Die Cyber-Risiken steigen. In den vergangenen zwölf Monaten waren 81 Prozent aller Unternehmen vom Diebstahl von Daten und IT-Geräten sowie von digitaler und analoger Industriespionage oder Sabotage betroffen. Weitere zehn Prozent vermuten dies. 2023 lagen die Anteile noch bei 72 und acht Prozent. Das zeigen die Ende August 2024 veröffentlichten Ergebnisse einer repräsentativen Studie des Digitalverbands Bitkom. Auch Kleinbetriebe geraten immer mehr in den Fokus von Cyberkriminellen. 56 Prozent dieser Unternehmen haben laut der im April 2024 veröffentlichten Cyber-Studie des Versicherers HDI bereits Erfahrung mit Cyberangriffen gemacht. Dieser Wert entspricht dem Betroffenheitsniveau von Mittelständlern. Und auch Klein- und Kleinstunternehmen sowie Freiberufler werden den Studienergebnissen zufolge für die Angreifer immer interessanter.
Der Markt der Cyber-Versicherung sei derzeit sehr „entspannt“ und der Wettbewerb durch neue Cyber-Versicherer und Assekuradeure seit 2023 größer geworden. „Die Versicherer haben das Cyber-Risiko im Griff“, weiß Sven Erichsen vom Versicherungsmakler Finlex GmbH. Die Anbieter hätten gelernt, welche IT-Mängel gefährlich sind und versicherten nur Unternehmen, die ihre IT-Sicherheit entsprechend aufgerüstet hätten. Beispielsweise sei es längst Standard, die Mitarbeiter regelmäßig zu schulen und täglich ein Datenbackup zu erstellen, das vom Netz getrennt aufbewahrt wird. „Cybersicherheit ist Chefsache“, sagt Manuel Bach vom Bundesamt für Sicherheit in der Informationstechnik (BSI), die das gesamte Unternehmen erfassen müsse. So sollte es klare Zuständigkeiten geben, der Ernstfall geübt und auf Warnungen des BSI reagiert werden. Kleine und mittelständische Unternehmen sollten zudem ihr System permanent scannen lassen. So kann etwa die Eye Security GmbH, die mit Assekuranzen kooperiert, die Unternehmen nach Aufspielen einer Software ständig durchleuchten. „Die Versicherer weisen dann ihre Kunden regelmäßig auf entdeckte Schwachstellen hin. Das hilft den Unternehmen, richtig in die IT-Sicherheit zu investieren“, erläutert Erichsen. Allein die Künstliche Intelligenz, mit der sogar die Bilder und Stimmen von Vorständen gefälscht werden könnten, sei ein neues, noch nicht einschätzbares Gefahrenpotential. „Wir haben aber den Eindruck, dass Cyberschutz nun auch bei den Unternehmen angekommen ist“, sagt der Präsident des Bundesverbandes Deutscher Versicherungsmakler (BDVM) Thomas Billerbeck. Wer Cyberschutz anbiete, könne heute fast immer mit dem Interesse des Managements rechnen.
Dass man mit umfassendem Cyberschutz offene Türen bei den Unternehmen einrennt, bestätigen die jungen Gründer Julius Mehlhorn und Laurin Ziesmer aus München. Zwar verfügten sie „ab Tag eins“ ihrer Selbstständigkeit Mitte dieses Jahres über eine Betriebshaftpflichtversicherung, doch der Cyberschutz läuft noch über den Provider ihrer Unternehmens-Website house-of-lenja.de. „Ein großer Beschlägehersteller, mit dem wir kooperieren, hatte bereits ein Cyberproblem. Die Server standen plötzlich still“, erinnert sich Mehlhorn. Hier soll der bestehende Schutz nun umgehend mit dem Versicherungsmakler besprochen werden.
