Immer mehr Unternehmen werden Opfer von Cyberkriminalität. Unter anderem vergrößern auch Faktoren, die wie die Digitalisierung oder die Vernetzung von Lieferketten zur Stärkung von Marktposition und Wettbewerbsfähigkeit gedacht sind, die Angriffsfläche. Die wirtschaftlichen Folgen von erfolgreichen Angriffen mindern Cyberversicherungen.
Das „Risk Barometer 2020“ der Allianz sieht in Deutschland Cybervorfälle und Betriebsunterbrechungen als die wichtigsten Geschäftsrisiken für Unternehmen. Betroffen sind nicht nur die Großen: Dem „Cyber Readiness Report 2019“ von Hiscox zufolge haben KMU, die sich lange Zeit unterm Radar von Angreifern bewegt haben, als Betroffene von Cyberangriffen deutlich aufgeholt: Im Jahr 2019 verzeichneten 47 Prozent der befragten kleinen Unternehmen mit weniger als 50 Beschäftigen und 63 Prozent der mittleren Firmen bis 250 Mitarbeitern Angriffe, im Jahr zuvor es 33 bzw. 36 Prozent. In großen Firmen bis 1.000 Mitarbeiter blieb der Anteil unverändert bei 70 Prozent, in Konzernen fiel der Anstieg von 69 Prozent im Jahr 2018 auf 74 Prozent im Jahr 2019 gewissermaßen moderat aus.
Hohe Kosten für Cyberkriminalität
Die Kosten, die infolge von Cyberkriminalität auf die Unternehmen zukommen, sind erheblich und können die Existenz eines Unternehmens gefährden. Der Digitalverband Bitkom beziffert den Schaden durch Sabotage, Datendiebstahl oder Spionage, bezogen auf die Gesamtheit der analogen und digitalen Vorfälle, für die deutsche Wirtschaft mit mehr als 100 Milliarden Euro. Für das Jahr 2018 gibt das Bundeskriminalamt in der Studie „Bundeslagebild Cybercrime 2018“ die Kosten für Cyberkriminalität in Deutschland mit mehr als 60 Millionen Euro an. Viele Firmen kommen nach einem erfolgreichen Angriff nicht mehr auf die Füße und müssen den Betrieb einstellen. Damit sich Unternehmen einen Überblick darüber verschaffen können, was bei einem erfolgreichen Cyberangriff auf sie zukommen kann, hat der Bitkom im Leitfaden „Kosten eines Cyber-Schadensfalles“ mögliche Schadenspositionen zusammengestellt, die als Folge eines Angriffs relevant sein können.
Cyberversicherungen
Durch Cyberversicherungen lassen sich die wirtschaftlichen Folgen erfolgreicher Cyberangriffe begrenzen. In Deutschland gaben der Studie „e-Crime in der deutschen Wirtschaft 2019“ von KPMG zufolge, die Ende 2018 / Anfang 2019 durchgeführt worden war, 18 Prozent aller befragten Unternehmen an, dass sie eine Cyberversicherung abgeschlossen haben. Bislang nutzen überwiegend große Unternehmen diese Möglichkeit, finanzielle Auswirkungen abzufedern. Neue Abschlüsse tätigen in der Mehrheit Unternehmen, die bereits Opfer von Cyberkriminalität waren, und unter denen, die den Abschluss einer Versicherung planen oder prüfen, sind vorwiegend kleinere und mittelgroße Unternehmen.
Etwa 40 Versicherer in Deutschland bieten an, eigene Schäden, Schäden bei Dritten und Kosten für unterstützende Dienstleistungen abzudecken. Dazu gehören Aufwendungen beispielsweise für die Wiederherstellung von Systemen, für IT-Forensik und Krisenkommunikation, die Folgekosten von Betriebsunterbrechungen und Kosten im Zusammenhang mit Datenschutzverletzungen wie die Benachrichtigung von Betroffenen. In der Regel kann das Leistungspaket unternehmensspezifisch, auch in Abhängigkeit von Schäden, die durch andere Versicherungen gedeckt sind, nach dem Baukastenprinzip zusammengestellt werden. So lässt sich beispielsweise auch Erpressergeld versichern, nicht aber Bußgelder, die bei Verstößen gegen die DSGVO zu zahlen sind.
Risikobewertung
Der Abschluss einer Cyber-Versicherung erfolgt auf der Basis einer Risikoeinschätzung. Die Versicherer wollen dafür wissen, in welchem Geschäftsfeld sich das Unternehmen bewegt und wie es im Hinblick auf IT-Sicherheit und Datenschutz aufgestellt ist. Ohne ein Mindestmaß an Sicherheit geht es dabei nicht; eine Cyberversicherung ist kein Ersatz für ausreichenden Schutz. Häufig werden Angaben zum Status mittels eines Fragebogens erfasst. Auf der Webseite des Gesamtverbandes der deutschen Versicherungswirtschaft (GDV) kann ein „Unverbindlicher Muster-Fragebogen zur Risikoerfassung im Rahmen von Cyber-Versicherungen für kleine und mittelständische Unternehmen“ heruntergeladen werden, der zeigt, welche Faktoren den Versicherern dabei wichtig sind und in eine Risikobewertung einfließen können. Je nach Versicherer unterscheiden sich die Fragebögen jedoch in Umfang und Tiefe stark. Angaben zu Geschäftsfeld und Unternehmenskennzahlen gehören dazu, aber auch Informationen zu Zertifizierungen, zur IT-Abhängigkeit des Business und selbstverständlich auch zu technischen und organisatorischen Maßnahmen, sogar bis hinunter zu Patch-Management oder Schnittstellenkontrolle, können abgefragt werden.
Beitragshöhen
Anhand der Risikobewertung werden der Umfang der Versicherungsleistungen, die Höhe der Prämien und ggf. auch die Pflichten der Unternehmen im Hinblick auf die Einhaltung von Sicherheitsstandards festgelegt. Die Beitragshöhen können, je nach Risikobewertung, Leistungsumfang und Selbstbehalt, zwischen 500 bis 100.000 Euro pro Jahr liegen.
Da die Zahl und die Aggressivität von Cybercrime-Vorfällen weiterhin stark zunehmen und neue Zielgruppen ins Blickfeld rücken, sollten insbesondere KMU in die Absicherung ihrer IT-Systeme und den Schutz ihrer Daten investieren. Eine Cyberversicherung mit sinnvoll ausgewählten Leistungen auf der Grundlage eines guten Schutzstatus‘ müsste dann eigentlich auch für kleinere Firmen bezahlbar sein und kann dann im Fall des Falles die wirtschaftlichen Folgen mildern. Noch ist der Markt in Deutschland überschaubar, aber vielleicht gehört die Cyberversicherung in ein paar Jahren zum Standard.
