Bedrohungslage von Cyber-Angriffen für Unternehmen
Ransomware und andere Cyber-Angriffe werden die Widerstandsfähigkeit von Lieferketten und Geschäftsmodellen auch 2024 auf die Probe stellen. In jedem Fall gehören Cyber-Vorfälle wie Malware-Angriffe, Verstöße gegen den Datenschutz und Ausfälle der IT-Systeme weltweit zu den größten Ängsten der Unternehmen. An zweiter Stelle folgt das damit eng verbundene Risiko einer Betriebsunterbrechung.
Cyber-Vorfälle (36 Prozent aller Vorfälle) sind damit zum dritten Mal in Folge das weltweit am meisten gefürchtete Risiko – erstmals mit deutlichem Abstand (5 Prozent). Datenschutzverletzungen betrachten die Befragten des Allianz Risk Barometers als die besorgniserregendste Cyber-Bedrohung (59 Prozent), gefolgt von Angriffen auf kritische Infrastrukturen und physische Vermögenswerte (53 Prozent). Die jüngste Zunahme von Ransomware-Angriffen – mit einer bedenklichen Zunahme im Jahr 2023 und einem Anstieg der Versicherungsschäden um mehr als 50 Prozent im Vergleich zu 2022 – steht an dritter Stelle (53 Prozent).
Auch in Deutschland rangieren die Sorge vor Cyber-Vorfällen und Betriebsunterbrechungen auf den ersten beiden Plätzen der Umfrage. Kein Wunder, schließlich waren 2022 fast drei Viertel (72 Prozent) oder 148 Milliarden Euro des Gesamtschadens, der der deutschen Wirtschaft durch Datendiebstahl, Sabotage und Wirtschaftsspionage entsteht, allein auf Cyber-Angriffe zurückzuführen. Beispiele für betroffene Unternehmen gibt es viele, darunter prominente Namen.
Welche Leistungen beinhalten Cyber-Versicherungen?
Eine Cyber-Versicherung umfasst je nach Vertrag folgende Leistungen:
- Finanzieller Schutz: Cyber-Versicherungen bieten finanziellen Schutz vor Schäden, ausgelöst durch Cyber-Vorfälle (siehe unten). Dazu zählen Ausgaben für Untersuchungen, Kreditüberwachung und potenzielle rechtliche Verpflichtungen sowie andere Kosten im Zusammenhang mit Datenschutzverletzungen. Darüber hinaus kann sie für Betriebsunterbrechungen, Umsatzeinbußen und die Wiederherstellung von Computersystemen aufkommen.
- Prävention und Beseitigung: Eine Cyber-Haftpflichtversicherung schützt Unternehmen gegen das Risiko von Cyber-Ereignissen, einschließlich solcher mit terroristischem Hintergrund. Sie deckt die Netzwerksicherheit ab und hilft bei der zeitnahen Behebung von Cyber-Angriffen und -ähnlichen Vorfällen.
- Rechtliche Unterstützung: Rechtsbeistand ist häufig in Cyber-Versicherungen enthalten. Das hilft Unternehmen dabei, sich in dem komplizierten Rechtssystem im Zusammenhang mit Cyber-Vorfällen zurechtzufinden. Sie deckt zum Beispiel die Kosten für Rechtsbeistand, Compliance und mögliche Klagen aufgrund von Datenschutzverletzungen ab.
Weitere in der Regel abgedeckte Kosten:
- Benachrichtigung von Kunden nach einer Sicherheitsvorfall.
- Beauftragung von Forensikern mit der Wiederherstellung kompromittierter Daten.
- Wiederherstellung der Identität von Kunden, deren personenbezogene Daten kompromittiert wurden.
- Wiederherstellung von veränderten oder gestohlenen Daten.
- Reparatur oder Ersatz beschädigter oder beeinträchtigter Computersysteme.
Hinzu kommen weitere positive Nebeneffekte: Mit dem Abschluss einer Cyber-Versicherung heben sich Unternehmen von ihren Mitbewerbern ab, indem sie ihr Engagement zum Schutz von Kundendaten und zur aktiven Vorbereitung gegen Cyber-Attacken unter Beweis stellen. Darüber hinaus demonstrieren sie ihr Bekenntnis zu hoher Cyber_Sicherheit. Das stärkt das Ansehen und das Vertrauen bei Kunden, Stakeholdern und Partnern. Schließlich geben Cyber_Versicherungen Unternehmen ein Gefühl der Sicherheit, indem sie ihre finanzielle Stabilität bei Cyber_Krisen gewährleisten. Unternehmen können sich auf ihr Kerngeschäft konzentrieren, ohne permanent mögliche finanzielle und Reputationsfolgen eines Cyber-Angriffs erwägen zu müssen.
