Suche

Verstehen Sie manchmal nur IT?

Im IT-Lexikon erklären wir die wichtigsten Begriffe aus den Bereichen IT, Digitalisierung und Technik.

Startseite / Blog

Blog der Makro Factory
Cyberversicherung: Fragen & Antworten rund um das Thema Cyberpolice mit Versicherungsexperte Georg Lindner

Cyberversicherung: Fragen & Antworten rund um das Thema Cyberpolice mit Versicherungsexperte Georg Lindner

Die aktuelle Bedrohungslage für Unternehmen in Deutschland ist in Bezug auf die stetig wachsende Anzahl an erfolgreich durchgeführten Cyberangriffen im Jahr 2021 mehr als besorgniserregend. Im Bericht des Bundesamts für Sicherheit in der Informationstechnik (BSI) zur Lage der IT-Sicherheit in Deutschland wird das komplette Ausmaß der Entwicklung in Zahlen überdeutlich. Aus einer Studie des Digitalverbands Bitkom geht hervor, dass die durch Cyberattacken verursachte wirtschaftliche Schadensumme von den befragten Unternehmen auf insgesamt rund 223 Mrd. Euro geschätzt wird! Eine besonders starke Zunahme sei vor allem bei Mittelständlern zu verzeichnen.

Kein Wunder also, dass sich mehr und mehr Unternehmer für den (leider gar nicht so unwahrscheinlichen) Notfall absichern möchten und über den Abschluss einer Cyberversicherung nachdenken. Angebote gibt es auf dem Versicherungsmarkt mittlerweile für nahezu jede Unternehmensgröße. Allerdings sind die von den Versicherern geforderten Checklisten zur Abfrage des IST-Stands in puncto IT-Sicherheit oftmals lang und anspruchsvoll. Nicht selten keimen bei den Interessenten grundlegende Fragen oder sogar Zweifel an der Versicherungsfähigkeit des eigenen Unternehmens auf.

Um ein wenig Licht ins Dunkel zu bringen, haben wir uns mit dem Versicherungsexperten Georg Lindner, Firmenberater der Dr. Hörtkorn München GmbH, zum Interview getroffen und ihm einige Fragen zu den zwingenden Anforderungen der Versicherer an die Unternehmen gestellt. Außerdem wollten wir wissen, was seiner Meinung nach die beste Vorgehensweise ist, um den Abschluss einer Cyberpolice vorzubereiten.


Makro Factory (MF):
Herr Lindner, wer heutzutage eine Cyberversicherung abschließen möchte, muss vorab eine vom Versicherer geforderte Risiko-Management-Liste ausfüllen. Welche Anforderungen muss Ihrer Erfahrung nach jedes Unternehmen erfüllen, um überhaupt als versicherungsfähig eingestuft zu werden? Welche Punkte sind demnach kritisch?

Antwort Georg Lindner (GL): 
Ein Kriterium, das für die Versicherer absolut erfüllt sein muss, ist die Multi-Faktor-Authentifizierung für VPN-Zugänge. Die Pandemie hat viele Arbeitnehmer kurzfristig und überstürzt ins Homeoffice verbannt, wodurch auch die Zahl der Cyberattacken in diesem Bereich extrem angestiegen ist. Sollte ein Unternehmen bislang keine Multi-Faktor-Authentifizierung nutzen, kann im Vorfeld darüber verhandelt werden, bis wann die Voraussetzung realistischerweise erfüllt werden kann.

Ein weiteres wesentliches Kriterium betrifft das Patchmanagement: Sicherheitsrelevante Patches müssen regelmäßig eingespielt und im Notfall auch erzwungen werden können. Im Falle von Log4Shell hat sich erst vor Kurzem gezeigt, dass Unternehmen in der Lage sein müssen schnell zu handeln, um kritische Sicherheitslücken zu schließen.

Natürlich können die zwingenden Anforderungen der Versicherer je nach Unternehmensgröße des Antragstellers unterschiedlich sein. Multi-Faktor-Authentifizierung und Patchmanagement sind jedoch für alle Firmen grundlegend. 

