Braucht mein Unternehmen eine Cyberversicherung?
Braucht mein Unternehmen eine Cyberversicherung? Tatsächlich gibt es auch im Jahr 2022 noch Geschäftsführer und Vorstände, die sich mit der Frage, ob das Unternehmen eine Cyberversicherung benötigt, entweder noch nicht auseinandergesetzt haben oder noch nicht abschließend für sich beantwortet haben. Dies ist nicht nur gefährlich, sondern auch ziemlich erschreckend. Besonders unter Berücksichtigung der Tatsache, dass mit quasi jeder erfolgreichen Cyberattacke ein (eigener) DSGVO-Verstoß einhergeht. Und für einen DSGVO-Verstoß haften Geschäftsführer und Vorstände bekanntermaßen mit ihrem Privatvermögen.
Zur Fragestellung, warum sich Unternehmen verstärkt mit dem Abschluss einer Cyberversicherung beschäftigen sollten, hat mich im Januar 2022 das Magazin „Krisen- Sanierungs- und Insolvenzberatung“ interviewt. Das Interview kannst du hier einsehen oder hier bestellen.
Nachstehend möchte ich in diesem Artikel schildern, welche Entwicklungen in den letzten Jahren und aktuell zu beobachten sind. Im Anschluss werde ich dann darauf eingehen, mit welchen Maßnahmen du dein Unternehmen schützen kannst und was eine Cyberversicherung eigentlich leistet. Abschließend gebe ich anhand konkreter Beispiele einen Einblick was eine Cyberversicherung kostet und wie der Beratungsprozess vonstattengeht.
Aktuelle Entwicklungen
Im Jahr 2020 haben die Cyberversicherer in Deutschland je 1 € Beitragseinnahmen Schadenzahlungen von 0,65 € verzeichnet. Im Jahr 2021 sind die Schadenzahlungen je 1 € Beitragseinnahmen auf 1,24 € gestiegen! In absoluten Zahlen ausgedrückt: in den Jahren 2019 und 2020 wurden Schadenzahlungen von jeweils 103 Mrd. € erbracht, alleine im Jahr 2021 waren es 223 Mrd. €. Die Auswirkungen dieser Entwicklung: viele Anbieter führen Änderungskündigungen durch und erhöhen ihre Beiträge um 10- 35%. Dies gilt sowohl für Bestands- als auch für Neuverträge. Darüber hinaus gibt es erste Cyberversicherer, die sich komplett zurückziehen und alle bestehenden Verträge zur nächsten Fälligkeit kündigen.
Auch die Folgen einer erfolgreichen Cyberattacke sind bemerkenswert: 10% der Unternehmen, die Opfer einer Cyberattacke geworden sind, mussten aufgrund der finanziellen Auswirkungen Insolvenz anmelden. Noch viel größer ist die Zahl der Unternehmen, die noch Monate (!) nach einem Hackerangriff nur eingeschränkt arbeitsfähig sind. Im Spätsommer 2022 war ein bundesweit tätiges Institut mehr als 6 Wochen lang ohne jeglichen Zugriff auf E-Mails und musste sämtliche Korrespondenz auf Telefon, Fax und die gute alte Post verlagern.
In der medialen Berichterstattung findet man in erster Linie die prominenten Fälle wie zum Beispiel den erfolgreichen Cyberangriff auf einen DAX- Konzern über den das Handelsblatt am 15. November 2022 berichtet hat. Die vielen Angriffe auf kleine, mittelständische Betriebe, Arztpraxen, Kanzleien oder auch Vereine/Verbände finden da weniger Berücksichtigung, da sie für die Allgemeinheit weniger spektakulär sind.
Experten rechnen jedoch gerade bei den vorgenannten „Kleinen“ mit einem erheblichen Anstieg, teilweise ist die Rede von „der Ruhe vor dem (Cyber-)Sturm“. Was ist der Hintergrund? Der geschätzte Kollege und Cyber-Security-Experte Nikolaus Stapels macht dies in seinem Artikel vom 10. November 2022 insbesondere daran fest, dass sich im Juni 2022 eine der größten Hackergruppen (Conti) aufgelöst und neu aufgeteilt hat. Die neuen Hackergruppen Black Basta, Karakurt oder Blackbyte sind hochspezialisiert auf Datenverschlüsselung durch Ransomware und anschließende Lösegelderpressung. Und: sie kooperieren auch weiterhin untereinander. Klarer Fokus der zukünftigen Aktivitäten: kleine, mittelständische Unternehmen. Auch IT-Unternehmen selbst geraten zunehmend in den Fokus von Cyberkriminellen.