Steigende Nachfrage
Solche Beispiele zeigen den Wachstumstrend. „Die Nachfrage steigt bei uns jeden Tag“, sagt Zeliha Hanning, Vorstandsvorsitzende der Württembergischen Versicherung. Nach Einschätzung der Managerin geht es der gesamten Branche so. Die Assekuranz baue aber ihren Bestand „langsam“ auf. Es gebe ein individuelles Underwriting, dass die IT-Sicherheit der Unternehmen prüft und so die Versicherbarkeit sicherstellt. Im Jahresgespräch würde auch der Bestand unter die Lupe genommen. Ziel sei es, zu prüfen, ob die IT-Sicherheit noch gegeben ist. Notfalls werden Prämie und Selbstbehalt angepasst. „Es sei denn, der Unternehmer will gar nicht investieren“, erläutert Hanning. Dann drohe sogar die Kündigung. Das sei aber bisher nicht vorgekommen. In der Regel gehe der Vermittler mit einem Underwriter zum Kunden. „Eine funktionierende IT-Sicherheit ist grundlegende Voraussetzung zum Abschluss einer Cyberversicherung“, bestätigt Payam Rezvanian vom Versicherungsmakler Finanzchef24. Unternehmen müssen also erst einmal ihre IT-Sicherheits-Hausaufgaben machen, bevor sie an eine Cyberpolice kommen. „Der Markt entwickelt sich in Richtung einer aktiven Cyberversicherung“, sagt Theodoros Bitis, Cyberchef des Versicherungsmaklers Willis Towers Watson. Die Assekuranzen würden umfassende Informationen für ihre versicherten Kunden liefern und auf potentielle Schwachstellen hinweisen. „Wer solche Schwachstellen nicht abstellt, muss dann zumindest bei der nächsten Fälligkeit der Police mit einer Kündigung rechnen“, warnt Bitis.
Viele Cyberversicherer werben damit, ihre Kunden im Bereich des Krisenmanagements zu unterstützen. „Leider ist dieses Serviceversprechen nur selten in den Versicherungs-Bedingungen ausformuliert“, erläutert Leonard Wolf, Leitung Cyber-Versicherung bei der Rating-Agentur Franke & Bornberg. Der Cyber-Versicherung kommt jedoch – anders als der klassischen Sachversicherung nach einem Brand – nicht nur die Rolle des Schaden-Regulierers, sondern bildlich gesprochen auch die Rolle der Feuerwehr und Einsatzleitung zu. „Es geht bei der Cyberversicherung erst im zweiten Schritt um Geld, an erster Stelle steht der Service“, sagt der Versicherungsberater Andreas Kutschera. Man könne mit einer Cyber-Police gleich dreifach vorsorgen. „Für den Schaden, etwa den Umsatzverlust, weil der Betrieb stillsteht, für einen schnellen Notfallservice, damit die Systeme wieder laufen, und vorab, indem man sein IT-System auf ein höheres Sicherheitsniveau bringt“, erläutert der Berater aus Mönchengladbach. „Die Krisenhilfe wird durch eine Handvoll bundesweit tätiger IT-Unternehmen erbracht, die die Versicherer beauftragt haben“, erläutert Arndt von Eicken von der Assekurata Rating-Agentur. Nicht alle Versicherer würden diese Dienstleister überhaupt benennen. Schon das stelle für Kunden eine hohe Intransparenz dar. Der Dienstleister, der eine besonders wichtige Rolle beim Cyberschutz übernimmt, sollte aber bekannt und überprüfbar sein.
Hier können spezialisierte Vermittler ihren Kunden einen besonderen Service anbieten. Sie sollten vor dem Abschluss der Police den Dienstleister ermitteln und vorstellen. Laut Baloise agiert beispielsweise die „Perseus Technologies“ aus Berlin im Monat im Schnitt bei 40 Fällen als Nothelfer. Das Aufkommen variiere aber stark. Und laut Ergo bearbeitet die „networker, solutions“ aus Hamburg rund 50 bis 100 Fälle, im Schnitt also 75 Schäden pro Monat – ein starkes Indiz für aktuelles Fachwissen. Die Antworten zeigen, dass die beiden Unternehmen regelmäßig Cyberschäden abwickeln. Diese Transparenz sollten auch andere Nothelfer praktizieren.
Cyber-Policen sind noch immer kompliziert und die Bedingungen wenig einheitlich. Hier helfen externe Bewertungen. FONDS exklusiv hat daher die Datenbank des Versicherungsmaklers CyberDirekt für die Branchen Dachdecker und Zimmerei beispielhaft ausgewertet. Der Schutz umfasst pro Schaden 500.000 Euro. Abgesichert sind Hackerangriffe, Erpressung, Bedienfehler, vorsätzliche Schädigung durch Mitarbeitende, Cloud-Ausfall und der reine Systemausfall ohne Cybervorfall. Die Zahlung von Lösegeld durch Versicherungen ist weiterhin umstritten. In Deutschland ist dies aber weiterhin – im Gegensatz etwa zu Frankreich – rechtlich zulässig. Zudem leisten die Tarife bei Cyber-Diebstahl und Cyber-Betrug und kommen für Ertragsverluste auf, wenn der Betrieb durch Cyberangriffe stillsteht. Eingeschlossen wurde zudem die Haftpflicht, falls Dritte etwa durch die Weitergabe eines Virus geschädigt werden.
