Cyberversicherung für Unternehmen: Sinnvoll oder unnötige Kosten?
04.02.2022 | T. Reddel – Online-Redaktion, Forum Verlag Herkert GmbH
Jeder Geschäftsführer hat im Rahmen seiner Sorgfaltspflicht für die IT-Sicherheit des Unternehmens zu sorgen. Gleichzeitig steigt die Anzahl jährlich gemeldeter Fälle von Cyberkriminalität. Homeoffice und der digitale Wandel erhöhen solche Risiken noch weiter. Um sich gegen finanzielle und andere Schäden abzusichern, können Betriebe auf eine Cyberversicherung zurückgreifen. Doch welcher Schadensfall ist damit versichert und lohnt sich die zusätzliche Investition?
Inhaltsverzeichnis
- Was ist eine Cyberschutzversicherung?
1.1 Was versichert eine Cyberversicherung?
1.2 Wer braucht eine solche Versicherung?
1.3 Warum ist eine Cyberversicherung wichtig? - Welche Voraussetzungen müssen Unternehmen erfüllen?
- Fazit: Ist eine Cyberversicherung für Unternehmen sinnvoll?
Was ist eine Cyberschutzversicherung?
Eine IT-Cyber-Versicherung oder Cyberversicherung soll Unternehmen vor finanziellen Schäden bewahren, die durch Hacking, Ransomware oder andere digitale Bedrohungen entstehen. Hier erhält der Betrieb, wie bei anderen Versicherungen auch, eine bestimmte Geldsumme, um die entstandenen Schäden auszugleichen. Allerdings müssen meist bestimmte Anforderungen erfüllt sein, damit Firmen eine solche Versicherung abschließen können. Außerdem können sich die Kosten sowie Versicherungsobjekte von Anbieter zu Anbieter unterscheiden.
Was versichert eine Cyberversicherung?
Grundsätzlich versichern Cyberversicherungen Schäden durch unterschiedliche Arten von Cyberkriminalität. Eine Übersicht über mögliche Versicherungsgegenstände zeigen die „Allgemeinen Versicherungsbedingungen für die Cyberrisiko-Versicherung“. Sie wurden vom Gesamtverband der Deutschen Versicherungswirtschaft (GDV) veröffentlicht.
Solche Risiken, die durch Cyberangriffe entstehen können und sich versichern lassen, sind v. a.:
- Umsatzeinbußen
- Entgangene Gewinne
- Geschädigte Reputation des Unternehmens
- Kosten für Lieferausfälle, Datenverlust oder verletzte Vertraulichkeitspflichten
- Honorare für Rechtsanwälte
- Wiederherstellung von Daten und Betriebssystemen
- Bußgelder gem. DSGVO oder IT-Sicherheitsgesetz 2.0
Allerdings können sich die konkreten Leistungen je nach Anbieter voneinander unterscheiden. Variationen gibt es insbesondere in folgenden Punkten:
- Grundlegender Aufbau und Systematik
- Definition des Versicherungsfalls
- Beschreibung des versicherten Risikos
- Umfang des gewährleisteten Versicherungsschutzes
Daher sollten Geschäftsführer vor Abschluss einer Cyberversicherung genau prüfen, welche Leistungen unter die Versicherung fallen und welche Aspekte für ihren Betrieb wichtig sind.
Wer braucht eine solche Versicherung?
Grundsätzlich ist die Versicherung für jeden Arbeitgeber sinnvoll, der sich zusätzlich gegen Cyber-Diebstahl, Hacker-Angriffe oder andere Cyber-Risiken absichern möchte. Gleichzeitig muss jeder Arbeitgeber im Rahmen seiner Sorgfaltspflicht für die IT-Sicherheit des Unternehmens sorgen. Rechtlichte Grundlage sind §§ 91 Abs. 2, 93, 116 Aktiengesetz und § 43 Abs. 2 GmbHG. Dabei muss der Betrieb nicht nur grundlegende datenschutzrechtliche Pflichten erfüllen, sondern auch spezielle gesetzliche Vorgaben einhalten. Hierzu gehören etwa das Gesetz zum Schutz vor Geschäftsgeheimnissen (GeschGehG) oder das IT-SiG 2.0.
Wie Geschäftsführer ihre Sicherheitsmaßnahmen in die Tat umsetzen, ist nicht strikt vorgegeben. Vielmehr haben Betriebe hier die Freiheit, selbst zu entscheiden, welche Maßnahmen für ihre Firma geeignet sind. Eine mögliche Maßnahme, um sich im Schadensfall abzusichern, bildet das Abschließen einer Cyberversicherung.