Welche Cyber-Risiken sind versichert?
In Bezug auf Cyber-Angriffe bieten Cyber-Versicherungen Schutz vor verschiedenen Risiken, die im Zusammenhang mit der Nutzung des Internets entstehen. Zu beachten ist, dass der genaue Umfang des Versicherungsschutzes je nach Anbieter und Tarif variiert. Hier einige Beispiele:
- Cyber-Betrug: Schäden, verursacht durch betrügerische Aktivitäten im Internet wie Phishing.
- DoS- und DDoS-Angriffe: Schäden durch Angriffe, die darauf abzielen, einen Dienst oder eine Website unzugänglich zu machen.
- Infektionen durch Schadprogramme: Schäden durch Ransomware, Würmer, Trojaner und andere Malware.
- Datenverlust: Kosten für die Wiederherstellung oder den Ersatz verlorener oder gestohlener Daten.
- Verletzung von Datenschutz- und Geheimhaltungspflichten: Bußgelder und andere Kosten aufgrund von Verstößen gegen Datenschutzgesetze.
- Cloud-Ausfall: Schäden, entstanden durch den Ausfall von Cloud-Diensten.
Welche Schäden schließen Cyber-Versicherungen aus?
Vermeidbare, von Menschen verursachte Sicherheitsprobleme, wie beispielsweise schlechtes Konfigurationsmanagement oder unvorsichtiger Umgang mit digitalen Ressourcen, schließen viele Cyber-Cersicherungen aus. Zu den weiteren Problemen, die von den Cyber-Sicherheitsrichtlinien ausgeschlossen werden, gehören unter anderem:
- Bestehende oder frühere Verstöße oder Cyber-Ereignisse, zum Beispiel Vorfälle, die sich vor Abschluss der Versicherung ereignet haben.
- Cyber-Ereignisse, für die Mitarbeiter oder Insider verantwortlich sind.
- Infrastrukturausfälle, die nicht im Zusammenhang mit einem gezielten Cyber-Angriff stehen.
- Das Versäumnis, eine bekannte Schwachstelle zu beheben. Wenn etwa ein Unternehmen von Schwachstellen in seinem System wusste, diese aber nicht behoben hat und dadurch kompromittiert wurde, entfällt der Versicherungsschutz.
- Kosten für die Verbesserung technischer Systeme, einschließlich der Sicherheitsvorkehrungen in Systemen oder Anwendungen.
- Verlust von geistigem Eigentum wie geschützten Informationen, Geschäftsgeheimnissen oder anderen unbezahlbaren immateriellen Vermögenswerten.
- Kriegsschäden: In der Regel enthalten Cyber-Versicherungen sogenannte “Kriegsausschlussklauseln”, die Schäden durch Krieg oder kriegsähnliche Ereignisse ausschließen.
Gibt es spezielle Regeln für Cyber-Versicherungen in Deutschland?
Für Deutschland gibt es spezielle Regelungen, konkret die allgemeinen Versicherungsbedingungen für die Cyber-Risikoversicherung des Gesamtverbandes der Deutschen Versicherungswirtschaft (GDV). Die Cyber-Versicherer sind zwar nicht verpflichtet, ihre Policen exakt so zu gestalten, viele folgen aber den Verbandsvorgaben. Folgende Aspekte hat der Verband kürzlich geändert:
- Mobiles Arbeiten: Die neuen Musterbedingungen beinhaltet auch die Versicherung des Fernzugriffs auf die Unternehmens-IT.
- Verstoß gegen Datenschutzgesetze: Die Datenschutzgrundverordnung (DSGVO) räumt seit 2018 den Betroffenen eines Datenlecks einen Anspruch auf Schadenersatz ein. Da von einem solchen Datenleck meist viele Personen betroffen sind, sind die Schäden oft sehr hoch. Dieses Risiko ist in den überarbeiteten Musterbedingungen mitversichert.
- Krieg und staatliche Angriffe: Die Neufassung stellt klar, dass ein Krieg im Sinne der Bedingungen nicht die Anwendung physischer Waffengewalt voraussetzt. Schäden durch Kriegshandlungen kann die Versicherung auch dann ausschließen, wenn digitale Angriffe erfolgen. Ferner schließen die neuen Musterbedingungen auch staatliche Cyber-Angriffe aus. Dies betrifft Schäden in Zusammenhang mit unmittelbaren oder mittelbaren Folgen eines staatlichen Angriffs auf kritische Infrastrukturen.