Empfehlung: Gehen Sie gemeinsam mit einem IT-Partner Ihres Vertrauens die Risiko-Management-Liste durch und prüfen Sie, welche Kriterien Ihr Unternehmen bereits erfüllen kann, und in welchen Punkten nachgesteuert werden muss. Wägen Sie genau ab, welche Kosten und Aufwände auf Sie zukommen und welchen Nutzen Sie von der Umsetzung haben. Die Makro Factory unterstützt Sie gerne dabei.
Sprechen Sie uns an.

MF: Auf welche Themen wird neben den oben genannten Punkten ebenfalls großen Wert gelegt?

GL: Schon allein im Interesse des Unternehmens sollten Mitarbeiter:innen regelmäßig für Gefahren aus dem Cyberspace sensibilisiert und sicherheitskonformes Handeln im persönlichen Arbeitsumfeld geschult werden. Damit wird bereits eine Schwachstelle, nämlich der Mensch als Sicherheitsrisiko, verringert.

Empfehlung: Die Makro Factory bietet IT-Security Awareness Schulungen in der virtuellen Welt FRAME an. Mieten Sie die Lernumgebung und lassen Sie Ihre Mitarbeitenden selbstständig damit arbeiten oder buchen Sie einen geführten Workshop mit einem unserer Consultants. Mehr erfahren

Ein weiterer wichtiger Punkt sind Backups: Diese müssen auf jeden Fall regelmäßig überprüft werden, um Daten im Notfall wiederherstellen zu können. Je nachdem, ob die damit verbundenen Aufwände vom hauseigenen IT-Personal gestemmt werden können oder nicht, macht ggf. auch eine externe Auslagerung der Backups Sinn.

Empfehlung: Entlasten Sie Ihre IT-Abteilung, indem Sie das Backup an einen externen Dienstleister auslagern. Mehr zu Backup as Managed a Service

MF: Grundschutz und ISO-Zertifizierung 27001 werden in der Risiko-Management-Liste genannt. Sind auch andere Zertifizierungen zur Informationssicherheit wie VdS 10005 anerkannt?

GL: Durchaus. Macht ein Unternehmen z. B. mehr als 100 Millionen Umsatz, wird ein VdS-Quick-Check benötigt. In Einzelfällen werden Sicherheitsaudits vom Versicherer gefordert, bevor die Police durchgewunken werden kann. Es ist daher immer eine individuelle Betrachtung und Beurteilung des Unternehmens nötig. Jede sicherheitsrelevante Zertifizierung ist jedoch besser als keine!

MF: Welche Leistungen sind durch eine Cyberversicherung abgedeckt? Was sollte unbedingt im Vertrag enthalten sein?

GL: In einer modernen Cyberversicherung sind drei Bausteine elementar, einerseits um den monetär entstandenen Schaden abzudecken und andererseits, um in der Not schnelle Unterstützung zu erhalten:

  • Zusätzliche Dienstleistung im Schadensfall
    Der Service sichert Soforthilfe im Notfall durch zertifizierte Experten zu. Der Kunde meldet den Verdacht oder einen bereits bestätigten Cyberangriff über die Krisenhotline und wird anschließend durch alle weiteren Schritte begleitet. Sofern ein Schadensfall vorliegt, beginnt die Forensikforschung, Notfall- und Public Relationsmaßnahmen werden eingeleitet, Behörden werden bei Datenrechtsverletzungen informiert, Anwälte zur Verfügung gestellt und vieles mehr.
  • Haftpflicht 
    Kommt für Drittschäden bei Kunden auf, wenn das Unternehmen beispielsweise durch einen Cyberangriff seine Dienstleistung nicht mehr zur Verfügung stellen kann oder in Verzug gerät. Die Versicherung deckt in diesem Fall Schadensersatzleistungen ab, die von Dritten gefordert werden.
  • Betriebsunterbrechung durch Cybervorfall
    Dieser Baustein deckt den Ausfall, den entgangenen Gewinn und sämtliche in der Zeit nach dem Cyberangriff auflaufenden Kosten – inklusive Lohnersatzleistungen – ab. Eine klassische Ertragsausfall- oder Betriebsunterbrechungsversicherung würde in diesem Fall nicht greifen, da es sich um eine reine Sachversicherung handelt und sich daher nur auf Sachschäden bezieht die beispielsweise durch Feuer, Wasser oder Sturm verursacht wurden.


