Cyber-Sicherheit für Ihr Unternehmen
Mit der zunehmenden Digitalisierung gewinnt auch die Sicherheit im Internet immer mehr an Bedeutung. Es ist weniger eine Frage, ob man gehackt wird, sondern wann man gehackt wird. Aus diesem Grund kann man die Cyberversicherung als die Feuerversicherung des 21. Jahrhunderts bezeichnen, denn sie ist nicht mehr wegzudenken. Hier erfahren Sie mehr darüber, wie Ihnen eine Cyberversicherung im Schadenfall helfen kann und wieso diese so essenziell ist.
Wieso brauche ich eine Cyberversicherung?
In den letzten Jahren ist eine enorme Zunahme an Cyberkriminalität zu erkennen: Im Vergleich zu 2021 wurden 2023 dreimal so viele Cyberattacken durchgeführt. Täter werden professioneller und die Abwehr gestaltet sich immer schwieriger. Im Jahr 2022 war fast jede zehnte Attacke (12%) erfolgreich. Diese Angriffe können die geschäftliche Existenz eines Unternehmens bedrohen. Hierbei sind nicht nur Großunternehmen betroffen, sondern auch Klein- und Mittelbetriebe.
Eine beliebte Vorgehensweise der Täter bei KMUs sind die sogenannten Ransomware-Attacken. Hierbei suchen Täter nach spezifischen Sicherheitslücken eines Unternehmens, um Zugriff zum firmeninternen System zu erhalten. Ist dies gelungen, werden alle Daten verschlüsselt, sodass auf diese seitens des Unternehmens nicht mehr zugegriffen werden kann.
Die Verschlüsselung wird von den Hackern erst gegen ein Lösegeld wieder aufgehoben. Folgen einer Cyberattacke sind, neben dem Reputationsverlust, finanzielle Schäden durch Betriebsstillstand und die damit einhergehende Aufarbeitung.
Was ist bei einer Cyberversicherung versichert?
Ein Versicherungsfall wird ausgelöst:
- wenn Unberechtigte sich Zugriff auf versicherte IT-Systeme verschaffen, etwa durch Hacker, Schadenprogramme oder interne Sabotage
- eine Datenschutzrechtsverletzung vorliegt
- oder ein solches Szenario angedroht und der Versicherungsnehmer erpresst
Man kann von den drei Säulen der Cyberversicherung sprechen:
Krisen- & Schadenmanagement IT-Forensik Projektmanager im Schadenfall PR-Agent | Eigenschäden Betriebsunterbrechungen Datenwiederherstellung Erpressungsgeld | Haftpflicht Abwehr unberechtigter Schadenersatzforderungen Befriedigung berechtigter Schadenersatzforderungen |
Das Krisen- und Schadenmanagement einer Cyberversicherung umfasst, je nach Versicherer, verschiedene Bausteine:
- IT-Forensik: Spezialisten stellen fest, über welche Lücke im System die Hacker eingedrungen sind
- 24/7-Servicehotline
- Schadenreferent, quasi „Projektmanager“, der den Versicherungsnehmer über die wichtigsten Punkte informiert und im Schadenfall betreut und begleitet. Dies beinhaltet unter anderem:
- die Einhaltung der Fristen für die Selbstanzeige bei der Datenschutzbehörde, der Anzeige beim Landeskriminalamt und der Inkenntnissetzung der Kunden über das Datenleck
- die Kommunikation mit den Hackern bei Erpressungsversuchen
- PR-Arbeit für Kommunikation nach außen
Die Eigenschadenkomponente der Cyberversicherung ist eine Art Kaskoversicherung. Beispielsweise, wenn Mehrkosten durch die Wiederherstellung von Daten oder Betriebsunterbrechungen anfallen. Im Gegensatz zu anderen Ländern darf in Österreich auch Erpressungsgeld bei Ransomware-Attacken versichert werden.
Die Haftpflichtkomponente der Cyberversicherung hat den Zweck der Abwehr unberechtigter Schadenersatzforderungen und der Befriedigung berechtigter Schadenersatzansprüche. Dies ist üblicherweise nicht in einer „herkömmlichen“ Haftpflichtversicherung mitversichert, sofern kein Extrabaustein dafür eingeschlossen worden ist.
