Cyberversicherungen: von der Ausnahme zur Regel

Mit der steigenden Cyberkriminalitäts-Rate steigt auch das Bewusstsein für die Gefahren im Cyberspace. Eine repräsentative Studie der Forsa Politik und Sozialforschung GmbH im Auftrag des Gesamtverbandes der Deutschen Versicherungswirtschaft (GDV) hat zudem ergeben, dass in Deutschland bei den befragten kleinen und mittelständischen Unternehmen das Interesse an Cyberversicherungen steigt. Der vorliegende Artikel greift diesen Trend auf; im Fokus steht dabei die Situation in Deutschland. Zunächst wird geklärt, was Cyberversicherungen genau sind, was sie abdecken, worauf bei einem Abschluss zu achten ist und welche Bedingungen dabei gelten. Den Abschluss bilden neue Entwicklungen zum Thema.

„Noch vor fünf Jahren waren Cyberversicherungen in weiten Teilen der mittelständischen Wirtschaft unbekannt. Viele der befragten Entscheider kannten das Angebot gar nicht oder standen einer entsprechenden Absicherung skeptisch gegenüber. Seitdem hat sich viel getan: Vor allem in Firmen mit mehr als zwei Millionen Euro Umsatz entwickelt sich der Abschluss einer Cyberversicherung von der Ausnahme zur Regel.“

GDV-Hauptgeschäftsführer Jörg Asmussen (GDV, 2022).

Hat Ihr Unternehmen eine Cyberversicherung abgeschlossen? Unterscheidung zwischen Kleinstunternehmen (bis 9 Mitarbeiter. bis 2 Mio. Euro Umsatz), kleine Unternehmen (10-49 Mitarbeiter. 2-10 Mio. Euro Umsatz) und mittlere Unternehmen (50-249 Mitarbeiter, 10-50 Mio. Euro Umsatz). Bei allen Unternehmensgrößen ist eine Entwicklung zu mehr Abschlüssen von Cyberversicherungen sowie mehr Awareness erkennbar.
Quelle: Repräsentative Forsa-Befragungen im April/Mai 2018/2022 @www.gdv.de I Gesamtverband der Deutschen Versicherungswirtschaft

Was sind Cyberversicherungen?

Mit Cyberversicherungen (andere Bezeichnungen: Cyberschutz, Datenschutz- und Hackerversicherung) können sich sowohl private Nutzer*innen als auch Unternehmen gegen Schäden und Risiken im Zusammenhang mit Cyberkriminalität bzw. -angriffen absichern. Beispielsweise können sie damit die finanziellen Folgen eines solchen Angriffs verringern (vgl. BaFin: Cyberversicherung).

Was decken Cyberversicherungen ab?

Unterschieden wird zwischen Cyberversicherungen für Verbraucher*innen und für Unternehmen:

  • Verbraucher*innen können sich mit einer solchen Versicherung gegen verschiedene Risiken absichern, die bei der Nutzung des Internets entstehen können, z.B. gegen Vermögensschäden durch Identitätsmissbrauch beim Online-Banking oder Betrug beim Online-Shopping. Die Versicherung kann außerdem eine Datenrettung nach einem Hackerangriff oder persönliche Risiken, z.B. unerlaubte Veröffentlichung von persönlichen Daten und Fotos im Internet (vgl. BaFin: Cyberversicherung) abdecken.
  • Unternehmen können eine Standard-Cyberversicherung abschließen und zusätzliche Serviceleistungen dazubuchen. Eine Orientierungshilfe für Unternehmen und Versicherer bieten die im April 2017 von der GDV entwickelten unverbindlichen Musterbedingungen zur Risikoerfassung. Diese richten sich vor allem an kleine und mittelständische Unternehmen mit bis zu 250 Mitarbeitenden und einem jährlichen Umsatz von bis zu 50 Millionen EUR. Versicherungsgesellschaften können auf Basis der GDV-Musterbedingungen eigene Produkte entwickeln. Der Fragebogen hilft bei der Risikoeinschätzung vor dem Abschluss einer Versicherung und liefert den Unternehmen Hinweise auf Schwachstellen der firmeneigenen IT.

Eine Standard-Cyberversicherung beinhaltet folgende Leistungen (vgl. GDV: Das leistet eine Cyberversicherung):

  • Entschädigung bei Betriebsunterbrechungen
  • Erstattung der Kosten für Datenwiederherstellung
  • Übernahme von Drittschäden
  • Bezahlung der IT-Forensik zur Ermittlung der Angriffsquelle
  • Angebot einer Rechtsberatung für Datenschutzverletzungen
  • Bezahlung eines Krisenkommunikators und Erstattung von Callcenter-Kosten

Wie hoch die Prämie ist, die Unternehmen für ihren Versicherungsschutz bezahlen müssen, hängt von mehreren Faktoren ab, z.B. von der Unternehmensgröße, der Branche oder internationalen Aktivitäten (vgl. CSO: Lohnt sich eine Cyber-Versicherung?). Als Orientierungshilfe für die Wahl eines geeigneten Versicherers hat die Agentur Franke und Bornberg eine notenbasierte Bewertungsmatrix für Policen erarbeitet.

Weitere Informationen finden Sie hier:

Was deckt die Cyberversicherung ab?

Eigenschäden: Wirtschaftliche Schäden durch Betriebsunterbrechung (Zahlung eines Tagessatzes) sowie Kosten der Datenwiederherstellung und System-Rekonstruktion (Übernahme der Kosten).

Drittschäden: Schadensersatzforderungen vom Kunden wegen Datenmissbrauchs und/oder Lieferverzug (Entschädigung berechtigter und Abwehr unberechtigter Forderungen)

Service-Leistungen: IT-Forensik-Experten zur Analyse, Beweissicherung und Schadenbegrenzung, Anwälte für IT- und Datenschutzrecht zur Erfüllung der Informationspflichten, PR-Spezialisten für Krisenkommunikation zur Eindämmung des Imageschadens (Jeweils Übernahme von Service und Kosten)
Quelle: @www.gdv.de I Gesamtverband der Deutschen Versicherungswirtschaftcherungswirtschaft (GVD)

Worauf ist beim Abschluss einer Cyberversicherung zu achten?

Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) gibt hierzu konkrete Handlungsempfehlungen. So sollten zunächst folgende Fragen gestellt werden:

  1. Sind womöglich einige Cyberrisiken bereits von vorhandenen Versicherungen abgedeckt (z.B. Rechtsschutz-, Hausrat-, Haftpflicht- oder Krankenversicherung)?
  2. Welche Anforderungen an eine Cyberversicherung müssen erfüllt sein?

Die Antworten auf diese Fragen dienen als Grundlage, um passende Versicherungen bzw. Versicherer zu identifizieren. Zu bedenken ist dabei auch, dass Cyberversicherungen keine standardisierten Produkte sind:

  • Der Schutz kann sich je nach Anbieter und Tarif erheblich unterscheiden; auch die Kosten variieren entsprechend. Kosten und Leistungsumfang hängen insbesondere ab von einer Selbstbeteiligung (sofern vereinbart), der Risikobewertung und vereinbarten Ausschlüssen.
  • Ebenfalls zu achten ist auf die festgelegte Höhe der maximalen Entschädigungssumme pro Versicherungsfall. Begrenzt ist meist auch die Zahl der Versicherungsfälle, für die eine Versicherung pro Jahr höchstens aufkommt.

Unter welchen Bedingungen kann ein Unternehmen eine Cyberversicherung abschließen?

Ein Unternehmen muss ein Mindestmaß an Schutz in der IT vorweisen. So wie bei einer Hausratversicherung z.B. die Wohnungstür abschließbar sein muss, ist es auch bei der Cyberversicherung notwendig, dass Unternehmen bestimmte Anforderungen erfüllen. Diese können je nach Anbieter unterschiedlich sein, z.B.:

  • Regelmäßige Sicherheitstrainings für die Mitarbeitenden
  • Effektives Patch-Management
  • Funktionierendes Backup-System
  • Multifaktor-Authentifizierung
  • Erprobte Krisenmanagementpläne

Der Muster-Fragebogen des GDV zeigt, was die meisten Versicherungen hierzu wissen wollen.

Bei kritischen Infrastrukturen besteht ein erhöhtes Risiko für Cyberangriffe. Unternehmen aus entsprechenden Branchen in Deutschland müssen deshalb zusätzlich zu den Vorgaben des Bundesamt für Sicherheit und Informationstechnik (BSI) oft weitere Kriterien erfüllen, um sich versichern zu können.

