Jedes vierte kleine oder mittelständische Unternehmen (28 Prozent) hat bereits finanzielle Schäden durch Cyber-Angriffe erlitten. Das geht aus einer repräsentativen Forsa-Studie hervor, die der Gesamtverband der Deutschen Versicherungswirtschaft (GDV) in Auftrag gegeben hat. Befragt wurden Entscheider aus Firmen mit einem Umsatz von bis zu 50 Millionen Euro.

Anzeige  

 

Gefahren der Cyber-Kriminalität unterschätzt

Ein Grund für die Anfälligkeit dieser Firmen sei mangelndes Risikobewusstsein für die Gefahren im Netz. So stimmten 35 Prozent der Unternehmer der Aussage zu, „Unsere Daten sind für Internet-Kriminelle nicht interessant“. Weitere 33 Prozent bejahten die These: „Mein Unternehmen ist zu klein, um in den Fokus von Cyber-Kriminellen zu geraten“. Für den eigenen Betrieb sieht lediglich ein gutes Drittel (36 Prozent) eine Gefahr.

Das eigene Unternehmen nicht interessant für Kriminelle? Ein gefährlicher Irrglaube, warnt GDV-Präsident Alexander Erdland auf der Cyber Security Konferenz am Dienstag in Berlin. „Die Kriminellen wissen, wie sie auch vermeintlich uninteressante Daten zu Geld machen – nämlich indem sie einfach die Daten sperren und Lösegeld kassieren. Und für einen solchen Angriff ist kein Unternehmen zu klein.“

Unverbindliche Musterbedingungen für Cyberversicherungen

Prävention gegen Cyber-Risiken reicht allein nicht aus, damit Firmen sich schützen. So erklärte Ole Sieverding, Product Head Cyber & Data Risks beim Spezialversicherer Hiscox, im Interview mit dem Versicherungsboten: "IT-Sicherheit lässt sich heutzutage nicht mehr rein technisch lösen. Früher war man der Ansicht, dass eine gute Firewall und ein Virenschutzprogramm einen ausreichenden Schutz bieten. Mittlerweile haben aber nicht nur die Angreifer massiv dazugelernt, auch die Abhängigkeit von der IT ist wesentlich höher." Oder mit anderen Worten: Trotz gründlichster Vorsorge können Unternehmen Opfer eines Angriffes werden.

Deshalb sind gewerbliche Cyberversicherungen ein wichtiger Baustein im Kampf gegen Hacker. Sie sichern Unternehmen vor den Folgekosten einer Attacke. Der GDV hat aktuell unverbindliche Musterbedingungen für eine Cyber-Police ausgearbeitet, die kleine und mittelständische Firmen schützen soll. Die Bedingungen empfehlen bestimmte Eckpunkte, die nach Interpretation des GDV jeder Tarif enthalten sollte.

Anzeige  

 

Eckpunkte für eine Cyberversicherung laut GDV-Musterempfehlung. Quelle: GDV

  1. Drittschäden: Wenn Kundendaten aus dem Firmennetzwerk gestohlen und missbraucht werden, können die Kunden Schadensersatz vom betroffenen Unternehmen verlangen. Hierfür sollen die Versicherer zahlen. Auch wenn Kunden nach einem erfolgreichen Angriff auf das IT-System nicht beliefert werden können und deshalb Schäden erleiden, leistet die Versicherung. Die Cyberversicherung entschädigt die Kunden und wehrt für das versicherte Unternehmen unberechtigte Forderungen ab.
  2. Eigenschäden: Mit Eigenschäden sind Schäden gemeint, die dem Unternehmen selbst aufgrund eines Hacker-Angriffes entstehen. Kommt es beispielsweise zu einer Betriebsunterbrechung, zahlt die Versicherung den laut Vertrag vereinbarten Tagessatz an die Firma aus. Davon können laufende Kosten beglichen werden, etwa der Lohn für die Mitarbeiter, Energiekosten oder der entgangene Gewinn. Darüber hinaus übernimmt die Versicherung die Kosten für die Wiederherstellung der Daten und der Rekonstruktion der Computersysteme.
  3. Servicekosten: Der Versicherer zahlt nach einem Cyberangriff für den Service, der notwendig ist, um die Folgen abzumildern und schnelle Hilfe zu leisten. Dafür empfiehlt bzw. vermittelt der Cyberversicherer speziell geschulte Fachleute und übernimmt die Kosten dafür. Zum Beispiel für IT-Forensiker, die den Angriff analysieren und Folgeschäden abmildern, spezialisierte Anwälte für IT und Datenschutz sowie PR-Spezialisten, die die Krisenkommunikation übernehmen, um Imageschäden von der Firma abzuwenden.