Für diese Entscheidung sollte jedes Unternehmen zunächst prüfen, wie verhältnismäßig die Kosten für eine Versicherung sind verglichen mit dem betrieblichen Risiko für Cyber-Kriminalität. Mögliche Faktoren für das Abschließen der Versicherung sind:
- Wahrscheinlichkeit, dass ein Schaden durch Cyber-Angriffe entsteht.
- Höhe des zu erwartenden Schadens
- Größe des Unternehmens
- Geschäftsfeld/Gewerbe
- Interne Organisationsstruktur
Warum ist eine Cyberversicherung wichtig?
Eine Cyber-Versicherung ist wichtig, da sie Firmen vor Schäden durch Cyber-Attacken schützen kann. Mit dieser zusätzlichen Absicherung erhalten Geschäftsführer im Ernstfall finanzielle Unterstützung oder andere Hilfsangebote.
Gleichzeitig entwickeln sich Cyber-Angriffe zu immer größeren Bedrohungen. So zeigt eine Bitkom-Studie aus dem Jahr 2020, dass mindestens 75 % der befragten Unternehmen in den letzten zwei Jahren Opfer von Cyber-Kriminalität wurden. Das Risiko hierfür kann auch in Zukunft noch weiter steigen, insbesondere durch die fortschreitende Digitalisierung in allen Branchen. Zudem sorgt die Corona-Pandemie dafür, dass die Beschäftigten verstärkt im Homeoffice über digitale IT-Systeme arbeiten und damit ein Risiko für Cyber-Kriminalität darstellen. Eine eigene Cyber-Versicherung schafft hier Sicherheit.
Allerdings lassen sich Cyber-Risiken wie Fishing-Mails, Trojaner und Co. meist nur schwer kalkulieren, weshalb sich Firmen dagegen nie vollständig versichern können. Daher sind vorkehrende Maßnahmen entscheidend, damit es erst gar nicht zu einem Schaden kommt. Das erkannten auch die Versicherungsanbieter: Viele Cyberversicherungen definieren bestimmte Voraussetzungen, die ein Unternehmen aufweisen muss, um eine Versicherung bei ihnen abschließen zu dürfen.
Vor Vertragsabschluss prüfen viele Versicherungen, wie hoch das Risiko ist, dass ihr künftiger Klient Opfer digitaler Angriffe wird. |
Welche Voraussetzungen müssen Unternehmen erfüllen?
Um eine Cyber-Versicherung abschließen zu können, sollte jeder Betrieb ein eigenes IT-Sicherheitskonzept entwickeln. Je höher die bereits getroffenen Maßnahmen, desto attraktiver wird er für die Versicherungen und desto leichter erhält er ggf. ein entsprechendes Angebot.
Hierzu sollten Arbeitgeber den internen Sicherheitsstandard so optimieren, dass sie möglichst wenig anfällig für Hackerangriffe oder andere Straftaten werden. So ist es z. B. sinnvoll ein Risikomanagementsystem zu erstellen. Damit kommen Geschäftsführer ihrer Sorgfaltspflicht nach, ein entsprechendes Überwachungssystem aufzubauen.
Risikomanagementsystem für den betrieblichen Datenschutz
Mit einem Risikomanagementsystem prüft und sichert ein Unternehmen seine eigenen Haftungsbereiche. Für diese Absicherung ist es sinnvoll, fixe Aufgaben zu definieren. Ein mögliches Konzept zur Risikoanalyse könnte wie folgt aussehen:
Bereich | Ziel | Maßnahmen |
1. Strategische Aufgaben | Bedarfsgerechte und rechtskonforme IT-Nutzung im Betrieb einführen. |
|
2. Konzeptionelle Aufgaben | Sicherheits- und Datenschutzkonzept erstellen. |
|
3. Operative Aufgaben | Konkrete Aufgaben systematisch umsetzen. |
|
Auch personelle Maßnahmen sind für die betriebsinterne IT-Sicherheit entscheidend.
Eigene Mitarbeiter sensibilisieren
Arbeitgeber sollten die Kompetenzen sowie das Verhalten der Beschäftigten mit einbeziehen, da sie einen erheblichen Teil zur Cyber-Sicherheit beitragen können. Das Marktforschungsunternehmen Vanson Bourne zeigte bereits im Jahr 2017 in einer Studie zur Cyber-Security, dass die eigenen Mitarbeiter eines der größten Sicherheitsrisiken darstellen. Um dem entegegen zu wirken, ist etwa das Einrichten eines Hinweisgebersystems gem. Whistleblower-Richtlinie sinnvoll. In jedem Fall müssen die Maßnahmen verhältnismäßig sein.
