Firmen dennoch bedrohlich hohe Kosten.

Gleichzeitig werden Cyberversicherungen immer teurer. Und manch einem Unternehmen wird womöglich der Abschluss einer Police verweigert, weil es bestimmte Voraussetzungen nicht erfüllt. Wie Cyberversicherer agieren und was Sie tun können, damit Ihre Cyberversicherung bezahlbar bleibt (oder Sie überhaupt erst eine erhalten), diskutiert dieser Beitrag.

Das bieten Cyberversicherungen

Mit dem Produkttyp der Cyberversicherung reagiert die Versicherungsbranche auf die Zunahme der Cyberkriminalität im Zuge von globaler Vernetzung und Digitalisierung. So listet das Allianz Risk Barometer 2023, eine weltweite Umfrage nach den am gravierendsten eingeschätzten Geschäftsrisiken, Cybervorfälle auf Platz 1 noch vor Betriebs- und Lieferkettenunterbrechungen, makroökonomischen Entwicklungen (wie Inflation) und Energiekrise. Mit Veröffentlichungen wie diesen schärft die Branche das Problembewusstsein und bietet auch gleich das passende Produkt. Eine typische Cyberversicherung kombiniert mehrere Versicherungsarten, insbesondere Haftpflichtversicherung, Betriebsausfallversicherung und Datenversicherung. Dabei bietet sie Versicherungsschutz für eigene und fremde Schäden, die andere Versicherungen meist nicht abdecken, vor allem Vermögensschäden (zusätzlich zu Personen- und Sachschäden). Für die Folgen von Cyberangriffen, Datenschutzvorfällen, Ausfällen (z. B. von Cloud-Services) und oft auch IT-Bedienfehlern versprechen viele Anbieter Rundum-sorglos-Pakete, die neben der Kostenübernahme für Vermögensschäden, Betriebsausfälle und die Wiederherstellung von Systemen und Daten auch Rechtsschutzleistungen sowie Unterstützung etwa bei Schaden- und Ursachenermittlung, Krisenkommunikation, Prävention und Mitarbeiterschulungen beinhalten können.

Prämien für Cyberversicherungen werden teurer

Aber die steigenden Cyberrisiken befördern nicht nur das Geschäft der Versicherer, sie kosten diese auch Geld. 2021 haben die deutschen Cyberversicherungen erstmals Verluste gemacht: „Unter dem Strich betrug die Schaden-Kostenquote fast 124 Prozent nach 65 Prozent ein Jahr zuvor“, zitiert die Website des Gesamtverbandes der Deutschen Versicherungswirtschaft (GDV) dessen Hauptgeschäftsführer Jörg Asmussen. 2022 kehrte die Branche in die Gewinnzone zurück und freute sich über eine deutlich gesunkene Quote von 78 Prozent – in erster Linie, weil sie ihre Beiträge saftig erhöht hatte. Zwar ging auch die Zahl der gemeldeten Schadensfälle leicht zurück (um 5 % auf knapp 2.900), der durchschnittlich geltend gemachte Schaden pro Fall stieg jedoch um über 13 Prozent (von 37.000 auf 42.000 Euro), sodass die Versicherer höhere Kosten von 121 Mio Euro trugen (+ 8%) – die sie aber durch 249 Mio Euro Prämien mehr als ausgleichen konnten (+ 56 %).

Gleichzeitig versuchen die Versicherer, ihre Risiken zu senken. Deshalb sind Unternehmen gut beraten, das Kleingedruckte in ihren Allgemeinen Versicherungsbedingungen (AVB) zu lesen: Gängig ist beispielsweise der Ausschluss von Schäden im Zusammenhang mit Krieg, Unruhen, „feindseligen Handlungen“ oder Terrorakten oder durch Lösegeldzahlungen (vgl. die Musterbedingungen „AVB Cyber“ des GdV). Nur selten wird die Zahlung von Lösegeld bei Ransomware-Angriffen, aktuell eine der größten Bedrohungen, in voller Höhe abgedeckt – einer Marktanalyse von CyberDirekt zufolge sind Lösegeldzahlungen nur bei 25 Prozent der untersuchten Tarife ohne weitere Einschränkungen inbegriffen und bei knapp 20 Prozent gar nicht!

