IT-Sicherheit und Cyberversicherungen haben ihren Preis

Wenn die IT für mindestens eine Woche nicht funktioniert...

Wenn die IT-Infrastruktur und flankierend eine Cyberversicherung nicht dafür sorgen, dass die IT und damit die Prozesse des Unternehmens weitgehend geschützt und die Folgen eines Angriffes abgemildert werden, geht es bei vielen Unternehmen schnell an die wirtschaftliche Existenz.

Verantwortliche, die sich das nur schwer vorstellen können, sollten einfach einmal dokumentieren, welche Folgen es für das eigene Unternehmen hat, wenn die IT für mindestens eine Woche komplett ausfällt, gleichzeitig die Datensicherung nicht ausreicht oder ebenfalls verloren ist. Neben dem Ausfall kommen die Kosten für Forensik, Rekonstruktion und Neuaufbau dazu. Diese sind für viele finanziell nicht tragbar oder zumindest stark belastend. Dazu kommen Schadensersatzforderungen, Produktionsausfälle und Kundenverlust.

Cyberattacken auf nahezu jedes Unternehmen sind realistisch

Wie wahrscheinlich Cyberattacken sind, zeigen etliche Studien und Statistiken. Die Studie Vectra AI Security Leaders Research Report kommt zu dem Ergebnis, dass drei Viertel der befragten Unternehmen in den Jahren 2021 und 2022 einen signifikanten Sicherheitsvorfall verzeichnen mussten.

Nach einer Studie des Bitkom vom August diesen Jahres entstand der deutschen Wirtschaft durch Diebstahl von Daten, Spionage und Sabotage ein Schaden von 203 Milliarden Euro. Dabei wird nach Angaben des Bitkom praktisch jedes Unternehmen zum Opfer: 84 Prozent aller Firmen waren im vergangenen Jahr betroffen, weitere 9 Prozent gehen davon aus. Zugleich haben sich die Angriffe professionalisiert: „Erstmals liegen das organisierte Verbrechen und Banden an der Spitze der Rangliste der Täterkreise. Bei 51 Prozent der betroffenen Unternehmen kamen Attacken aus diesem Umfeld.”

Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt: „Die IT-Sicherheitslage bleibt angespannt bis kritisch. Das vergangene Jahr (2021) war geprägt von einer deutlichen Ausweitung cyber-krimineller Erpressungsmethoden. Nicht nur die Anzahl der Schadprogramm-Varianten stieg zeitweise rasant an – mit bis zu 553.000 neuen Varianten pro Tag der höchste jemals gemessene Wert. Auch die Qualität der Angriffe nahm weiterhin beträchtlich zu“.

Diese Expertenmeinung legt einen Sachverhalt offen, den Verantwortliche im Unternehmen gern unterschätzen. Cyberangriffe haben sich stark professionalisiert, Kriminelle gehen arbeitsteilig und effektiv vor.

Ransomware-Angriffe - der Albtraum für jedes Unternehmen

Bei Cyberattacken gelangt oftmals Ransomware in das eigene Netzwerk und verschlüsselt alle Daten, nicht selten inklusive der Datensicherung. Danach melden sich die Erpresser und fordern oftmals riesige Summen, um die Daten wiederfreizugeben. Ob die Erpresser nach der Zahlung die Daten entschlüsseln, ist dabei keinesfalls gewiss. Außerdem besteht die Gefahr, dass jederzeit weitere Angriffe erfolgen und zusätzliche Zahlungen erpresst werden oder die Angreifer Daten stehlen.

Klar ist, dass sich hier ein riesiges Kostenpotenzial aufbaut, das kaum überschaubar sind. Im Jahr 2021 lag die weltweite Anzahl der Ransomware-Angriffe auf Unternehmen bei etwa 20 Angriffen pro Sekunde. Allein in Deutschland kam es im Jahr 2021 zu über 34 Millionen Ransomware-Angriffen.

