Eine Cyberversicherung kann alles entscheiden

Sicherheit, Sicherheit, Sicherheit: Sie ist die mächtigste Waffe, um Gefahren vorzubeugen. Nichts anderes gilt, wenn es um die digitalen Daten eines Unternehmens geht – da ist die Cybersicherheit häufig Teil eines ganzen Risikomanagements.

Cybergefahren sind es, die den Unternehmen 2023 das meiste Kopfzerbrechen bereiten. Das will der Allianz Risk Barometer ermittelt haben. Kein Wunder, denn der jährliche finanzielle Schaden beläuft sich in Deutschland laut Bitkom auf 203 Milliarden Euro. Gerade für KMU kann so etwas das Ende bedeuten.

Es kommt auf die Voraussetzungen an

Da derlei Schadensfälle nur schwer voraussehbar sind und sich häufen, haben die Versicherungsfirmen ihre Prämien 2022 um 50 bis 100 Prozent erhöht. Gerade die kleineren und mittelgroßen Unternehmen scheuen sich aus diesem Grund vor einem richtigen Risikomanagement. Denn: Nicht nur die Beiträge für eine Versicherung sind teuer, sondern auch die Einrichtung aller Prämissen, die die Versicherer fordern.

Wenn diese Voraussetzungen nicht vollständig erfüllt sind, versuchen sich die Versicherungsunternehmen im Schadensfall nämlich gern vor der Zahlung zu drücken. Es führt trotzdem kein Weg an einer Cyberversicherung vorbei, auch bei den KMU nicht. Wenn die Vorgaben der Versicherer komplett erfüllt sind, können übrigens auch die Beiträge niedriger ausfallen.

Was versichert werden kann

Die Voraussetzungen der Versicherer können so aussehen: Damit Mitarbeiter auf das System des zu schützenden Unternehmens zugreifen zu können, ist eine Multi-Faktor-Authentifizierung vorgeschrieben. Dann sollten wirklich nur diejenigen entsprechende Rechte erhalten, die sie für die Arbeit benötigen (Least-Privilege-Prinzip). Auf den Geräten, die die Mitarbeiter vom Unternehmen zu Hause nutzen, muss die aktuellste Version eines Antivirenprogramms installiert sein und, natürlich, müssen die Unternehmensdaten regelmäßig von Backups gesichert werden. Damit nicht genug, sind auch PEN-Tests (umfassender Sicherheitstest einzelner Rechner oder Netzwerke) sowie automatische Messungen und belegbare Daten wichtig. Last but not least sollten die Mitarbeiter regelmäßig geschult werden.

Wenn das alles erledigt ist, kommt es darauf an, welchen Leistungsumfang das Unternehmen mit dem Versicherer vereinbart. Versichert werden könnten zum Beispiel Einkommensverluste, Rechtskosten, Lösegeldzahlungen bei Ransomware-Angriffen, Entfernung von Schadsoftware, Wiederherstellung der IT-Systeme und Daten, oder Kompensation des Umsatzausfalls sowie Schadensersatzforderung von Dritten. Selbst die Kommunikation mit den Behörden und der Presse bieten Versicherungen an.

Manche Schäden bleiben

Sollte ein Unternehmen tatsächlich Opfer eines Cyberangriffs werden, geht es erst einmal darum, den Laden wieder zum Laufen zu bringen – und das sollte schnell gehen. Da können Security-Spezialisten, sogenannte Incident-Response-Experten, Gold wert sein. Sie helfen dem IT-Team der angegriffenen Firma bei der Schadensbeseitigung, der Wiederherstellung der Daten und suchen die Ursache.

Auf einigen Schäden werden die betroffenen Unternehmen aber sitzen bleiben, da hilft auch keine Absicherung. Vor allen Dingen könnten die Kunden das Vertrauen verlieren, der Ruf bei den Geschäftspartnern dahin sein. Wer nach einem Angriff nicht alle Sicherheitslücken stopft, kann sogar ein zweites Mal Opfer von Cyberkriminellen werden, denn die geleakten Daten tauchen teilweise im Darknet auf, wo andere sie abgreifen können.

Automatisierung macht Sinn

Noch einmal zu dem, was vor einem möglichen Angriff getan werden kann: Gut ist eine Software-Automatisierung. Gerade KMUs haben nicht übermäßig viel Personal, da kann die Automatisierung einiges erleichtern, denn sie filtert beispielsweise nur die wichtigen Security-Vorfälle heraus. Sie kann auch die Prüfungsverfahren der Versicherung erleichtern.

Viele Versicherer haben sogenannte Security Operations Center im Angebot. Dabei entwickelt ein Team einen Notfallplan. Security-Hersteller bieten mittlerweile auch Trainings für die Mitarbeiter des Unternehmens an, das bei ihnen versichert ist, denn Prävention ist noch immer der beste Weg, um einer Katastrophe zu entgehen.

Stefan Lanz

Autor:
Stefan Lanz
Ich bin IT-Experte für Digitale Transformation, Daten- und IT-Sicherheit. Ich bin IT-Sicherheitsbeauftragter, IT-Sachverständiger, Datenschützer, Coach und Berater für Unternehmen seit 1995. Mehr zu mir finden Sie hier.