Cyberversicherung: Besser gut versichert als viel verloren

Schwer kalkulierbare Risiken, die ganze Existenzen bedrohen können, hat es immer schon gegeben. Bereits die antiken Griechen wussten, was es bedeutet, Schiff, Ladung und Mannschaft auf hoher See zu verlieren. Im Mittelalter vernichteten Brände oft das mühsam angesparte Hab und Gut. Und in der Neuzeit sind es arbeitsrechtliche Prozesse, juristischer Streit zwischen konkurrierenden Wettbewerbern oder schlicht Management-Fehler, die finanziell schweren Schaden hinterlassen können — gerade in Unternehmen. Ein Glück, dass es da moderne Versicherungen gibt, für beinahe jeden Anlass und skalierbar auf jeden Versicherungsnehmer.

Erste Versicherungen mögen fast so alt sein wie die Risiken, doch die Gefahren, die im Ernstfall abgefedert werden, unterliegen einem stetigen Wandel. Historisch betrachtet ein noch relativ neues Phänomen sind Cyberrisiken, gleichwohl sie im Detail so heterogen sind wie kaum ein anderes Schadenspotenzial. Und dabei ist längst klar, dass es hier um sehr viel Geld geht. Nach einer Studie des Security-Anbieters McAffee kostete Cyberkriminalität die Weltwirtschaft in 2019 über eine Billion US-Dollar. Ein Jahr zuvor waren es knapp 600 Millionen US-Dollar. Eine Wachstumsrate, die zum Handeln mahnt.

Für Unternehmen jeder Größe

Cyberversicherungen setzen genau an diesem Punkt an — ob für kleine Betriebe, mittlere Unternehmen oder die „Global Player“. Denn selbst die besten IT-Vorsichtsmaßnahmen, deren Notwendigkeit in immer mehr Chefetagen anerkannt wird, bieten keinen lückenlosen Schutz. Damit im Ernstfall eine Versicherung genau dann greift, wenn sie benötigt wird, braucht es einerseits ein erfahrenes Team aus IT-Security-Experten, die eine fundierte Risikoanalyse für Versicherungsunternehmen anbieten und andererseits einen Versicherer mit dem Anspruch, seinen Kunden die Sorge vor den ganz individuellen „Worst-Case-Szenarien“ zu nehmen.

Infraforce, eine Beteiligungsgesellschaft von TÜV Hessen, die sich mit innovativen Lösungen auf umfassende IT-Sicherheit spezialisiert hat, und die „Gothaer Allgemeine Versicherung AG“ sind ein solches Team. Wenn die Gothaer Versicherung ihren Kunden passgenaue Lösungen anbietet, dann auch, weil sie die abzudeckenden Risiken dank der IT-Expertise von Infraforce sehr gut einschätzen kann. Eine klassische Win-Win-Situation, von der am Ende vor allem die Versicherungsnehmer profitieren. Denn der individuelle Schutz kostet am Ende nur das, was er wert ist.

Risiken belastbar einschätzen

„Wir können nahezu den gesamten Lebenszyklus der Versicherungs-Serviceleistungen begleiten. Das fängt bei der Planung der unterschiedlichen Angebote an, geht über die technisch-organisatorische Gestaltung der Beurteilung tatsächlicher Risiken, weiter mit der Bearbeitung der Schäden und endet bei der Schulung einzelner Mitarbeiter und Makler im Hinblick auf IT-Fragen und Security“, sagt Christian Weber, Geschäftsführer von Infraforce.

Gerade weil IT-Security eine Vielzahl an Risiken und Gegenmaßnahmen nicht aus den Augen verlieren darf, sei es wichtig, sämtliche Risiken klar wahr zu nehmen und in ihrem Umfang auch einschätzen zu können. „Die Gothaer Versicherung sehen wir dabei als einen Versicherer, der Gefahren und Schadenspotenzial sehr nachvollziehbar bewertet.“

Hohe Abhängigkeit von funktionierender IT

Tobias Treutlein, „Underwriter Cyber“ bei der Gothaer Versicherung, begründet das auch damit, dass sich das Unternehmen seit Anfang 2017 in dem wachsenden Geschäftsfeld der Cyberversicherungen für seine Unternehmenskunden engagiert und ebenso lang mit Infraforce zusammenarbeitet. „Grundsätzlich bieten wir hier zwei Produktbereiche an. Im Gewerbesegment bis zehn Millionen Euro Jahresumsatz erfolgt der Abschluss einer Versicherung über ein vereinfachtes Antragsmodell.“ Im Industriesegment, das darüber hinaus gehe, erfolge eine individuelle Risikoprüfung jedes Kunden.