Erfolgreiche Angriffe haben verheerende Konsequenzen, die weit über die Kosten der Rekonstruktion und des Neuaufbaus der IT hinausgehen. Kunden verlieren das Vertrauen in das betreffende Unternehmen, und ein Reputationsverlust ist fast zwangsläufig die Folge eines Angriffs. Rechtliche Konsequenzen wegen Verstößen gegen die DSGVO und Schadensersatzforderungen werden oft nicht ausreichend berücksichtigt.

Dazu kommen Produktionsunterbrechungen infolge einer Cyberattacke. Die Wahrscheinlichkeit, Geschäftspartner zu verlieren, wenn das eigene Netzwerk erfolgreich angegriffen wurde, sehen gerade kleinere Unternehmen als Gefahr. Im Umkehrschluss will eine nicht unbeträchtliche Zahl von Firmen nicht mit Lieferanten zusammenarbeiten, bei denen es schon einmal zu einem Cybervorfall gekommen ist.

Wie eine Cyberversicherung helfen kann

Allein die hier aufgeführten Zahlen belegen, wie stark Cyberangriffe das wirtschaftliche Überleben eines Unternehmens beeinflussen. Cyberversicherungen schützen nicht vor Cyberattacken, das ist die Aufgabe einer sicheren IT-Infrastruktur. Eine Cyberversicherung mildert lediglich die Folgen des Angriffs ab. Vor allem mittelständische Unternehmen und KMU/SMB können von Cyberversicherungen profitieren, weil sich hier ein Angriff schnell existenzgefährdend auswirkt. Eine Cyberversicherung kann zum passenden Rettungsanker werden.

Beim Abschluss einer Cyberversicherung wird festgelegt, für welche Kosten die Versicherung in welcher Höhe eintritt. Dabei belaufen sich die jährlichen Beiträge auf etwa ein Prozent bis zwei Prozent der versicherten Summe. Allerdings sollte man nicht außer Acht lassen, dass sich die Versicherer offensichtlich selbst verkalkuliert haben oder doch zumindest branchenweit Ernüchterung eingekehrt ist.

Grund ist die schiere Zahl der Cyberattacken. Laut Angaben einer von Censuswide unter IT-Experten durchgeführten Befragung haben bereits 80 Prozent der Kunden Ansprüche geltend gemacht. Das hat für die Versicherten im Wesentlichen zwei Konsequenzen: die Verhandlungen mit den Versicherungsträgern werden (noch) komplizierter, und parallel steigen Selbstbehalte und Prämien.

Cyberversicherungen schützen vor allem vor den wirtschaftlichen Folgen, die etwa durch Social Engineering und Phishing entstehen. Selbst wenn ein Unternehmen für eine optimale Sicherheitsinfrastruktur sorgt, bleiben dennoch die Mitarbeitenden eine Schwachstelle, über die Hacker an Benutzernamen und Kennwörter kommen. In den meisten Fällen müssen sie dazu nichts hacken, sie melden sich einfach mit erbeuteten Anmeldedaten an. Mit den bekannten, gravierenden Folgen.

Welche Kosten deckt eine Cyberversicherung ab?

Eine Cyberversicherung deckt die unmittelbaren Schäden eines Cyberangriffes ab. Dazu gehören zunächst die Kosten der Wiederherstellung der IT-Infrastruktur und der Daten, die verloren gegangen sind. Dazu kommen die Kosten für die notwendige Beweissicherung und Forensik. Im Rahmen der Forensik ist es in vielen Fällen notwendig, die IT-Infrastruktur zumindest zeitweise noch einmal außer Betrieb zu nehmen. Auch diese Kosten trägt die Cyberversicherung.

Sie übernimmt auch die wirtschaftlichen Schäden eines Hackerangriffes, inklusive der Schadenersatzforderungen von Dritten. Kosten, die bei der Schadensbegrenzung anfallen, lassen sich ebenfalls über eine Cyberversicherung abdecken. Dazu kommen eventuelle Kosten, um Kunden und Lieferanten über den Sachverhalt zu informieren.