Versicherer empfehlen eine „maßgeschneiderte“ Cyberversicherung für das jeweilige Unternehmen. Unternehmer sollen sich also die passenden Deckungsbausteine für Ihren idealen Versicherungsschutz aussuchen. Beispielsweise eine Kombination aus monatlichen Risikoanalysen, um Angriffen vorzubeugen, einer technischen Beratung im Fall von IT- und Cyberproblemen und Schadenersatzleistungen bei Datenverlust oder Datenmanipulation durch Hackangriffe.
Obliegenheiten als Versicherungsnehmer
Damit Sie eine Cyberversicherung abschließen können, müssen Sie gewisse Obliegenheiten erfüllen und einhalten. Diese unterscheiden sich von Versicherer zu Versicherer, die folgenden Punkte werden aber in den meisten Fällen gefordert:
- Betreuung der IT des Unternehmens durch einen IT-Experten
- regelmäßige Datensicherung auf separierten Systemen und Datenträgern (mind. wöchentlich)
- aktuelle Virenschutzprogramme & Softwaresysteme
- Firewalls an allen Übergängen ins Internet für stationäre IT-Systeme
- abgestuftes Rechtskonzept für IT-Verantwortliche (inklusive administrativer Kennungen)
Außerdem werden Sie in den meisten Fällen vor Versicherungsabschluss gefragt, ob es in den letzten Jahren zu einem Cyberschaden gekommen ist. Wichtig ist, dass Sie auf die Fragen im Risikoerfassungsbogen wahrheitsgemäß antworten. Im schlimmsten Fall ist Ihre Versicherung im Schadensfall nämlich leistungsfrei, wenn Sie falsche Angaben gemacht haben. Es empfiehlt sich, die Fragen der Versicherung gemeinsam mit dem IT-Experten Ihres Unternehmens zu beantworten.
Was kostet meine Cyberversicherung?
Die Kosten Ihrer Cyberversicherung richten sich hauptsächlich nach dem Umsatz und der Branche Ihres Unternehmens sowie auch nach dem Unternehmensstandort. Daneben spielt auch die Versicherungssumme eine Rolle. Welche Versicherungssumme genau gewählt werden soll, ist vom jeweiligen Unternehmen abhängig. Da Cyberschäden generell immer recht kostspielig sind, wird meistens eine Summe von mindestens 1 Mio. € empfohlen.
Prävention als erste Sicherheitsmaßnahme
Um eine Cyberattacke zu vermeiden oder ihr standzuhalten, ist Vorbeugung das A und O. Dazu gehören:
- eine grundlegende Absicherung durch Firewalls
- eine Antivirensoftware
- IT-Sicherheitsschulungen für Mitarbeitende
- eine sorgfältige Datensicherung
- regelmäßige Sicherheitsupdates
- Vorgaben für die Erstellung und den Umgang mit Passwörtern
- eine Regelung, wer wie auf IT-Systeme zugreifen kann
Es ist außerdem sinnvoll, die Sicherheitslücken im IT-System feststellen zu lassen, etwa über einen standardisierten Audit oder über einen „Penetration Test“ eines IT-Security-Experten. Dies wird von vielen Cyberversicherern vor Abschluss der Versicherung angeboten, um das jeweilige Risiko des Unternehmens zu analysieren und den richtigen Versicherungsschutz anbieten zu können.
Welche Arten von Cyberattacken gibt es?
Neben den oben genannten Ransomware-Attacken gibt es noch weiteren Arten von Cyberangriffen:
- Phishing-Mails: gefälschte E-Mails, die Menschen dazu verleiten sollen, auf einen Betrug hereinzufallen
- Business-E-Mail-Compromise (BEC) bzw. CEO Fraud: Hacker verschaffen sich Zugang zu einem E-Mail-Konto des Unternehmens oder erstellen ein E-Mail-Konto, dass einer regulären Firmenadresse sehr ähnelt, um mit der gestohlenen Identität Kunden und Mitarbeiter zu täuschen. Hierbei wird oftmals zur Überweisung hoher Geldbeträge auf ausländische Bankverbindungen aufgefordert.
- Gefälschte E-Banking Seiten: Auf täuschend echt aussehenden E-Banking Seiten werden Bankkunden zum Beispiel dazu aufgefordert, einen Einmalcode bei der eigentlichen Bank anzufordern und einzugeben, wodurch die Betrüger Zugriff auf das Konto erhalten.
- Social Engineering bzw. Soziale Manipulation: Hierbei werden Mitarbeiter von Betrügern angerufen, die sich beispielsweise als Techniker ausgeben und behaupten, vertrauliche Informationen, wie etwa Zugangsdaten, zu benötigen, um Arbeiten durchführen zu können.