Cyber-Risikoeinschätzung notorisch schwierig

Angesichts der hohen Dynamik auf dem Gebiet der Cybersicherheit, der Komplexität entsprechender Schadensfälle und einer schwierigen Datenlage für Risikoberechnungen ist es für Versicherer schwierig, ihre aktuellen Risiken bei Cyberversicherungen einzuschätzen. Sie versuchen daher, auf verschiedenen Wegen ihre Risiken zu minimieren: Dazu gehören neben höheren Prämien, zahlreichen Ausschlüssen und Begrenzungen der Versicherungssumme auch diverse Pflichten („Obliegenheiten“), die sie den Versicherungsnehmern in den AVB auferlegen. Werden diese nicht komplett erfüllt, behalten sich die Versicherer Nichtzahlung oder Leistungskürzungen vor. Einige fordern hier Absicherungsmaßnahmen nach dem „Stand der Technik“, was ihnen besonders viel Auslegungsspielraum bei Deckungsstreitigkeiten eröffnet, andere allgemein die Einhaltung aller gesetzlichen, behördlichen oder vertraglich vereinbarten Sicherheitsmaßnahmen. Ca. ein Viertel der von CyberDirekt untersuchten Bedingungswerke formulieren konkrete Obliegenheiten, ca. ein Drittel verzichtet ganz darauf.

Zudem stellen immer mehr Versicherer Mindestanforderungen an technische und organisatorische Schutzmaßnahmen, die ein Unternehmen erfüllen muss, um überhaupt eine Cyberversicherung abschließen oder verlängern zu können. Dazu gehören beispielsweise regelmäßige Schulungen, die Einhaltung der DSGVO, ein adäquates Sicherheitskonzept mit Rollen- und Berechtigungsmodell und Passwortrichtlinien, Backups und ein funktionierendes Notfallmanagement. Zudem führen Versicherer vor Vertragsabschluss häufig auch eigene Sicherheitstests durch.

Präventives Risikomanagement senkt Cyber-Versicherungskosten

Vor dem Hintergrund steigender Prämien und eingeschränkter Leistungen argumentieren inzwischen manche Experten, dass sich eine Cyberversicherung in vielen Fällen nicht lohnen würde. Angesichts der großen Bandbreite verfügbarer Angebote auf dem Markt ist eine solche Aussage sicher zu pauschal. Richtig ist, dass Unternehmen die Konditionen und AVBs der Anbieter genau prüfen und auch ihre eigenen Risiken realistisch einschätzen sollten, bevor sie eine Versicherung abschließen. Aber letztlich haben Versicherer und Versicherungsnehmer zumindest in einem Punkt das gleiche Interesse: Unternehmen sollten durch präventive Maßnahmen ihr Risiko – und damit auch das der Versicherungsanbieter – reduzieren und können dann auch günstigere Versicherungsprämien aushandeln.

Denn letztlich geht es um ein möglichst wirksames IT-Risikomanagement, um die Handlungsfähigkeit eines Unternehmens zu sichern und Schäden abzuwenden. Wie bei anderen Risiken auch sollte eine Versicherung darin nur ein einzelner Baustein von mehreren sein, dessen jeweilige Rolle zudem von den anderen jeweils verfügbaren Möglichkeiten abhängt, Schäden zu verhindern oder zu mildern.

Im Falle der Cybersicherheit muss dieser Baustein durch weitere Maßnahmen der Risikominimierung ergänzt werden, gerichtet auf:

• die aktuell relevanten Bedrohungen für die eigenen Lösungen (ermittelt mit Hilfe von Cyber Threat Intelligence)
• die Angriffsfläche, die man diesen Bedrohungen bietet (External Attack Surface Management)
• das Management erkannter Schwachstellen anhand ihrer Gefährlichkeit (risikobasiertes Vulnerability Management)
• die effektive Organisation der eigenen Sicherheitsprozesse inkl. Risikobewertung, klarer Aufgabenverteilungen, Verantwortlichkeiten und Notfallplanung (Informationssicherheitsmanagement).

Damit reduzieren Sie wirksam die Wahrscheinlichkeit erfolgreicher Cyberangriffe und das Ausmaß möglicher Schäden – und können auch den Verhandlungen mit Ihrem Cyberversicherer entspannt entgegensehen.

Finden Sie heraus, wie Outpost24 Ihrer IT-Sicherheit helfen kann: