- Eine Cyberversicherung deckt Eigen- und Drittschäden ab, die durch Cyberkriminalität oder technische und menschliche Fehler entstehen.
- Cyber Security Versicherungen sind für alle Unternehmen wichtig, die digital mit Daten arbeiten.
- Besondere Leistungen im Schadenfall: IT-Experten, Anwälte für Datenschutzrecht und PR-Spezialisten.
- Jahresbeiträge der Cyberversicherung beginnen bei ca. 200 Euro.
| Warum eine Cyberversicherung?
Der jährliche Schaden durch Cyberkriminalität für die deutsche Wirtschaft? Rund 220 Milliarden Euro, Tendenz steigend. Die Arbeit im Homeoffice verstärkt diesen Trend. Oft fehlt es im Homeoffice an technischer Ausstattung und klaren Verhaltensregeln für den Fall eines Hackerangriffs.
Ein einziger Cyberangriff kann für kleinere Unternehmen das finanzielle Aus bedeuten. Eine Cyberversicherung federt die Folgen eines Schadens ab: Sie trägt die Kosten für Eigen- und Drittschäden und unterstützt das betroffene Unternehmen durch IT-Experten, Datenschutzrecht-Anwälte und PR-Spezialisten.
Ein Cyberangriff ist der Versuch, über Computersysteme oder das Internet Schaden anzurichten. Konkret wird versucht, Daten oder Anwendungen zu stehlen, zu manipulieren oder zu zerstören.
Dafür müssen sich Cyberkriminelle Zugang auf dem Zielsystem verschaffen. Um dieses Ziel zu erreichen, wenden Angreifer verschiedene Methoden an. Dazu zählen Passwortdiebstahl oder der Einsatz von Schadsoftware, auch Malware genannt.
Ransomware-Angriffe:
Ein Mitarbeiter erhält per E-Mail einen Dateianhang. Er klickt auf den Anhang, Schadsoftware öffnet sich und sperrt die Daten des Unternehmens. Für die Freigabe der Daten verlangen die Kriminellen ein Lösegeld.
DoS-und DDoS-Angriffe:
Die Abkürzung steht für (Distributed) Denial of Service (dt.: Verweigerung des Dienstes): Kriminelle schicken mithilfe von Bots (automatisierten Computerprogrammen) massenhaft Nutzeranfragen an einen Online-Shop. Durch die vielen Anfragen werden die Server überlastet, sodass Besucher die Seite nicht mehr aurufen können. Der Hackerangriff kann verschiedene Ziele verfolgen:
- Um den Angriff zu beenden, wird ein Lösegeld verlangt.
- Kunden werden auf schadhafte Webseiten weitergeleitet, um dort ihre Zugangsdaten zu stehlen.
- Der Angriff dient als Ablenkung, um im selben Moment Schadsoftware auf dem Server zu installieren.
- Ein Konkurrenzunternehmen versucht auf diesem Weg, einen Mitbewerber zu schädigen.
Phishing-Angriffe:
Ein Mitarbeiter erhält eine E-Mail, die scheinbar von der Bank des Unternehmens stammt. Darin wird gedroht, das Konto wegen Unregelmäßigkeiten zu sperren. Der Mitarbeiter wird aufgefordert sich mit seinen Logindaten zu verifizieren. E-Mail und Bank-Website sind jedoch gefälscht, die eingegebenen Zugangsdaten landen direkt bei den Hackern.
Drive-by-Downloads:
Cyber-Kriminelle manipulieren die Website eines Kreditunternehmens. Ein Mitarbeiter besucht die Seite, und Schadsoftware (Malware, z. B. Viren, Trojaner oder Spyware) lädt sich unbemerkt auf seinen Rechner. Der Browser des Mitarbeiters weist eine Sicherheitslücke auf, weil ein Update fehlt.
Ähnlich funktioniert das sogenannte Malvertising (bösartige Werbung): Kriminelle versehen Werbeanzeigen mit Malware und schalten sie auf seriösen Seiten. Auch hier reicht der Seitenbesuch, um den Rechner zu infizieren, wenn Betriebssystem oder Browser Sicherheitslücken aufweisen.
Social Engineering:
Ein Mitarbeiter erhält einen Anruf aus der IT-Abteilung des Unternehmens. Der Kollege dort bittet um die Zugangsdaten des Computers für ein wichtiges Sicherheits-Update. Am Telefon ist in Wirklichkeit jedoch kein IT-Mitarbeiter, sondern ein Krimineller. Mit dem Passwort des Mitarbeiters hat er Zugang zum Firmenserver.
USB-Attacken:
Ein Mitarbeiter findet auf dem Firmenparkplatz einen USB-Stick. An seinem Arbeitsplatz steckt er ihn in den Rechner. Schadsoftware breitet sich aus. Der USB-Stick wurde von Kriminellen mit Malware versehen und als Köder ausgelegt.
Guter Cyberschutz besteht aus zwei Komponenten: Zum einen aus einem umfassenden IT-Schutz. Und aus Mitarbeitern, die für die Gefahren der Cyberkriminalität sensibilisiert sind. Mitarbeiter können z.B. durch spezielle Cybersecurity-Präventionstrainings geschult werden, die einige Versicherer anbieten.
| Checkliste: Wie hoch ist Ihr persönliches Risiko?
Die Bedrohung durch Hacker ist je nach Branche und Unternehmensstruktur unterschiedlich groß. Unsere Checkliste zeigt, wie groß die Gefahr für Unternehmen ist, Opfer von Cyberkriminalität zu werden.
Je mehr Fragen Sie mit Ja beantworten, desto höher ist das Risiko für Ihr Unternehmen:
Wir beginnen mit der Branche:
- Haben Sie ein Architektur- oder Ingenieurbüro?
- Führen Sie eine Arztpraxis?
- Arbeiten Sie im Baugewerbe?
- Betreiben Sie ein E-Commerce-Geschäft oder einen Online-Handel?
- Betreiben Sie ein Hotel?
- Haben Sie eine Kanzlei als Rechtsanwalt, Steuerberater oder Wirtschaftsberater?
- Sind Sie eine Medienagentur?
- Sind Sie in der Technologie- oder IT-Branche tätig?
Situation im Unternehmen:
- Verarbeiten Sie sensible persönliche Daten (z.B. Kundendaten, Gesundheitsdaten)?
- Speichern Sie Kreditkartendaten oder andere Finanzinformationen Ihrer Kunden?
- Nutzen Sie Cloud-Speicher oder -Dienste zur Datenspeicherung?
- Benötigt Ihr Unternehmen eine funktionierende IT?
- Arbeiten Mitarbeiter im Homeoffice?
- Fehlen Sicherheitsrichtlinien für die Online-Aktivitäten Ihrer Mitarbeiter?
- Werden Mobilgeräte genutzt, z. B. Laptops oder Smartphones?
- Sind alle Daten für jeden Mitarbeiter frei zugänglich?
- Liegt das letzte Sicherheitstraining für Mitarbeiter länger als 9 Monate zurück?
- Liegt der letzte Sicherheitscheck mehr als drei Monate zurück?
- Stehen regelmäßige Backups Ihrer Daten aus?
- Arbeiten Sie mit externen Dienstleistern oder Lieferanten?
Haben Sie 2 oder mehr Fragen mit Ja beantwortet? Dann sollten Sie unbedingt über den Abschluss einer Cyberversicherung nachdenken.
Wie schütze ich mein Unternehmen vor Cyberangriffen?
Um Ihr Unternehmen vor Cyberangriffen zu schützen, sollten Sie technische Sicherheitsmaßnahmen und organisatorische Richtlinien in Ihrem Unternehmen umsetzen. Abgerundet wird der Schutz vor Cyberangriffen durch eine Cyberversicherung.
Um sich vor Cyber-Angriffen zu schützen, sollten folgende Schritte unternommen werden:
- Interne Sicherheitsrichtlinien: Entwickeln Sie klare Sicherheitsrichtlinien und -verfahren, einschließlich Schulungen für alle Mitarbeiter. Diese dienen der Sensibilisierung Ihrer Mitarbeiter. So stellen Sie sicher, dass der Umgang mit sensiblen Daten, Passwortrichtlinien und die sichere Nutzung von Geräten und Netzwerken allen bekannt sind.
- Technische Sicherheitsmaßnahmen: Investieren Sie in Firewalls und Virenschutzprogramme. Diese schützen Ihr Netzwerk und Ihre Geräte. Achten Sie darauf, dass alle Sicherheitsmaßnahmen regelmäßig aktualisiert werden, um neue Sicherheitsrisiken abzudecken. Schützen Sie insbesondere mobile Endgeräte, da diese häufig als Eintrittspunkte für Sicherheitsbedrohungen dienen.
- Datensicherung: Sichern Sie alle wichtigen Daten online und offline. Durch ein Daten-Backup können Sie im Falle eines Cyberangriffs verlorene Informationen schnell wiederherstellen.
- Zugriffskontrolle: Beschränken Sie den Zugriff auf sensible Informationen und Systeme auf jene Mitarbeiter, die diese für ihre Arbeit benötigen.
Wie verhalte ich mich im Falle eines Cyberangriffs?
Bei einem Cyber-Angriff ist schnelles und überlegtes Handeln wichtig, um den Schaden zu minimieren. Bewahren Sie deshalb Ruhe und orientieren Sie sich an den folgenden Schritten:
- Schadensfeststellung: Stellen Sie fest, welche Systeme von einem Sicherheitsvorfall betroffen sind und wie schwerwiegend der Angriff ist. Kontaktieren Sie dazu einen IT-Forensiker. Die Kosten für diese Dienstleistung übernimmt Ihre Cyberversicherung.
- Betroffene Systeme isolieren: Das Abschalten bestimmter Server oder die Trennung vom Internet kann die Ausbreitung des Angriffs verhindern.
- Untersuchung durch Sicherheitsdienstleister: Spezialisierte IT-Experten können den Vorfall untersuchen und Maßnahmen zur Eindämmung und Behebung einleiten. Nach der Analyse, wie und warum der Angriff stattgefunden hat, können Ihre Sicherheitsmaßnahmen verbessert werden.
- Wiederherstellung: Arbeiten Sie an der Wiederherstellung der betroffenen Systeme und Dienste. Testen Sie alle Systeme gründlich, bevor Sie sie wieder in Betrieb nehmen.
- Beachtung gesetzlicher Meldepflichten: Sicherheitsvorfälle, die personenbezogene Daten betreffen, müssen innerhalb einer bestimmten Frist gemeldet werden. Informieren Sie sich über die bestehenden Gesetze und lassen Sie sich von den IT-Experten beraten.
- Kommunikation: Informieren Sie alle Betroffenen über den Vorfall. Dazu gehören Mitarbeitende, Kunden, Partner und gegebenenfalls die Öffentlichkeit.
- Dokumentation des Vorfalls: Dokumentieren Sie alle Aspekte des Vorfalls. Gehen Sie dabei chronologisch vor, beginnend mit der Entdeckung und Bewertung über die Maßnahmen zur Eindämmung bis hin zur Prävention.
Wichtig: Bereiten Sie sich im Sinne eines vorausschauenden Risikomanagements umfassend auf den Fall eines Cyberangriffs vor: Ein Incident Response Plan ist entscheidend, um zum richtigen Zeitpunkt effektiv reagieren zu können.
| Welche Schäden werden abgedeckt?
In der Regel deckt eine Cyberversicherung folgende Schäden ab:
- Cyber-Betrug
- DoS- und DDoS-Attacken
- Infektion mit Schadprogrammen
- Verlust wichtiger Daten
- Verstöße gegen Datenschutz- und Geheimhaltungspflichten
- Bedienungsfehler
- Cloud-Ausfall
Eine Cyberversicherung federt Schäden ab, die durch Cyber-Kriminalität verursacht werden. Sie springt auch bei Schäden und Verlusten ein, die durch technologische Vorfälle, menschliches Versagen oder technische Störungen entstehen.
Wenngleich es sich dabei um nicht-physische Schäden handelt, werden sie versicherungsrechtlich dennoch als Sachschäden gehandelt. Darum gehört die Cyberversicherung zur Kategorie der Gewerbe-Sachversicherungen.
Nutzen Sie in Ihrem Unternehmen hochwertiges technisches Equipment? Dann kann eine Elektronikversicherung für Sie sinnvoll sein. Diese beinhaltet unter anderem eine Datenträgerversicherung, welche leistet, wenn Datenträger zerstört oder beschädigt werden.
Schadenbeispiele
- Ransomware-Angriff: Ein Mitarbeiter erhält eine E-Mail mit einem gefährlichen Anhang. Nach dem Öffnen verschlüsselt ein Virus alle wichtigen Unternehmensdaten. Die Cyberkriminellen verlangen Lösegeld für die Freigabe der Daten.
- Datenleck: Durch einen Hackerangriff mithilfe eines Trojaners (schädliche Software) gelangen Unbefugte an vertrauliche Kundendaten. Die Daten werden im Internet veröffentlicht und führen zu Vertrauensverlust und rechtlichen Konsequenzen.
- CEO-Fraud: Eine Buchhalterin erhält eine E-Mail von ihrem CEO. Sie soll ihm für eine geheime Geschäftsübernahme eine größere Summe überweisen. In Wahrheit stecken Cyberkriminelle hinter der E-Mail, das überwiesene Geld landet auf einem gefälschten Konto.
- Distributed Denial of Service (DDoS): Die Website eines Unternehmens wird plötzlich von einer großen Anzahl von Anfragen überflutet. Die Anfrage-Attacke überlastet die Server und die Website ist für Kunden nicht mehr erreichbar.
- Phishing-Angriff: Ein Mitarbeiter erhält eine täuschend echt aussehende E-Mail von einem bekannten Dienst, die ihn dazu verleitet, seine Anmeldedaten preiszugeben. Dadurch erhalten Hacker Zugang zu internen Systemen und sensiblen Informationen.
| Cyberversicherung: Leistungen, Kosten, Anbieter
Im Folgenden nennen wir Leistungen der Cyberversicherung und erklären, was Unternehmen tun müssen, um eine Cyberversicherung abschließen zu können. Wir erklären, welche Faktoren Einfluss auf die Höhe der Beiträge haben und nennen Anbieter einer Cyberversicherung.
Haftung: Welche Schäden werden abgedeckt?
Eine Cyberversicherung deckt Eigenschäden und Drittschäden ab. Dabei handelt es sich um sog. Vermögensschäden wie z. B. Einnahmeausfälle, Rufschädigung oder Vertragsstrafen.
Darüber hinaus bietet eine Cyberversicherung eine Reihe von Service- und Assistance-Leistungen.
| Leistungen | |
|---|---|
Eigenschäden | Kostenübernahme für:
|
| Drittschäden | Kostenübernahme für:
|
| Serviceleistungen |
|
Support, um Angriffe zu stoppen |
|
Rechtliche Beratung nach Cyberattacke |
|
Schutz vor Erpressungsversuchen | Die Übernahme einer Lösegeldzahlung ist abhängig vom Versicherer und individuellen Versicherungsbedingungen. Viele Versicherer auf dem deutschen Markt decken die Leistung ab, begrenzen jedoch die Höhe der Summe.
|
Neben gewerblichen Cyberversicherungen bieten Versicherer auch private Cyberversicherungen an. Private Cyberversicherungen helfen bei Schäden durch Cyberattacken, bei Daten- und Identitätsdiebstahl, bei Betrug beim Onlineshopping und bei Cybermobbing.
Auch hier gilt: Prüfen Sie Ihre bestehenden Versicherungen, ob dort bereits Cyberrisiken abgedeckt sind.
Welche Schäden werden nicht abgedeckt?
Eine Cyberversicherung deckt folgende Schäden nicht ab:
- Vorsatz: Schäden, die das Unternehmen oder seine Mitarbeiter absichtlich verursacht haben
- Fahrlässigkeit: Wenn Systeme oder Software trotz Sicherheitshinweisen nicht auf dem neusten Stand gehalten werden und das Unternehmen somit Cyberangriffe wissentlich in Kauf nimmt
- Krieg und Terrorismus: Schäden, die durch Kriegshandlungen oder Terror verursacht werden, sind von den meisten Versicherungen ausgeschlossen
- Geldstrafen: Strafzahlungen, die das Unternehmen aufgrund von Vertragsbrüchen oder gesetzlichen Verstößen zahlen müsste, werden nicht von der Cyberversicherung übernommen
Da es sich um eine reine Vermögensschadenversicherung handelt, leistet die Cyberversicherung auch nicht bei Personen- und Sachschäden.
Sind Cyber-Schäden durch andere Gewerbeversicherungen abgedeckt?
Vor Abschluss einer Cyberversicherung ist es ratsam, bestehenden Versicherungen sorgfältig zu überprüfen. Warum?
Weil einige Versicherungen evtl. Schäden abdecken, die auch die Cyberversicherung erfasst. Im Schadenfall verweisen die verschiedenen Versicherer möglicherweise aufeinander und weigern sich, den Schaden zu decken.
Mehrere Versicherungen zur Deckung derselben Sache bedeutet außerdem: Sie zahlen zu hohe Beiträge, weil Sie überversichert sind!
Prüfen Sie daher bei bestehenden Versicherungen folgende Policen:
- Betriebshaftpflichtversicherung
- Vertrauensschadenversicherung
- Betriebsunterbrechungsversicherung
- Vermögensschadenhaftpflichtversicherung
- Firmenrechtsschutz
Benötigen Sie weitere gewerbliche Versicherungen? Detailliertere Informationen finden auf unserer Seite über Gewerbeversicherungen.
Welche Voraussetzungen müssen für eine Cyberversicherung erfüllt werden?
Eine Cyberversicherung dient ausschließlich als Absicherung für den Schadenfall. Sie ersetzt nicht die Sicherheitsvorkehrungen der IT-Abteilung. Die Versicherer verlangen vielmehr einen Mindeststandard an IT-Sicherheitsmaßnahmen vor dem Abschluss einer Cyberversicherung.
Zu den Mindestvoraussetzungen, die die IT-Sicherheit eines Unternehmens oder Betriebs garantieren sollen, gehören:
- Aktuelle Anti-Viren-Software auf allen IT-Geräten des Unternehmens
- Firewall auf allen Geräten mit Internetzugang
- Regelmäßige und vollständige Datensicherung (Back-ups) auf externen Systemen
- Klar definierte und abgestufte Zugriffsrechte innerhalb des Unternehmens
Vor dem Versicherungsabschluss müssen die IT-Sicherheitsstandards des Unternehmens bei der Risikoabfrage korrekt angegeben werden. Tritt ein Schadenfall ein und die Angaben waren nicht korrekt, leistet die Versicherung keine Zahlungen.
Unabhängig von einer Cyberversicherung im Unternehmen sollten diese Maßnahmen zur IT-Security immer eingehalten werden: Sie senken das Risiko, Opfer von Cyberkriminalität zu werden.
Wieviel kostet der Schutz vor Cyberrisiken?
Der jährliche Beitrag einer Cyberversicherung kann von 200 Euro bis zu mehreren Tausend Euro reichen. Die Beitragshöhe hängt von verschiedenen Faktoren ab.
Einige der Hauptfaktoren, die die Beitragshöhe beeinflussen:
- Unternehmensgröße: Größere Unternehmen haben in der Regel mehr Daten und Systeme, die geschützt werden müssen. Sie zahlen daher höhere Beiträge.
- Branche: Bestimmte Branchen sind einem höheren Risiko für Cyberangriffe ausgesetzt, z. B. Unternehmen, die Online-Zahlungen abwickeln und Kundendaten speichern, wie E-Commerce und Einzelhandel. Auch Arztpraxen, die vertrauliche Patientendaten und medizinische Informationen speichern, haben ein höheres Risiko.
- Umfang der Abdeckung: Je umfassender die Abdeckung der Cyberversicherung ist, desto höher sind die Beiträge. Wenn die Police viele Risiken und Schäden abdecken soll, führt dies zu höheren Kosten.
- Art der Informationen und Daten: Sensible Kundeninformationen oder finanzielle Daten erhöhen das Risiko im Falle eines Datenlecks oder Diebstahls. Unternehmen, die solche Informationen speichern oder verarbeiten, zahlen für eine Cyberversicherung höhere Beiträge.
- Sicherheitsmaßnahmen: Versicherungsunternehmen bewerten die Sicherheitspraktiken und IT-Infrastruktur des Unternehmens. Unternehmen mit robusten Sicherheitsmaßnahmen, Schulungen für Mitarbeiter und aktiven Schutzmaßnahmen zahlen niedrigere Beiträge.
- Vorgeschichte: War ein Unternehmen in der Vergangenheit bereits Opfer von Cyberangriffen, beeinflusst das die Beitragshöhe. Ein wiederholter Vorfall führt bei einer Cyberversicherung zu höheren Beiträgen.
- Risikobewertung und Selbstbehalt: Die Selbstbeteiligung oder der Selbstbehalt ist der Betrag, den das Unternehmen im Falle eines Schadens aus eigener Tasche zahlt. Eine höhere Selbstbeteiligung führt zu niedrigeren Beiträgen.
- Globale Präsenz: Unternehmen mit globaler Präsenz zahlen in der Regel für eine Cyberversicherung höhere Beiträge, da sie einem breiteren Spektrum von Risiken ausgesetzt sind.
Über drei Faktoren lassen sich die Beiträge Ihrer Cyberversicherung senken: über die Vertragslaufzeit, den Leistungsumfang und den variablen Selbstbehalt.
Besonderes Angebot einiger Versicherer: Nutzen Mitarbeiter regelmäßig die Sicherheitstrainings, reduziert sich der Selbstbehalt im Schadenfall. Manche Versicherer bieten Rabatte, wenn ein Unternehmen nachweist, dass es Maßnahmen ergriffen hat, um bestimmte Risiken zu minimieren.
Sie möchten Ihre individuelle Beitragshöhe wissen? Unser individueller Versicherungs-Check findet den optimalen Versicherungsschutz zum besten Tarif.
| Kostenbeispiel Cyberversicherung | |
| Tätigkeitsbereich | Einzelhandel |
| Jahresumsatz (Netto) | 500.000 Euro |
| Versicherungssumme (empfohlen) | 750.000 Euro |
| Selbstbeteiligung (empfohlen) | 1.000 Euro |
| Zusatzbaustein | Cyber-Betriebsunterbrechung |
| Zahlungsperiode | monatlich |
| Monatlicher Versicherungsbeitrag | 81,03 Euro |
Welche Anbieter gibt es?
Der Bedarf an Cyberversicherungen wächst: Über 40 Versicherer bieten auf dem deutschen Markt eine Cyberversicherung an. Die größten Anbieter sind Allianz, Ergo, HDI und VHV. Vorreiter der Cyberversicherung in Deutschland ist die Hiscox, die seit 2011 Unternehmen gegen Internetkriminalität versichert.
Anbieter wechseln, Versicherung kündigen?
Sie möchten Ihre Versicherung zu kündigen? Stellen Sie unbedingt sicher, dass die Kündigung alle wichtigen Informationen enthält.
Einfach und schnell lässt sich ein Schreiben mit unserer kostenlosen Vorlage für ein Kündigungsschreiben aufsetzen.