MF: Wie berechnet sich die Prämie? Reduziert sich der Preis durch mehr Sicherheitsmaßnahmen?

GL: In der Regel berechnet sich die Prämie nach dem Umsatz des Unternehmens und der gewählten Deckungssumme. Ob sich die Prämie durch mehr Sicherheitsmaßnahmen reduziert, kann nicht pauschal beantwortet werden – das muss individuell entschieden werden.

MF: Was ist eine sinnvolle Deckungssumme?

GL: Die Deckungssumme sollte immer risikogerecht sein! Fragen Sie sich, wie hoch die Ausfallsumme in Ihrem Unternehmen wäre, welches Haftungspotential Sie haben und was Sie im Schadensfall der Forensikpartner kosten würde.

MF: Ist die Höhe der Prämie ans Sicherheitsrisiko des Unternehmens gekoppelt?

GL: Nein.

MF: Gibt es Sonderlösungen für bestimmte Branchen?

GL: Eine Cyberversicherung ist keine klassische Branchenlösung, sondern passt grundsätzlich für jedes Unternehmen. In ihr wird lediglich die Art des Schadens definiert: ob es sich um eine Netzwerksicherheitsverletzung (IT-Landschaft) oder um eine Informationssicherheitsverletzung (Datenschutz) handelt.

Es gibt am Markt jedoch mittlerweile auch kombinierte Lösungen aus der Cyberversicherung und anderen klassischen Versicherungen (z. B. für den Maschinenbau).

MF: Sind bestimmte Branchen besonders gefährdet?

GL: Die Erfahrung zeigt, dass es jeden treffen kann. Jeder Unternehmer sollte sich fragen, was es für die Firma bedeuten würde, wenn plötzlich für einen gewissen Zeitraum das Internet ausfällt: ob KRITIS-Unternehmen, Online-Handel, in der Logistik-Branche oder im produzierenden Gewerbe.

MF: Wie wichtig schätzen Sie einen aktuellen Penetration-Test in Vorbereitung auf den Abschluss einer Cyberversicherung ein? Welche Wiederholungsrate wird empfohlen?

GL: Penetration-Tests sollten grundsätzlich regelmäßig durchgeführt werden, da sie lediglich den Stand einer Momentaufnahme abbilden. Neue Risiken können sich im Alltag jederzeit einschleusen.

Empfehlung: Penetration-Tests und Active Directory-Scans sind in Vorbereitung auf den Abschluss einer Cyberversicherung durchaus sinnvoll, allerdings nicht im ersten Schritt.

Beginnen Sie zuerst mit der Bestandsaufnahme (Was muss getan werden?) z. B. in Form eines Security Assessments und arbeiten Sie anschließend die vordefinierten Aufgaben ab.

Prüfen Sie im Nachgang durch einen Penetration-Test oder Active Directory-Scan welche Schwachstellen noch offen sind und beheben sie diese. Je nach Unternehmensgröße sollten Sie eine erneute Prüfung von ein- bis zweimal im Jahr anstreben.

MF: Ist die Schwachstellen-Analyse kostenfrei?

GL: Grundsätzlich nein, die Schwachstellen-Analyse muss separat in Auftrag gegeben werden. Im Rahmen der Zusammenarbeit mit Partnern ist ggf. eine Teil-Rückerstattung bei Abschluss der Police möglich.

MF: Gibt es Unterschiede bei der Bewertung zwischen einem reinen On Premises- und/oder teilweise Cloud-Betrieb?

GL: Nein, bei der Beurteilung des Unternehmens gibt es keine Unterscheidung.

MF: Herr Lindner, wir bedanken uns bei Ihnen für die ausführlichen Informationen und hoffen, den Leser:innen damit bei den ersten Schritten in Richtung Abschluss einer Cyberversicherung helfen zu können.

Für weitere Unterstützung oder eine individuelle Beratung sprechen Sie uns gerne an!

Nach oben scrollen