Weitere Informationen finden sich hier:

Welche neuen Entwicklungen gibt es rund um Cyberversicherungen?

Global Cyber Risk and Insurance Survey 2022

Die Ergebnisse der Munich Re Global Cyber Risk and Insurance Survey 2022 zeigen, dass Cyberversicherungen ein wachsender Markt mit großem Potenzial sind. Laut dieser Umfrage besteht für Versicherungsnehmer und Versicherer ein erhöhter Handlungsbedarf. Mehr als 7.000 Teilnehmende aus 14 Ländern, allen Branchen und Unternehmensgrößen wurden zu Themen wie Risikobewusstsein, Cyberexponierung von Unternehmen und Privatpersonen sowie zur Rolle der Versicherung mit ihren Deckungselementen und Services befragt.

Im Zusammenhang mit Cyberrisiken wurde eine Lücke zwischen dem Risikobewusstsein und der tatsächlichen Bereitschaft, z.B. Schutzmaßnahmen umzusetzen aufgedeckt. Diese Versicherungslücke ist der Befragung zufolge unverhältnismäßig groß und stellt somit eine Herausforderung dar.

Ausschluss „kriegerischer Handlungen“

Angesichts der weltpolitischen Lage erwarten Versicherer zunehmend Hackerangriffe – auch auf Deutschland. Damit stellt sich die Frage, inwiefern Cyberversicherungen auch kriegerische Handlungen abdecken.

Grundsätzlich decken Cyberversicherungen Hackerangriffe ab; meist kann die Identität der Angreifer ohnehin nicht ermittelt werden. Anders sieht es jedoch bei offiziellen Kriegshandlungen aus: Dann greift der in der Regel vertraglich vereinbarte Kriegsausschluss. Nach den GDV-Musterbedingungen müsste der Versicherer dann nachweisen, dass eine Kriegshandlung vorlag bzw. vorliegt, z.B. durch ein Bekenntnis des angreifenden Staates. Ein solcher Fall ist dem GDV in Deutschland jedoch bisher nicht bekannt.

Weitere Informationen finden Sie hier:

Sie wollen sich weiter über Cyberversicherungen informieren? Dann könnten die folgenden Publikationen interessant für Sie sein:

  • Zellner, Gabriela, Scherer, Matthias (2021). Die Cyberversicherung: ein integraler Bestandteil des Cyberrisikomanagements. Firm e.V., Jahrbuchpreis 2021, 22-26. Link
  • Pache, Thomas (2018). 100 Fragen rund um Cyber-Versicherungen. VVW GmbH. Link
  • Biener, Christian, Eling, Martin, Matt, Andreas, Wirfs, Jan Hendrik (2015). Cyber Risk: Risikomanagement und Versicherbarkeit. Institut für Versicherungswirtschaft HSG Schriftreihe, 54. Link
  • Pohlmann, Norbert (2022). Cyber-Sicherheit – Das Lehrbuch für Konzepte, Prinzipien, Mechanismen, Architekturen und Eigenschaften von Cyber-Sicherheitssystemen in der Digitalisierung. Springer Vieweg. Link

Sie denken über Cyber-Sicherheitsmaßnahmen nach? CyberCompare hat geprüfte Anbieter A wie Awareness bis Z wie Zero Trust im Portfolio und liefert Ihnen als unabhängiger Marktteilnehmer kostenfreie und unverbindliche Vergleichsangebote für Ihre IT, OT oder IoT. Sprechen Sie uns an (Mail an uns) oder testen Sie Ihr Cyberrisikoprofil mit unserer Diagnostik.

Übrigens: Der Artikel spiegelt unseren aktuellen Wissensstand wider – aber auch wir lernen jeden Tag dazu. Fehlen aus Ihrer Sicht wesentliche Aspekte, oder haben Sie eine andere Perspektive auf das Thema? Gerne diskutieren wir mit Ihnen und weiteren Experten in Ihrem Hause die gegenwärtigen Entwicklungen vertiefend und freuen uns über Ihr Feedback sowie Anfragen zu einem Austausch.

Und zuletzt noch: Nennungen (oder die fehlende Nennung) von Anbietern stellt keine Empfehlung seitens CyberCompare dar. Empfehlungen sind immer abhängig von der kundenindividuellen Situation.