Insgesamt wurden die Angebote von 15 Assekuranzen untersucht (siehe Tabelle). Die Leistungsstärke misst der Versicherungsmakler CyberDirekt per Bewertung. Insgesamt werden 125 Tarifmerkmale untersucht und fließen gewichtet in das Rating ein. Der Leistungsvergleich folgt der typischen Chronologie eines Cyber-Schadens. Es gibt ein Gesamtrating. Aber auch die einzelnen
Bereiche werden bewertet. So können kooperierende Vermittler und Unternehmen die Bedingungen der Anbieter sehr genau vergleichen. Für den Musterfall Zimmerei oder Dachdecker zeigt sich, dass der Versicherer Markel und der Vermittler Corvus mit 89 Prozent die beste Bewertung im Gesamtrating erzielen. Gleichzeitig wurden die Leistungsbewertungen für Assistance, Eigenschäden, Betriebsunterbrechung und Haftpflicht dargestellt. Damit können Vermittler sehr bedarfsgerecht beraten. CyberDirekt kooperiert mit jedem Versicherungsmakler. Sie können einen direkten Zugang zur Datenbank erhalten.
Große prämienunterschiede
Noch immer gibt es zudem große Prämienspannen. „Die Preise bei fast gleicher Leistung sind am Markt noch extrem unterschiedlich“, bestätigt Ole Sieverding von CyberDirekt. Im Musterfall können die Versicherten rund 52 Prozent oder fast 700 Euro jährlich sparen, wenn sie vom teuersten zum günstigsten Anbieter wechseln. Das selbst der umfassende Cyberschutz noch sehr günstig ist, ist ein wichtiges Ergebnis des aktuellen Vergleichs. Entscheidend für die Prämienhöhe sind Art der Branche, Umsatz und die Höhe der Versicherungssumme.
Noch sind aber viele Leistungen nicht vollkommen harmonisiert. So gibt es Unterschiede bei der Definition, welcher Vorfall einen Schaden auslöst, wie umfangreich der Kunde den Schaden nachweisen muss oder wie weit ein Ausschluss reicht. Für bestimmte Schäden, wie einen Cloud-Ausfall eines Dienstleisters, Cyber-Betrug oder Cyber-Diebstahl kann die Basis-Versicherungssumme eingeschränkt sein. Auch die sogenannten Obliegenheiten – also die Pflichten des Versicherten – können unterschiedlich formuliert und damit mehr oder weniger umfangreich sein.
Eine Beratung über Versicherungsexperten, die den Markt überblicken, ist daher wichtig. Das gilt beispielsweise für die zeitliche Selbstbeteiligung beim Ertragsausfall. Jede Stunde, die das Unternehmen durch den IT-Ausfall mehr oder weniger stillsteht, kostet Geld. Dass auch die Haftzeit eine große Rolle spielen kann, zeigt der Hackerangriff auf den IT-Dienstleister der Industrie- und Handelskammer Anfang August 2022. 79 IHKs waren betroffen. Erst Anfang Januar 2023 konnte damals die Datenbank „Vermittlerregister“ wieder online gehen. Auch Fachkräftemangel oder Lieferengpässe können den Ausfall verlängern. Haftzeiten sollten daher heute möglichst lang sein. Für diese Zeitspanne werden Ertragsausfälle durch das ausgefallene IT-System getragen. Ausgeschlossen ist lediglich die zeitliche Selbstbeteiligung, die in der Regel zwischen sechs und 12 Stunden liegt. In dieser Zeit muss der Kunde alle Ertragsausfälle selbst stemmen.
Ratings vereinfachen die Suche nach der optimalen Cyber-Versicherung. Die Vergleiche können aber problematisch sein. „Die Vielfalt der Berufe mit spezifischen Risiken führt oft dazu, dass standardisierte Produkte mit vielen Leistungen angeboten werden, die nicht immer den individuellen Bedürfnissen der Kunden entsprechen“, warnt Thomas Kuhr vom Versicherungsmakler Bernhard Assekuranz. Daher rät er, auf Basis einer individuellen Risikoanalyse einen Anbieter auszuwählen. So muss für jedes Unternehmen geprüft werden, welche Cyberleistungen es wirklich braucht. Das gilt beispielsweise für die Höhe des Ertragsausfallschutzes oder die Notwendigkeit eines Lösegeldschutzes. Praktisch ist, dass sich die Cyber-Versicherungen in der Regel aus Bausteinen zusammensetzen: Auf Basis einer individuellen Beratung lässt sich die Police dadurch so gestalten, dass die betrieblichen Anforderungen bedarfsgerecht abgedeckt werden können.
