Manchmal hilft auch die beste IT-Sicherheitstechnik nichts. Dann ist der Schaden da. Gut beraten sind in einem solchen Fall Unternehmen mit einer Cyberversicherung. Worauf zu achten ist, erklärt Ralph Aschenbrenner, Generalagent der R+V Versicherungsgruppe im Interview.
Herr Aschenbrenner, weshalb sind Cyberversicherungen für Unternehmen wichtig?
Aktuell gibt es im Cyberbereich ein großes Bedrohungspotenzial durch Hackerangriffe. Alle Experten sind sich einig, dass es keine Frage ist, ob man Opfer einer Cyberattacke wird, sondern nur wann.
Und diese Gefahr besteht trotz aller IT-Sicherheitsmaßnahmen und Mitarbeiterschulungen?
Ganz genau. Wir ziehen gerne den Vergleich zum Vorgehen klassischer Einbrecher, gegen die es auch keinen hundertprozentigen Schutz gibt. Wenn Einbrecher irgendwo rein wollen, gelingt ihnen dies auch. Die Frage ist nur, mit welchem Aufwand. Einbrecher suchen sich aber häufig die eher leichten Ziele. Potenzielle Opfer können es den Tätern deshalb so schwer wie möglich machen. Cyberattacken sind oft auch nicht zielgerichtet und suchen überall im Netz nach lohnenden Schwachstellen. Diese gilt es zu beseitigen – und sich für den Ernstfall abzusichern.
Weshalb werden Cyberrisiken systematisch unterschätzt?
Ich höre von meinen Kunden oft, dass sie niemanden kennen, der Opfer eines Cyberangriffs wurde. Genau dies ist aber bereits bei jedem vierten Unternehmen im Mittelstand der Fall gewesen. Mir erscheint es deshalb eher so, als ob man über diese Attacken nicht spricht. Darüber hinaus hat eine Forsa-Umfrage im Auftrag des Gesamtverbandes der Deutschen Versicherungswirtschaft e.V. (GDV) festgestellt, dass das Risiko einer Cyberattacke umso geringer eingeschätzt wird, je kleiner das jeweilige Unternehmen ist. Es sind vor allem die größeren Unternehmen, die sich ernsthaft mit dem Thema Cybersicherheit beschäftigen.
Aber auch dort werden Cyberversicherungen meist erst abgeschlossen, wenn der Schaden bereits eingetreten ist. Das ist insofern verständlich, als die Risiken, gegen die Versicherungen abgeschlossen werden, meist eher abstrakt sind.
Zwar kann man die Sachwerte, die über normale Versicherungen abgesichert werden, sehen und haptisch erfahren, etwa ein Haus, ein Auto oder eine Maschine. Bei Cyberversicherungen ist dies jedoch nicht der Fall: Die Vertraulichkeit, Integrität und Verfügbarkeit der eigenen Daten sowie die eigene Handlungsfähigkeit sind nicht mit Händen zu greifen. Das macht die Sache nicht einfacher.
Welche Schäden entstehen durch Cyberangriffe?
Die Schäden sind tragischerweise umso größer, je erfolgreicher die Unternehmen bei ihren Digitalisierungs- und Vernetzungsmaßnahmen waren. Die bedeutendsten Schäden entstehen durch Betriebsunterbrechungen und den Verlust der eigenen Handlungsfähigkeit: Die Unternehmen können nach einer Attacke im Schnitt bis zu 30 Tage keine Rechnungen erstellen und keine Aufträge disponieren, die Produktionsstraßen stehen still.
Darüber hinaus gilt es, die Systeme zu bereinigen, die Daten wiederherzustellen und die Einfallsvektoren der Angriffe durch forensische Maßnahmen festzustellen. Die durchschnittliche Schadenssumme einer Cyberattacke liegt bei 150 000 bis 250 000 Euro. Für das eine oder andere Unternehmen kann das durchaus existenzbedrohend sein.
Welche Risiken deckt eine Cyberversicherung ab?
Versicherungen können den Schaden an sich nicht verhindern. Sie helfen aber, das zu schützen, was den Versicherungsnehmern wichtig ist. Im Fall einer Cyberversicherung ist dieses höchste Gut die eigene Handlungsfähigkeit. Diese Handlungsfähigkeit ist etwa bedroht, wenn sich Schadsoftware über die eigene IT verbreitet oder die eigene IT für Denial-of-Service-Angriffe missbraucht wird.
Cyberversicherungen tragen in diesen Fällen nicht nur dazu bei, die unternehmerische Handlungsfähigkeit zu erhalten, sie wahren auch den Betriebsfrieden und schützen die Kundenbeziehungen. Und schließlich helfen Cyberversicherungen, die privaten Risiken für die Geschäftsführung zu begrenzen: Viele gesetzliche Regelungen nehmen nämlich Inhaber, Geschäftsführer und Vorstände bei Risikoeinschätzung und Risikovermeidung bis zur persönlichen Haftung in die Pflicht. Das gilt auch für Cyberrisiken.
Und was bedeutet das konkret?
Cyberversicherungen zeichnen sich nach einem Sicherheitsfall durch eine Allgefahrendeckung aus: Sie decken alle Risiken ab, die in den Versicherungsbedingungen nicht explizit ausgeschlossen werden. Voraussetzung für den Versicherungsfall ist grundsätzlich der Verlust, die Veränderung oder Beschädigung von Daten. Ausgeschlossen sind vor allem Schäden durch wissentliche Pflichtverletzung oder mittelbare Geldabflüsse, das heißt Zahlungen, die nicht unmittelbar durch den Schaden verursacht wurden.
