Cyberangriffe sind längst nicht mehr nur ein Problem großer Konzerne – auch kleine und mittelständische Unternehmen geraten zunehmend ins Visier von Hackern. Sören Brokamp, Leiter Produktmanagement & Underwriting Cyber der HDI Versicherung, erklärt im Gastbeitrag, warum KMU und Selbstständige sich nicht länger wegducken können – und wie moderne Cyberversicherungen umfassenden Schutz bieten.
Wegducken ist lange Zeit die Strategie von Klein- und Kleinstunternehmen gewesen, wenn es um das Thema Cybersicherheit ging. Und der eine oder der andere war damit in der Vergangenheit sogar erfolgreich. Inzwischen ist diese Taktik jedoch für jedes Unternehmen und jeden Selbstständigen viel zu riskant, um sie ernsthaft in Erwägung zu ziehen. Denn sowohl unsere Erfahrung aus der Schadenpraxis als auch die Ergebnisse der HDI-Cyberstudie zeigen, dass auch Klein- und Kleinstunternehmen im Visier von Cyberkriminellen stehen.
So gaben im Rahmen der HDI-Cyberstudie 2024 rund 27 Prozent der 1.500 befragten IT- und Versicherungsentscheider aus kleinen und mittelständischen Unternehmen an, dass ihr Unternehmen in den vorausgehenden zwölf Monaten mindestens einen Cyberangriff erlitten hatte. Im Vergleich zum Vorjahr ist die Zahl der betroffenen Unternehmen sogar um 42 Prozent gestiegen. Ein solcher Angriff kann zudem teuer werden: Laut Studie beträgt die durchschnittliche Schadenhöhe knapp 100.000 Euro – genug, um die Existenz eines Unternehmens ernsthaft zu gefährden.
Kleinmachen schützt nicht
Die immer noch verbreitete Auffassung „Wir sind nur ein kleines Unternehmen, für uns interessiert sich niemand“ geht somit völlig an der Realität vorbei. Denn kaum eine kriminelle Handlung ist pro angegriffenem Unternehmen so kostengünstig wie ein breit gestreuter Angriff via Phishing-Mails. Irgendjemand klickt immer auf den verschickten Link oder öffnet den Dateianhang – und holt so die Schadsoftware ins System. Auch ein Backup hilft dann oft nicht weiter, denn viele Schadprogramme sind darauf ausgelegt, die Datenwiederherstellung zu erschweren oder sogar die Backups zu verschlüsseln.
Auch die Annahme, als normales Kleinunternehmen verfüge man nicht über interessante Daten für Kriminelle, stimmt nicht. Denn das Hauptziel organisierter Cyberkriminalität ist meist die Erpressung der betroffenen Unternehmen. Das bedeutet: Selbst wenn sich die Angreifer nicht für den eigentlichen Inhalt der Daten interessieren, ändert dies nichts an der Gefahr. Denn es gibt immer jemanden, der großes Interesse an den Daten hat – das angegriffene Unternehmen selbst! Ohne Zugriff auf die Daten kann oft nicht oder nur unzureichend weitergearbeitet werden; und der Betrieb steht schnell still. Dies machen sich Angreifer zunutze – und schneiden mittels Erpressungssoftware den Zugriff auf diese Daten ab.
Außerdem haben es Cyberkriminelle bei ihren Angriffen besonders häufig auf Kundendaten abgesehen. Und Kundendaten – am besten noch mit Kontoverbindungen – lohnen den relativ geringen Aufwand allemal. Diese können ohne Weiteres verkauft werden. Zudem drohen die Angreifer häufig mit der Veröffentlichung erbeuteter Daten. Ein Unternehmen muss in diesem Fall mit massivem Reputationsverlust rechnen – und sollten DSGVO-Vorgaben nicht vollständig erfüllt worden sein, auch mit Strafzahlungen.