Wie kannst du dein Unternehmen schützen?
Natürlich ist eine gute und stets aktuelle IT-Sicherheitsstruktur die Grundlage und für jeden unverzichtbar. Hierfür sollten IT-Sicherheitsexperten eingeschaltet werden, die neben der Konzeption der Hardware auch zu Warnsystemen, Firewalls, Anti-Viren-Programmen, 2-Faktor-Authentifizierung, sicheren Passwörtern usw. beraten können. Unverzichtbar ist darüber hinaus eine schriftlich verfasste Richtlinie zur Internetnutzung am Arbeitsplatz und ein klar definierter Ablaufprozess, was im Falle eines vermuteten Cyberangriffs (und/oder eines möglichen DSGVO-Verstoßes) zu tun ist und wer, wann und wie zu informieren ist.
Klar muss jedoch sein: Kein Unternehmen, das die IT-Securitiy deines Unternehmens konzipiert hat und betreut, wird dir bestätigen, dass du nun zu 100% gegen Cyberattacken geschützt bist! Dies ist schlichtweg nicht möglich.
Einer von vielen Gründen: ein Großteil der erfolgreichen Cyberattacken sind menschlichem Versagen zuzuordnen. So funktionieren Phising-Mails nach wie vor hervorragend! Dabei erlebe ich es immer wieder, dass Unternehmen glauben, dass ihre Mitarbeiter bestens sensibilisiert sind. Keiner würde jemals eine unbekannte Mail öffnen – geschweige denn einen Link in einer solchen Mail anklicken. Möchtest du dies für dein Unternehmen mal auf den Prüfstand stellen? Dann kontaktiere mich für einen 30-tägigen, kostenlosen Phishing-Test! Alle Mitarbeiter werden 30 Tage mit Phishing-Mails versorgt. Im Anschluss werte ich dann aus, ob und wie oft Mails geöffnet oder gar Links geklickt wurden. Diese Auswertung kann im Anschluss zur weiteren Sensibilisierung genutzt werden. Die Ergebnisse sind immer wieder überraschend und erschreckend zugleich.
Was leistet eine Cyberversicherung?
Als Hauptbestandteil steht natürlich die vereinbarte Versicherungssumme zur Verfügung. Von grundlegender Bedeutung ist natürlich, dass diese im Vorfeld in passender Höhe ermittelt worden ist. Dafür ist Expertenwissen erforderlich, irgendwelche Pauschalsummen helfen hier nicht weiter.
Im Falle einer erfolgreichen Cyberattacke muss man unter anderen mit folgenden Schadenpositionen rechnen:
Rechtskosten (für Kunden, Lieferanten, Mitarbeiter und eigene rechtl. Beratung); Informationskosten (Pflicht zur Einrichtung einer Kontaktmöglichkeit für Kunden z.B. in Form eines Call-Centers); IT-Kosten (IT-Forensik), Betriebsunterbrechung; Kreditkartenmonitoring (falls es Kreditkartenvorgänge gibt); Forderungen Dritter (z.B. in Form von Schmerzensgeld von Kunden/Patienten, deren Daten abhandengekommen sind), Kosten für PR-Beratung und Krisenmanagement, erpresste Lösegelder.
Neben der eigentlichen Versicherungssumme, die für den tatsächlichen Schaden zur Verfügung steht, ist jedoch die Unterstützung des Cyberversicherers das alles Entscheidende! Es genügt bereits der Verdachtsfall um die Cyberversicherung in Anspruch zu nehmen. Innerhalb kürzester Zeit nehmen die vom Versicherer zur Verfügung gestellten IT-Forensiker ihre Arbeit auf, Rechtsanwälte prüfen einzuleitende Schritte, Kontaktmöglichkeiten für möglicherweise geschädigte Kunden werden eingerichtet.
Auch bieten die meisten – guten – Cyberversicherungen kostenfreie Awareness-Schulungen für die Mitarbeiter an. In der Regel können diese Schulungen in Form von Webinaren absolviert werden. Zugleich gibt es für den Arbeitgeber die Möglichkeit nachzuhalten, welcher Mitarbeiter die Schulungen absolviert hat. Wenn gewünscht können entsprechende Zertifikate generiert werden.
