Steigende Kosten: Lohnt sich eine Cyber-Versicherung überhaupt noch?

   

Versicherer werden in Sachen Cyber-Versicherungen zunehmend strenger und teurer. Das sind die Gründe. Und so können Sie richtig reagieren, um Kosten zu sparen.

IT-Sicherheit: Die Lage ist düster

“Die Gefährdungslage im Cyber-Raum ist so hoch wie nie”, schreibt Nancy Faeser im Vorwort der BSI-Publikation “Die Lage der IT-Sicherheit in Deutschland 2022”. Damit hat die Innenministerin recht. Täglich kann man hören oder lesen, dass ein bekanntes Unternehmen oder eine Behörde das Opfer eines Cyber-Angriffs wurde. Die kriminellen Organisationen dahinter attackieren kleine und große Unternehmen – und richten dabei immense Schäden an.

Betriebe werden tage- oder wochenlang lahmgelegt, sensible Daten entwendet und gelöscht. Es entstehen hohe Kosten im Zusammenhang mit Instandsetzung, Lösegeldern, Reputationsschäden, Neubeschaffung von Hardware und so weiter. Manche Unternehmen schlittern wegen den immensen Folgekosten eines Angriffs sogar in die Insolvenz – so wie kürzlich der Fahrradhersteller Prophete.

Schaubild: Schäden durch Ransomware in 2021 - Beispiele (Bild: Munich Re)

Die Bedrohungslage hat insgesamt ein Niveau erreicht, in der manche Fachleute gar von einem “Cyber-Krieg” sprechen. Derart martialische Wortwahl versuchen wir zu meiden, aber es ist angemessen die derzeitigen Risiken und das Schadenpotential im Bereich der IT- und Informationssicherheit als sehr hoch einzuschätzen. Das sind Risiken und potentielle Schäden gegen die Sie sich wappnen müssen.

Die oftmals anzutreffende Attitüde “Ach, uns ist doch nichts passiert” spiegelt im deutschsprachigen Raum ein gewisses Wunschdenken wider. Ein Verhalten, das gleichzeitig naiv und grob fahrlässig ist! Denn früher oder später wird auch die IT-Infrastruktur Ihres Unternehmens angegriffen. Vielleicht wurde sie das schon – und Sie haben es bislang nicht gemerkt, weil Sie kein System zur Angriffserkennung implementiert haben.

Um sich gegen das hohe Schadenpotential abzusichern, entschließen sich viele Unternehmen dazu, eine Cyber-Versicherung abzuschließen. Vor Jahren, als der Markt noch in den Kinderschuhen steckte, waren Cyber-Versicherungen (auch Cyber-Risk-Versicherungen genannt) für wenig Geld zu bekommen. Denn die Versicherer selbst hatten seinerzeit wenig Erfahrung mit den tatsächlich zu erwartenden Schäden.

Doch inzwischen gestaltet sich für Firmen jeder Größe der Abschluss einer Cyber-Versicherung zunehmend schwieriger: Die Anforderungen an die umzusetzenden Schutz- und Vorsorgemaßnahmen sowie die Versicherungsausschlüsse nehmen zu. Und die Cyber-Versicherer erhöhen zum Teil massiv ihre Versicherungsbeiträge.

Warum? Das erläutern wir Ihnen in diesem Ratgeber. Außerdem gehen wir darauf ein, welche Voraussetzungen Ihr Unternehmen erfüllen muss, um:

  • überhaupt eine Versicherungszusage eines Cyber-Versicherers zu erhalten,

  • um eine Cyber-Risk-Versicherung zu einem annehmbaren Preis abschließen zu können, und

  • sicherzustellen, dass die Versicherung im Schadenfall auch wirklich zahlt.

Deckung: Wann sollte eine Cyber-Versicherung einspringen?

Eine Cyber-Versicherung deckt eine Vielzahl potentieller Schäden ab, die durch Cyber-Angriffe entstehen können. Dazu zählt u.a. die Kostenübernahme für die Datenwiederherstellung, für die externe Unterstützung bei der Bewältigung des Vorfalls und für die forensische Untersuchung des Tathergangs. Auch das Begleichen von Lösegeldforderungen bei Ransomware-Angriffen kann zu den Leistungen einer Cyber-Risk-Versicherung zählen.

Wir reden hier bewusst im Konjunktiv, da sich die Versicherungsleistungen zwischen verschiedenen Anbietern deutlich unterscheiden können. Außerdem kommt es zunehmend dazu, dass Versicherungen ihre Leistungen kürzen, indem sie gewisse Schadensszenarien explizit von der Deckung ausschließen oder die dahingehende Versicherungsleistung stark einschränken. Zum Beispiel hat AXA in Frankreich die Kostenübernahme von Ransomware-Lösegeldern aus ihrem Leistungskatalog gestrichen.

Ob und in welcher Höhe eine Cyber-Versicherung im Schadensfall einspringt, hängt von verschiedenen Faktoren ab. Einer ist der Vertrag, den Ihr Unternehmen mit dem Versicherer abschließt. In den Konditionen wird genau geregelt, wann und was bezahlt wird. Zudem muss Ihr Unternehmen glaubhaft darlegen können, dass der Vorfall nicht auf (grobe) Fahrlässigkeit zurückzuführen ist. Sichern Sie Ihre IT-Systeme technisch und organisatorisch unzureichend ab, stehen Ihre Chancen auf die Übernahme der Kosten der entstandenen (Folge-)Schäden schlecht.

Wirtschaftlichkeit: Lohnt sich eine Cyber-Risk-Versicherung?

“Cyber-Erpressung bleibt eine der größten Bedrohungen”, schreibt das BSI in seinem Lagebericht. Diese bedrohlichen Einschätzungen teilen viele Erhebungen und Studien: Ransomware, Phishing, DDoS-Angriffe (Distributed Denial of Service) und Co. sind keine Einzelfälle mehr, sondern gehören – leider – zum Alltag in der IT-Welt. Und da die Anzahl der miteinander vernetzten Systeme unaufhörlich steigt, wird die potentielle Angriffsfläche für professionell organisierte Angreifer immer größer.

Schaubild: Die größten Ängste von Unternehmen - Hackerangriffe sind ganz vorne (Bild: Fuer-Gruender.de)

Kommt es tatsächlich zu einer erfolgreichen Kompromittierung Ihrer Infrastruktur, hat Ihr Unternehmen mit hohen Folgekosten zu rechnen. Selbst ein kleiner Vorfall kann schnell mehrere Hunderttausende kosten. Verständlich, dass im deutschen Mittelstand das Interesse an Cyber-Versicherungen wächst. Gleiches gilt für die Nachfrage weltweit. Munich Re sah Anfang 2022 die Gesamtsumme der weltweiten Cyber-Prämien bei 9,2 Milliarden US-Dollar. Der Rückversicherer schätzt, dass sie bis zum Jahr 2025 einen Wert von rund 22 Milliarden Dollar erreichen werden.

Aber, parallel zur Nachfrage wachsen auch die Schadensleistungen: Alleine 2021 zahlten deutsche Versicherer über ihre Cyber-Versicherungen 137 Millionen Euro aus. Das war dreimal so viel wie in 2020! Somit: Ja, eine Cyber-Versicherung kann sich lohnen, denn die Bedrohungslage spitzt sich zu und die Ausgaben für die Folgen schnellen in die Höhe.

Schaubild: Die deutsche Wirtschaft rechnet mit verstärkten Cyberangriffen (Bild: Bitkom)

Kosten: Warum werden Cyber-Versicherungen teurer und restriktiver?

Die durch Cyber-Angriffe verursachten Schäden seien nicht mehr bezahlbar – das ist die Meinung von Mario Greco, Vorstandsvorsitzender der Zurich. Denn ein erfolgreicher Cyber-Angriff kann katastrophale Folgen haben, wenn er beispielsweise auf kritische Infrastruktur erfolgt. Man denke da nur an den Fall “Colonial Pipeline”, einem wichtigen Pipeline-Betreiber an der Ostküste der USA.

Auch ohne derartige GAUs sind die Versicherungsunternehmen in der Bredouille. “Angesichts zunehmender Hackerangriffe auf die deutsche Wirtschaft rutschten die Cyber-Versicherer 2021 erstmals in die Verlustzone”, meldet der Gesamtverband der Deutschen Versicherer (GDV) auf seiner Webseite. “Jedem eingenommen Euro in der Sparte standen Ausgaben für Schäden und Verwaltung von 1,24 Euro gegenüber”.

Schaubild: Jedes 4. Unternehmen ist bereits von Cyberangriffen betroffen (Bild: GDV)

“Die Versicherungswirtschaft hat bereits Maßnahmen zur Schadensbegrenzung getroffen”, so heise.de. “Dazu zählt zum einen die Erhöhung der Versicherungsbeiträge, aber auch die Anpassung der Policen in der Art, dass die Kunden mehr Verluste selbst tragen müssen.“ Und die Anbieter von Cyber-Versicherungen verschärfen zunehmend ihre Aufnahmekriterien. So lehnt zum Beispiel der Industrieversicherer AGCS rund 60 bis 70 Prozent der Anträge ab.

Die Bedrohungslage nimmt zu, doch zugleich reagieren Unternehmen darauf zu wenig oder zu langsam. Hierzu Jörg Asmussen, Hauptgeschäftsführer des GDV: „Die Angriffe werden immer professioneller und häufiger, aber das Niveau der IT-Sicherheit stagniert seit Jahren. Wir sehen bei den meisten Unternehmen noch große Sicherheitslücken.” Asmussen beklagt weiter: “Ein Drittel hat niemanden, der explizit für die IT-Sicherheit verantwortlich ist. Die Hälfte hat keinerlei Plan für den Umgang mit einer Cyberattacke. Daher reagieren die Unternehmen auf einen Angriff zu langsam und erleiden unnötig schwere wirtschaftliche Folgen.”

Anforderungen: Welche Kriterien müssen Unternehmen für eine Cyber-Versicherung erfüllen?

Jede Versicherung hat andere Maßstäbe. Die Gothaer fordert unter anderem, dass Daten vor dem Versenden verschlüsselt, vollständige Backups offline separiert und Home-Office-Geräte abgesichert werden müssen. Auch die Einhaltung von Normen wie ISO/IEC 27001, die Erfüllung von Anforderungen branchenspezifischer Standards (z.B. VDA-ISA), die Einführung einer Endpoint Protection Platform und die Durchführung von Penetration Tests gehören zum gewünschten Maßnahmenkatalog dazu.

Die Allianz fragt zum Beispiel beim Antrag auf eine Cyber-Versicherung ab, ob beim Antragsteller ein proaktives Schwachstellenmanagement durchgeführt wird, eine SIEM-/Anomalieerkennungslösung zum Einsatz kommt oder an entsprechenden Standards orientierte Systemhärtungsmaßnahmen umgesetzt werden.

Und Hiscox will beim Antrag auf eine Cyber-Versicherung mitunter wissen,

  • ob Ihr Unternehmen in einem sensiblen bzw. kritischen Bereich agiert.
  • ob es in der Vergangenheit schon Cyber-Angriffe gegeben hat (Schadenhistorie).
  • ob Sie entsprechende interne Sicherheitsrichtlinien formuliert haben.
  • ob Sie Systeme zur Angriffserkennung (wie Trovent MDR) nutzen, Schwachstellenmanagement betreiben oder Penetrationstests durchführen.

Hiscoc Cyber-Versicherung - Auszug aus dem Antrag

Das bedeutet: Um einen Teil Ihres IT-Sicherheitsrisikos durch einen Versicherer decken zu lassen, müssen sie glaubhaft darlegen, dass Sie und Ihr Unternehmen insgesamt die IT- und Informationssicherheit ernst nehmen und dem Stand der Technik entsprechende Schutzmaßnahmen umsetzen. Tun Sie das nicht, wird eine Versicherung die Übernahme des Risikos ablehnen oder die Beitragshöhe fällt extrem hoch aus.

Unserer Erfahrung nach prüfen viele Versicherungen bei der Beantragung einer Cyber-Risk-Versicherung nicht, ob Ihre Angaben den Tatsachen entsprechen. Doch kommt es zu einem Schadensfall, müssen Sie nachweisen, dass Sie tatsächlich die geforderten Schutzmaßnahmen ergriffen haben. Können Sie das nicht, folgen lange Verhandlungen. Im schlimmsten Fall übernimmt Ihre Cyber-Versicherung die im Vertrag vereinbarten Leistungen nicht.

Was Sie ebenfalls bedenken sollten: Wird Ihr Antrag zwar angenommen, aber Ihre Angaben deuten auf wesentliche Lücken in Ihrer IT-Sicherheitsarchitektur hin, lässt das Ihre Beiträge nach oben schnellen. Klar, denn Ihr Unternehmen ist einem hohen Risiko ausgesetzt, Opfer eines Cyber-Angriffs zu werden.

Maßnahmen: Wie erfüllt man die Anforderungen der Versicherungen?

Zeigen Sie klar und deutlich auf, dass Sie und Ihr Unternehmen IT- und Informationssicherheit nicht als einmalige Aktion betrachten, sondern ein klares Konzept mit nachweislich umgesetzten Schutzmaßnahmen verfolgen.

Informationssicherheit ist kein Projekt mit festem Anfang und Ende, sondern ein fortlaufender Prozess, den Sie in Ihrem Unternehmen leben müssen – ganz im Sinne des Prinzips der kontinuierlichen Verbesserung. Nur so stehen Ihre Chancen gut, sowohl aktuelle als auch zukünftige Bedrohungen erfolgreich abwehren zu können.

Dementsprechend ist es nicht ausreichend, wenn ein IT-Verantwortlicher punktuell und “mal eben so” einige Adhoc-Maßnahmen umsetzt. Sie benötigen interne und unter Umständen auch externe Experten, die fortwährend und nachhaltig Ihre IT-Infrastruktur absichern und IT-/Informationssicherheitsprozesse mit Leben füllen.

Zudem sind diese Maßnahmen an den für Ihr Unternehmen relevanten branchenspezifischen Standards auszurichten. Denn die von Cyber-Versicherungen gestellten Anforderungen an versicherte Unternehmen setzen sich aus gesetzlichen Vorgaben, Normen und branchenspezifischen Standards sowie aus der Schadenabwicklung gesammelten praktischen Erfahrung zusammen.

Das heißt für Sie: Sofern Sie sich an die Anforderungen der einschlägigen Gesetze (wie IT-Sicherheitsgesetz, EU-DSGVO, §75b SGB V), allgemeinen Informationssicherheitsstandards (bspw. ISO 27001, BSI IT-Grundschutz) sowie branchenspezifischen Standards/Vorgaben (z.B. KAIT/VAIT/BAIT, TISAX, IEC 62443) halten, werden Sie mit den Anforderungen Ihrer Cyber-Versicherung keine Probleme haben.

Zu technischen Maßnahmen, die sowohl einschlägige Standards als auch Cyber-Versicherungen fordern, zählen unter anderem:

Idealerweise sind diese technischen Maßnahmen, zusammen mit angemessenen organisatorischen Maßnahmen, in einem Informationssicherheits-Managementsystem (ISMS) eingebettet.

Wichtig: Sehen Sie die Verbesserung der IT- und Informationssicherheit nicht bloß als notwendiges Übel oder als Kostenblock an, um die Anforderung einer Cyber-Versicherung einhalten zu können. Im Gegenteil, betrachten Sie die Erfüllung dieser Anforderungen als Chance, um einen Prozess der kontinuierlichen Verbesserung in Ihrem Unternehmen zu etablieren.

Daraus ergibt sich nicht nur eine Steigerung der Sicherheit Ihrer Daten und Geschäftsprozesse, sondern auch das Potential, die Geschäftsprozesse im Allgemeinen zu verbessern – beispielsweise hinsichtlich ihrer Ausfallsicherheit, Produktivität und Qualität. Machen Sie deshalb IT-Sicherheit zur Chefsache! Es lohnt sich.

Alternative: Auf die Cyber-Versicherung verzichten?

Für die Geschäftsführung eines Unternehmens ist es eine valide Handlungsoption auf eine Cyber-Versicherung zu verzichten und das verbleibende IT- / Informationssicherheitsrisiko sozusagen selbst zu tragen. Wir erleben in unseren Kundengesprächen immer wieder, dass Unternehmen in Betracht ziehen ihre Cyber-Versicherungen wegen der rasant steigenden Prämien und der anwachsenden Versicherungsausschlüsse zu kündigen und stattdessen ihr Geld in die Verbesserung und Umsetzung von IT-Sicherheitsmaßnahmen zu stecken. Prävention statt panische Reaktion auf den SuperGAU, lautet hier die Devise.

Das kann in gewissen Situationen, nach nüchterner Betrachtung der Kosten-Nutzen-Situation, durchaus Sinn ergeben. Derjenige der sein Haus zuverlässig abschließt und sich zudem um eine effektive Alarmanlage und andere Maßnahmen kümmert, lebt sicherer. Eine Versicherung, die eventuell ohnehin nur einen Bruchteil des Schadens bezahlt – und das nach einem langen Verhandlungs- oder Gerichtsprozess – kostet mehr (Nerven) als sie bringt.

Fazit: Ist eine Cyber-Versicherung sinnvoll?

Trotz der steigenden Kosten und der zunehmenden Haftungsausschlüsse halten wir eine Cyber-Versicherung für sinnvoll. Somit würden wir den gänzlichen Verzicht auf eine solche Police im Regelfall nicht empfehlen.

Die richtige Mischung führt üblicherweise zum besten Ergebnis. Das bedeutet: Sofern man seine Hausaufgaben macht und mittels angemessener Schutzmaßnahmen das Risiko eines erfolgreichen Angriffs maßgeblich reduziert, so liegen auch die Kosten einer Cyber-Risk-Versicherung deutlich niedriger. Und die Chancen stehen gut, dass die Versicherung im Schadenfall auch wirklich zahlt.

Gleichgültig, für was Sie sich entscheiden: Nehmen Sie die IT- und Informationssicherheit auf keinen Fall auf die leichte Schulter! Aus aktueller Sicht nimmt das Bedrohungspotential eher zu. Hand auf’s Herz: Wäre Ihr Unternehmen ohne IT überlebensfähig?

Benötigen Sie Unterstützung bei der Erarbeitung oder Optimierung Ihrer IT-Sicherheitsstrategie? Sie möchten Ihre Schutzmaßnahmen an den für Ihr Unternehmen relevanten Standards orientieren? Oder möchten Sie bestehende Schutzmaßnahmen verbessern? Das Trovent-Team steht Ihnen gerne zur Seite. Kontaktieren Sie uns ganz unverbindlich!

Bilder: iStock, Fuer-Gruender.de, Munich Re, Gothaer, Bitkom, GDV, Hiscox