Aber auch das regelmäßige Aufklären der Mitarbeiter ist ein wichtiges Element im Kampf gegen Cyber-Angriffe. So stellen Unternehmen sicher, dass alle Angestellten über das gleiche und aktuelle Wissen verfügen. Doch woher die Unterlagen für solche Unterweisungen nehmen? Eine passende Zusammenfassung der wichtigsten Punkte bietet das „Mitarbeiter-Merkblatt Datenschutz und IT-Sicherheit“. Damit informieren Arbeitgeber ihre Beschäftigten schnell und unkompliziert über die Verpflichtungen zum Datenschutz am Arbeitsplatz und im Homeoffice. Zusätzlich enthält die „Dokumentenmappe: Datenschutz im Unternehmen“ einsatzfertige Vorlagen und hilfreiche Tipps zur Datenschutzorganisation und Dokumentation.
Sobald das Risikomanagement eingearbeitet ist und alle Mitarbeiter entsprechend geschult wurden, lassen sich weiterhin riskante Bereiche gezielt durch eine passende Cyber-Versicherung schützen.
Fazit: Ist eine Cyberversicherung für Unternehmen sinnvoll?
Zwar ist es nicht möglich, sich als Unternehmen vollständig gegen Cyberangriffe abzusichern. Dennoch kann eine entsprechende Versicherung im Schadensfall vor finanziellen Konsequenzen schützen und damit zumindest teilweise die Geschäftsfähigkeit des Betriebs aufrechterhalten.
Überlegen Geschäftsführer eine Cyber-Versicherung abzuschließen, kann folgende Checkliste bei der Vorbereitung helfen.
Checkliste: Braucht mein Betrieb eine IT-Cyber-Versicherung? | |
✓ | Wie hoch ist das Risiko, dass das Unternehmen durch Cyber-Angriffe geschädigt wird? |
✓ | Gibt es bereits ausreichende Sicherheitsmaßnahmen, um die interne Cyber-Sicherheit zu maximieren? |
✓ | Wie hoch ist der zu erwartende Schaden durch einen Angriff? |
✓ | Wie groß ist die Firma? |
✓ | Welches Geschäftsfeld weißt der Betrieb auf bzw. in welchem Gewerbe ist er tätig? |
✓ | Wie ist die interne Organisationsstruktur aufgebaut? |
Kommt bei der Prüfung heraus, dass weiterhin der Wunsch nach einer zusätzlichen Absicherung besteht, sollte die Firma verschiedene Angebote einholen und gegeneinander abwägen. Für eine bessere Vergleichbarkeit sollten die Angebote auf folgende Fragen geprüft werden:
Checkliste: Wie finde ich die passende Cyberversicherung für mein Unternehmen? | |
✓ | Welche Schadensszenarien sind versichert? |
✓ | Lassen sich Vermögenschäden versichern, die gem. DSGVO verhängt wurden? |
✓ | Umfasst die Versicherung auch Spätschäden? |
✓ | Nennt der Anbieter konkrete Regelbeispiele für den Leistungsumfang? |
✓ | Gibt es bestimmte Risikoausschüsse oder andere Einschränkungen? |
✓ | Müssen weitere Voraussetzungen erfüllt werden, um die Versicherung abschließen zu können? |
Achtung: Eine Versicherung alleine schützt nicht vor Cyber-Attacken oder anderen Straftaten. Sie können lediglich im Schadensfall eine nachträgliche (finanzielle) Erleichterung verschaffen. Dennoch entstehen ggf. weitere Kosten für den Arbeitgeber.
Deshalb müssen Firmen weitere Maßnahmen bestimmen, um den Datenschutz und die Cyber-Sicherheit innerhalb ihrer Organisation aufrecht zu erhalten. So sollten sie z. B. ein eigenes IT-Sicherheitskonzept sowie ein Risikomanagementsystem einrichten. Außerdem sollten die eigenen Mitarbeiter regelmäßig über aktuelle Vorgaben informiert werden. Unterstützung erhalten Arbeitgeber mit dem „Mitarbeiter-Merkblatt Datenschutz und IT-Sicherheit“ sowie der „Dokumentenmappe: Datenschutz im Unternehmen“.
Quelle: „Infodienst: Datenschutz für Praktiker“: Ausgabe 08/2021