100-prozentige Sicherheit ist kaum möglich
Immer wieder verweisen Unternehmer im Gespräch auf interne IT-Sicherheitsexperten oder einen IT-Dienstleister, die sich um die Firmen-IT kümmern und die Sicherheitsmaßnahmen einrichten und überwachen. Eine Cyberversicherung ergänzt diese Maßnahmen. Denn der Versicherungsschutz umfasst in der Regel auch den Zugang zu spezialisierten Dienstleistungen, die über die der eigenen IT-Teams hinausgehen. Dazu gehören zum Beispiel Rechts- oder PR-Beratung bei einem Cyberangriff. Und natürlich kommt die Versicherung für Kosten und Verluste auf, die durch den Angriff entstehen, z.B. durch Betriebsunterbrechung, rechtliche Unterstützung oder Forensik und Datenwiederherstellung.
Und auch die Annahme, dass die Investition in IT-Sicherheit komplett vor Hackerangriffen schützt, geht fehl. Es gibt keine 100-prozentige Sicherheit gegen Hackerangriffe – in Zeiten von KI noch weniger als früher. Nicht einmal das vollständige Abklemmen der firmeneigenen IT vom Netz hilft, wenn z.B. eigene Mitarbeiter oder Externe unwissentlich verseuchte Datenträger verwenden oder sogar wissentlich an einem Datendiebstahl beteiligt sein sollten. In der Schadenpraxis ist der Innentäter sogar relativ häufig anzutreffen.
Leistungen der Cyberversicherung oft falsch eingeschätzt
In der Praxis stellen wir auch immer wieder fest, dass Cyber-Versicherungsschutz gerade bei vielen Kleinstunternehmen immer noch relativ unbekannt ist. Und viele Unternehmer verstehen das Produkt auch noch nicht richtig. So verwunderlich ist das auch gar nicht. Das Produkt ist letztlich noch recht jung. Das führt unter anderem dazu, dass viele noch meinen, bereits bestehende Versicherungen deckten auch die Bedrohung durch Cyberangriffe ausreichend ab. Aber selbst, wenn es – gerade im Drittschadenbereich – durchaus Deckungsüberschneidungen gibt, so geht die Cyberversicherung bei Eigen- und Drittschadendeckung deutlich über die Leistungen klassischer Versicherungen hinaus. Das gilt zum Beispiel für den Versicherungsschutz für eine Betriebsunterbrechung ohne einen vorausgehenden Sachschaden.
Zudem umfasst eine Cyberversicherung meist deutlich mehr, als man sonst von einer Versicherung gewohnt ist: Moderner Cyberschutz ist in der Regel ein Gesamtpaket, das oft umfangreiche Sicherheitsmaßnahmen ebenso einschließt wie professionellen Support im Schadenfall. Im Ernstfall ist dieser elementar wichtig. Professionelles Krisenmanagement kann dann entscheidend sein, denn bei einem Cyberangriff ist schnelles und zielgerichtetes Handeln existenziell.
Prävention als Schlüssel zur Cybersicherheit
Ein effektiver Schutz vor Cyberangriffen beginnt lange vor dem eigentlichen Schadenfall – mit gezielten Präventionsmaßnahmen. Moderne Cyberversicherungen gehen deshalb über reine Kostenübernahmen hinaus und bieten umfassende Sicherheitskonzepte. Die HDI Cyberversicherung kombiniert Versicherungsschutz mit präventiven IT-Sicherheitslösungen. So unterstützt das Präventionspaket des IT-Sicherheitsspezialisten Perseus Unternehmen dabei, sich aktiv gegen Bedrohungen zu wappnen – mit regelmäßigen Schulungen, einem Notfallplan und simulierten Phishing-Kampagnen, um die Mitarbeitenden für gängige Angriffsmethoden zu sensibilisieren.
Zudem helfen innovative Analysetools, Schwachstellen frühzeitig zu erkennen: Der Outside-In-Scan von cysmo Cyber Risk prüft IT-Systeme aus der Perspektive eines Angreifers und identifiziert potenzielle Sicherheitslücken. Ergänzend dazu liefert der Security Baseline Check von HDI eine gezielte Bewertung der IT-Sicherheitslage, um Unternehmen konkrete Handlungsempfehlungen an die Hand zu geben. So wird Cybersicherheit nicht nur im Schadenfall relevant, sondern wird etabliert als integraler Bestandteil eines umfassenden Schutzkonzepts.
Hintergrund: Der Gastbeitrag ist zuerst in der Ausgabe 01/2025 des Fachmagazins Versicherungsbote erschienen. Das Magazin kann auf der Versicherungsbote- Webseite kostenfrei abonniert werden.