- Externe Dienstleister: Schäden durch Störungen bei externen Dienstleistern wie Cloud-Anbietern, Rechenzentren oder Software-as-a-Service-Lösungen waren bisher nicht versichert. Die neuen Musterbedingungen heben diesen Ausschluss weitgehend auf: Manipulieren Angreifer beim Dienstleister gespeicherte Daten, infizieren sie mit Malware oder machen sie Unbefugten zugänglich, besteht nun oft Versicherungsschutz. Ausgeschlossen bleibt allerdings, wenn der Dienstleister ausfällt und es aus diesem Grund zu Betriebsstörungen kommt.
Gibt es Voraussetzungen für den Abschluss von Cyber-Versicherungen?
Das Interesse an Cyber-Versicherungen ist in der Wirtschaft enorm. Allerdings erfüllen nicht alle Unternehmen die Anforderungen an die Cyber-Sicherheit, die Versicherer inzwischen voraussetzen. Galt anfangs nur ein Basisschutz als Kriterium, müssen Unternehmen, die sich versichern lassen wollen, mittlerweile ein hohes Schutzniveau nachweisen.
Die Basis für ein erforderliches Mindestmaß an IT-Sicherheit bilden bekannte Maßnahmen wie regelmäßige Datensicherungen, individuelle Zugänge, Schutz vor Malware-Attacken, Firewalls und zeitnah installierte Sicherheitsupdates. Es geht aber inzwischen über die technischen Maßnahmen hinaus. Das bedeutet, auch organisatorische und prozessuale Maßnahmen zu adressieren und umzusetzen. Und vor allem den Menschen mit einzubeziehen. Mitarbeiterschulungen zum Thema, Richtlinien (z.B. Passwortrichtlinien) sind bekannt zu machen und einzuhalten sowie IT-Sicherheitsprozesse zu institutionalisieren. All dies muss messbar und überprüfbar sein, wobei die Verantwortung von der obersten Führungsebene bis zu jedem einzelnen Beschäftigten reicht.
Wie bei jedem Versicherungsvertrag stellt der Versicherer Fragen zum Risiko. Er kann weitere notwendige Sicherheitsmaßnahmen verlangen, die zu berücksichtigen sind. Daher ist die bereits erwähnte Nachvollziehbarkeit wichtig. Alle identifizierten Risiken sind zu reduzieren bzw. zu normalisieren. Geschieht dies nicht, kann der Versicherer bestimmte Schäden im Vertrag ausschließen.
Ein standardisiertes System zur Verwaltung von Identitäten und Zugriffsrechten für die verschiedenen On-Premise- und Cloud-Anwendungen ist beispielsweise als Basis zwingend erforderlich. Denn wie ein guter Brandschutz stellt etwa ein sauber implementiertes Zugriffsrechtesystem über IAM eine Grundlage für niedrigere Versicherungsprämien dar. Schließlich schützen Mechanismen wie die Eskalation von Verstößen bei inkompatiblen Aktivitäten und andere Maßnahmen wie ein Need-to-know-Rollenmodell die Compliance und helfen beim Nachweis unbefugter Zugriffe.
Darüber hinaus sind Unternehmen verpflichtet, sich an die geltenden gesetzlichen Grundlagen zu halten. So ist beispielsweise die Cyber-Versicherung einer Arztpraxis oder eines Krankenhauses an die Einhaltung branchenspezifischer Sicherheitsstandards (B3S), des Patientendatenschutzgesetzes und weiterer Maßnahmen für kritische Infrastrukturen gebunden.
Bestimmte Zertifizierungen sind jedoch nicht zwingend erforderlich. Diese geben den Versicherern zwar Anhaltspunkte für die Qualität der IT-Sicherheit: So lassen sich aus den Anforderungen, die die Zertifizierung erfordert, Rückschlüsse ziehen, ob bestimmte Sicherheitsmaßnahmen vorliegen. Eine Zertifizierung führt jedoch nicht zwingend zu einer Erleichterung eines Abschlusses.
Welche Faktoren bestimmen die Höhe der Kosten einer Cyberversicherung?
Die Kosten für eine Cyber-Versicherung sind variabel, eine pauschale Aussage über die Höhe ist schwierig. Die Preise für Cyber-Versicherungen richten sich in der Regel nach dem Jahresumsatz des Versicherten, der Branche, dem Umfang und der Art des Versicherungsschutzes. In den letzten Jahren ist ein deutlicher Anstieg der Cyber-Versicherungsprämien und -zahlungen zu verzeichnen, was auf die wachsende Angriffsfläche und die Weiterentwicklung der Angriffstechniken zurückzuführen ist. Um ein konkretes Angebot zu erhalten, gilt es bei der jeweiligen Versicherung einen Beratungstermin zu vereinbaren oder ein Angebot anzufordern.