Eingeschlossen sind auch die Rechtsberatung im Zusammenhang mit den rechtlichen Folgen bezüglich des Datenschutzes und Schadensersatzforderungen Dritter. Die Kosten für eine Rechtsberatung bezüglich Informationspflichten nach AktienG, Produkthaftung, BDSG (Bundesdatenschutzgesetz), IT-SiG (IT-Sicherheitsgesetz) und Compliance-Richtlinien fallen ebenfalls in den Deckungsumfang einer Cyberversicherung.

„Es wäre fatal, wenn man zugunsten von Cyberversicherungen auf zeitgemäße, mehrstufige Sicherheitsmaßnahmen verzichten würde.“

Robert den Drijver, VIPRE Security Group

Die genauen Bedingungen allerdings legt der jeweilige Versicherer fest, und da kann es problematisch werden. Selbst für Dax-Unternehmen sind die Verhandlungen mit den Versicherungsträgern kein Spaziergang. Im Klartext heißt das oft „deutlich höhere Prämien bei geringerem Schutz“. Und insbesondere was Ransomware-Angriffe anbelangt, steigen zusätzlich die Selbstbehalte.

Für den Abschluss einer Cyberversicherung ist der IT-Grundschutz im Unternehmen zwingend vorausgesetzt. Zu den grundlegenden Anforderungen zählen unter anderem eine Firewall zum Internet, mindestens einmal wöchentlich ein Backup auf einem manipulationssicheren Speicher, aktuelle und möglichst automatisch gepatchte Betriebssysteme, Virenschutz für Server und Clients und jeder Benutzer muss über sein eigenes Anmeldekonto verfügen, inklusive sicherer Kennwörter. Das gilt auch für die Endgeräte im Home-Office. Die Sicherheitsinfrastruktur, das Backup und alle Maßnahmen sollte man regelmäßig dokumentieren, um die Nachweispflichten der Versicherer zu erfüllen.

Fazit

Cyberversicherungen können helfen, die Existenz von Unternehmen zu erhalten, wenn ein Cyberangriff zu Produktionsunterbrechungen und Datendiebstahl führt. Die Beitragsentwicklung ist aber längst nicht mehr so kalkulierbar. Noch weniger zu prognostizieren ist aber im Vergleich der potenzielle Schaden durch einen erfolgreichen Cyberangriff. Unternehmen sollten sich deshalb mit dem Thema Cyberversicherungen auseinandersetzen, und das tun sie auch. Trotz steigender Prämien- und Selbstbehalte haben laut der obigen Umfrage von Censuswide 93 Prozent der IT-Professionals das Budget für eine Cyberpolice bereits genehmigt bekommen.

Es wäre allerdings fatal, wenn man zugunsten von Cyberversicherungen auf zeitgemäße, mehrstufige Sicherheitsmaßnahmen verzichten würde. E-Mails sind nach wie vor der von Cyberkriminellen mit Abstand am häufigsten genutzte Bedrohungsvektor, um Malware, wie zum Beispiel Ransomware, zu verbreiten. Damit rückt der einzelne Benutzer in den Fokus. Denn letzten Endes trifft er die Entscheidung, ob vertrauliche Daten gesendet oder externe Dateien heruntergeladen werden. 90 Prozent aller Datenschutzverletzungen gehen auf menschliche Fehler zurück. Ein häufiger Grund ist, dass vertrauliche E-Mails versehentlich an die falsche Person gesendet wurden und so Datenlecks und Datenverlust verursachen.

Im Zentrum sollte der Schutz von Unternehmens- und Kundendaten stehen. Und dies geschieht am besten mit einem mehrstufigen Sicherheitsansatz, einschließlich von modernen Cybersecurity-Schulungsansätzen. Sie tragen sowohl den veränderten Bedürfnissen der Benutzer Rechnung als auch aktuellen Compliance- und DSGVO-Anforderungen. Sind diese Grundlagen geschaffen, können Cyberversicherungen ihre Stärken ausspielen.

Über den Autor:
Robert den Drijver ist Vice President EMEA & Global Head of B2B2C bei der VIPRE Security Group.

Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.