„Während in der Anfangszeit die Nachfrage nach entsprechendem Versicherungsschutz noch verhalten war, stellen wir seit etwa zwei Jahren eine stetig steigende Nachfrage fest. Waren es anfangs vorwiegend größere Industrieunternehmen, die sich für eine passende Versicherungslösung interessierten, erkennen inzwischen auch gewerbliche Unternehmen an, dass ihre Abhängigkeit von Computersystemen relevant für beinahe sämtliche Betriebsabläufe ist. Dennoch besteht hier weiterhin viel Aufklärungsbedarf, da sich Unternehmen zwar der Gefahr bewusst sind, Opfer eines Angriffs werden zu können“, betont Treutlein. „Viele sehen jedoch noch nicht die Notwendigkeit, Gegenmaßnahmen zu ergreifen — etwa durch eine Kombination aus technischen Sicherheitsmaßnahmen und dem Transfer des Risikos auf den Versicherungsmarkt.“ Dabei nehme die Anzahl von Angriffen auf Unternehmen nahezu exponentiell zu.

Vorbereitung beginnt weit vor der Cyberattacke

Christian Weber weiß, wie unterschiedlich die Folgen von Cyberattacken auf Unternehmen aussehen können und welchen Unterschied es macht, im Idealfall gut vorbereitet oder schlimmstenfalls wehrloses Opfer zu sein. „Eine gelungene Abwehr des Angriffs könnte so aussehen, dass er umgehend bemerkt wird und Gegenmaßnahmen eingeleitet werden. Verfügt der Angegriffene über ein ‚Security Operations Centre‘ lässt sich meist zurückverfolgen, aus welcher Region der Angriff kommt und möglicherweise gar herausfinden, wer dahinter steckt.“ In einem gegenteiligen Szenario dagegen werde der Angriff zu spät oder auch gar nicht bemerkt. „Auch der Abfluss von Daten wäre für den Betroffenen unsichtbar.“ Erst durch die „Vermarktung“ der Daten würde der breiten Masse bewusst werden, dass das Unternehmen korrumpiert wurde — mit allen Folgen für das Image und den unternehmerischen Fortschritt.

Das Schutzkonzept der Gothaer Versicherung basiert auf mehreren Säulen. „Grundsätzlich versichern wir im Rahmen unserer Cyber-Versicherung Drittschäden, etwa Haftpflichtansprüche, und Eigenschäden, beispielsweise auftretende Kosten für Datenwiederherstellung“, erklärt Tobias Treutlein. Aber auch sogenannte Deckungserweiterungen im Fall von Betriebsunterbrechungsschäden, Sachschäden an Computersystemen oder Schäden durch eigene Mitarbeiter könnten abgeschlossen werden. Dabei werden sowohl zielgerichtete als auch unspezifische Hacker-Angriffe eingeschlossen. „Unsere Cyber-Soforthilfe-Hotline kann dabei ohne Selbstbeteiligung genutzt werden. Im Zweifelsfall lieber einmal mehr anrufen als zu wenig, um den Schaden so gering wie möglich zu halten.“

Stetig neue Gefahrenquellen

Wichtig ist für alle Beteiligten, mindestens auf Augenhöhe mit den Angreifern zu bleiben. „Weil sich Gefahrenszenarien kontinuierlich entwickeln, werden unsere Produkte permanent kritisch überprüft — zuletzt mindestens einmal im Jahr“, verspricht Treutlein. Derzeit gebe es in Deutschland auf dem Feld der Versicherungsanbieter keinen vollkommen einheitlichen Markt. Allein deshalb sei es wichtig, mit dem Netzwerk an IT-Security-Mitarbeitern von Infraforce einen Status Quo aufrecht zu erhalten, um sich im Markt nicht nur von Wettbewerbern abzuheben, sondern die Hilfe gegenüber den Versicherungsnehmern derart mit IT-Expertise zu untermauern, dass Schäden bestenfalls gar nicht erst entstehen.

In diesem Zusammenhang spielen immer häufiger neu zum Einsatz kommende Datenströme eine Rolle. „Besonders gravierende Möglichkeiten bieten sich den Angreifern durch die zunehmend genutzten Cloud- und Hybrid-Strukturen, die Organisationen gerade in Zeiten von vermehrtem Home Office nutzen“, sagt Christian Weber. Hier vermischt sich teilweise Privates mit Geschäftlichem und führt so zu einem gefährlichen Sicherheitsgefälle, einem idealen Ausgangspunkt für einen Angriff. Auch die zunehmend starke Verbreitung von vernetzten Alltagsgegenständen — dem ‚Internet of Things‘ — und deren teilweise bedenkenlose Integration in Netzwerke bedeutet ein unerschöpfliches Potenzial für Angreifer. Einfach die Augen davor zu verschließen und in Schockstarre zu verharren? Das ist definitiv der falsche Weg.“

(Autor: Sebastian Philipp)