Was kostet eine Cyberversicherung?
Diese Frage kann natürlich nicht pauschal beantwortet werden, da bei der Prämienkalkulation diverse Parameter berücksichtigt werden müssen. Trotzdem möchte ich zur besseren Einschätzung ein paar Beispiele aus meinem Beratungsalltag als TÜV-zertifizierter Fachberater für Cyberrisiken darstellen. An dieser Stelle sei der Vollständigkeit halber darauf hingewiesen, dass es sich selbstverständlich um Betriebsausgaben handelt. Bei den nachfolgenden Beispielen handelt es sich um Jahresbeiträge.
- Bäckereibetrieb mit 24 Filialen, über 300 Mitarbeitern, Jahresumsatz ca. 23 Mio. €: ermittelte Versicherungssumme 2 Mio. €, Jahresbeitrag 7.400 €
- Rechtsanwaltskanzlei, 8 Rechtsanwälte, Jahresumsatz ca. 2,5 Mio. €: ermittelte Versicherungssumme 2 Mio. € Jahresbeitrag 1.480 €
- Apotheke, Jahresumsatz 3,8 Mio. €: ermittelte Versicherungssumme 1,5 Mio. €, Jahresbeitrag 2.130 €
- Gynäkologische Gemeinschaftspraxis, Jahresumsatz 1,3 Mio. €: ermittelte Versicherungssumme 2,5 Mio. €, Jahresbeitrag 1.840 €
- Steuerberatungskanzlei, Jahresumsatz 540.000 €: ermittelte Versicherungssumme 1 Mio. €, Jahresbeitrag 840 €
- Physiotherapiepraxis, Jahresumsatz 350.000 €: ermittelte Versicherungssumme 500.000 €, Jahresbeitrag 780 €
- Schlosserei, Jahresumsatz 440.000 €: ermittelte Versicherungssumme 250.000 €, Jahresbeitrag 540 €
- IT-Agentur (Websites, SEO, Social-Media-Marketing), Jahresumsatz 1,5 Mio. €: ermittelte Versicherungssumme 2 Mio. €, Jahresbeitrag 1.650 €
Wie oben erwähnt handelt es sich hierbei um Praxisbeispiele, die jedoch nicht auf andere Unternehmen übertragen werden können. Für die Kalkulation werden diverse individuelle Angaben benötigt. Gleiches gilt für die Auswahl des geeigneten Versicherers! Vielleicht hilft es aber, dass ihr eine grobe Idee bekommt, was eine derartige, existenzielle Absicherung überhaupt kostet.
Der Beratungsprozess – der Weg zur passgenauen Cyberversicherung für dein Unternehmen
Also: Braucht mein Unternehmen eine Cyberversicherung? Eindeutig: JA! Du oder Dein Unternehmen haben noch keine Cyberversicherung? Dann komm jetzt ins Handeln! Investiere 30 Minuten und erfahre in einem kostenfreien Online-Termin:
- Ist dein Unternehmen attraktiv für Hacker?
- Wie gut ist dein Unternehmen bereits gegen Cyberrisiken geschützt?
- Wie hoch ist das mögliche Schadenausmaß, wenn dein Unternehmen Opfer eines Cyberangriffs wird?
Sämtliche Auswertungen erhältst du im Anschluss in Form einer schriftlichen Zusammenfassung. Jetzt Termin anfragen auf smartcybercheck.de
Im nächsten Schritt musst Du als Unternehmer eine Entscheidung treffen: Kann und will dein Unternehmen des Risiko selbst tragen oder möchtest du das Risiko einer Cyberattacke im Rahmen des Risikomanagements auf einen Versicherer auslagern? Wenn du dich für letzteres entscheidest, ist der nächste Schritt dann die Konzeption und Berechnung einer passgenauen Cyberversicherung für dein Unternehmen, die du dann von uns erhältst. Meiner Einschätzung nach ist es für dich von großer Bedeutung, dass wir dich auch bei Cyberversicherungen unabhängig beraten können, (mein Kollege Andreas Wiese hat hierzu mal einen Artikel geschrieben) und den Anbieter selektieren können der zu deiner Branche und deinem Unternehmen am besten passt.
Meine Kollegen und ich freuen uns über deine Anfrage und natürlich wie immer über Anregung und Feedback. Vielen Dank fürs Lesen und teilen dieses Artikels – stay cybersafe!
Manio M. Petschmann