Wie gehen Sie beim Abschluss einer Cyberversicherung vor?
Bei uns gibt es kein Baukastensystem und keine spezifischen Bedingungswerke für unterschiedliche Branchen. Wir gehen vielmehr davon aus, dass das Risiko im Cyberraum für die Mehrzahl der Unternehmen ähnlich ist und behandeln diesbezüglich etwa den Sanitärinstallationsbetrieb und die Arztpraxis gleich. So vermeiden wir selbst das Risiko der Beratungshaftung, das heißt, dass wir während der Beratung ein Detail vergessen, das im Schadensfall wichtig gewesen wäre.
Grundlegend für einen Versicherungsschutz sind unsere Standardfragen an unsere Kunden: nach dem Lizenzmanagement für Standardsoftware, dem Backup-Management sowie dem Management von Administratorenrechten, nach Virenschutz und Firewall. Für die Tarifierung ordnen wir die Versicherungsnehmer dann einer Risikoklasse zu, die von den individuellen Schadenspotenzialen abhängt. Risiko-Faktoren sind etwa Web-gestützte Produktion, Transaktionen durch IT-gestützte Systeme oder die Verarbeitung sensibler Daten. Da unterscheidet sich die Steuerberaterkanzlei eben doch vom Sanitärinstallateur.
Und schließlich fragen wir auch nach dem Umsatz, der entscheidenden Einfluss auf die Schadenshöhe durch eine Betriebsunterbrechung hat. Unser Standardprodukt bildet das Cyberrisiko für ein Unternehmen mit bis zu 10 Millionen Euro Umsatz ab. Individuelle Lösungen bieten wir bis zu einem Umsatz von 250 Millionen Euro an.
Ralph Aschenbrenner ist Generalagent der R+V Versicherungsgruppe
Mit welchen Beitragshöhen muss ein Betrieb rechnen?
Das kommt auf die jeweilige Risikoklasse und die Versicherungssumme an. Für einen vernünftigen Schutz liegt der Beitrag – etwa bei einem klassischen Handwerksbetrieb – zwischen 1200 und 1800 Euro pro Jahr. Bei einem Metallbaubetrieb mit 10 Millionen Umsatz ist mit 7000 bis 9000 Euro pro Jahr zu rechnen. Die Kosten lassen sich aber durch Selbstbehalte nochmals deutlich senken.
Was passiert im Schadensfall?
Wir hoffen, dass die Unternehmerinnen und Unternehmer dann wissen, was zu tun ist, und dass unsere Telefonnummer eine der Ersten ist, die sie im Schadensfall anrufen. In jedem Betrieb hängen Brandschutzpläne mit Handlungsanweisungen und Rettungswegen. Bei Cyberattacken ist das leider nicht immer der Fall. Deshalb bieten wir unseren Kunden Beratungen an, wie sie sich am besten auf den Ernstfall vorbereiten können.
Wir leiten die Betroffenen in einem zweiten Schritt an eine 24/7-Hotline weiter. Ab hier übernehmen dann externe Dienstleister für die Klärung der forensischen Fragen. Diese versuchen zunächst, die Probleme remote zu beheben und per Fernwartung auf Ursachensuche zu gehen. Wenn sich das als nicht durchführbar erweist, kommen die Spezialisten in das jeweilige Unternehmen. Als Versicherer haben wir ein großes Interesse daran, dass die Dienstleister schnell helfen. Denn je länger der Betrieb stillsteht, desto größer ist der Schaden für uns.
Welche Zeiträume decken Cyberversicherungen ab?
Cyberversicherungen gewähren im Normalfall eine Rückdeckung und Nachhaftung von bis zu drei Jahren. Der Angriff und der Eintritt des Schadens müssen also nicht zwingen innerhalb der Versicherungslaufzeit erfolgen. Der Sicherheitsvorfall – also zum Beispiel die Infektion mit einem Computervirus – darf bis zu drei Jahre vor dem Beginn der Versicherung liegen (= Rückdeckung) und der Versicherungsfall drei Jahre nach dem Ende der Versicherung eintreten (= Nachhaftung) – sofern der Sicherheitsvorfall innerhalb der Vertragslaufzeit lag. Das ist ein großer Vorteil dieser Versicherungen gegenüber einem klassischen Produkt.
Wo können sich Unternehmen zu den Themen IT-Sicherheit und Cyberversicherungen informieren?
Unverbindliche Beratung und eine erste Einschätzung der individuellen Sicherheits- und Gefährdungslage bieten etwa das Mittelstand-Digital Zentrum oder die Transferstelle IT-Sicherheit im Mittelstand, bei der man auch einen Online-Schnellcheck durchführen kann. Und der Gesamtverband der Deutschen Versicherungswirtschaft informiert neutral über alle Aspekte, die das Thema Cyberversicherung berühren.
Wie sind Sie zum Thema Cyberversicherungen gekommen?
Ich bin ausgebildeter Firmenkundenberater der R+V-Versicherungen. Cyberversicherungen gehören für mich zur ganzheitlichen Beratung meiner Kunden. Ich kenne nämlich kein Unternehmen, das im Cyberbereich risikofrei ist. Das müsste ein Betrieb sein, der nur mit Papier und Bleistift, Telefon und Faxgerät arbeitet. Die Wirklichkeit sieht anders aus: Die zunehmende Digitalisierung wird dazu führen, dass die Bedeutung von Cyberversicherungen nochmals zunimmt. Wir helfen, dass unsere Kunden im Cyberraum sicher unterwegs sein können.
Interview: Stefan Burkhardt; Bilder: Andrey Burmakin/Privat