Cyberkriminalität ist die neue Bedrohung. Gefährlicher als Fachkräftemangel und stockende Lieferketten. Für den umsichtigen und erfahrenen Maschinen- und Anlagenbauer liegt da ein Gedanke auf der Hand: “Gegen Bedrohungen kann man sich absichern – also schließe ich gegen Cybervorfälle eine Cyber-Versicherung für Unternehmen ab.”
Und es sprechen in der Tat gute Gründe für eine Cyber-Versicherung:
- Abfederung finanzieller Risiken
- Zugang zu Experten (professionelle Analyse des Vorfalls durch Forensiker)
- Unterstützung bei der Wiederherstellung der Systeme
Doch wir wollen Ihnen hier keine Cyber-Versicherung verkaufen. Vielmehr geht es uns um die Frage: Was kann eine Cyber-Versicherung? Und was kann sie nicht?
Unser Ziel als IT-Experten ist es, Sie dabei zu unterstützen, eine informierte Entscheidung zu treffen und sich bestmöglich gegen Cyberrisiken abzusichern. Daher werden wir all die Aspekte beleuchten, die bei einem Gespräch mit dem Versicherungsmakler aus Zeitgründen oft im Hintergrund bleiben müssen. Denn das Thema ist komplex und die Formel “Cyber-Versicherung hilft gegen Cyberangriffe” viel zu kurz gedacht.
Die Kernbotschaft, wollen wir Ihnen gleich zu Beginn mit auf den Weg geben:
Der bloße Abschluss einer Cyber-Versicherung reicht nicht aus, um Ihre IT-Sicherheit zu gewährleisten.
Zusammenfassung für den Schnell-Leser
Sie müssen sich bewusst sein, dass eine Cyber-Versicherung keinen Ersatz für eine umfassende und durchdachte IT-Sicherheitsstrategie darstellt. Eine solche Versicherung ist nicht in der Lage, Cyber-Angriffe zu minimieren.
Die wichtigste grundlegende Maßnahme ist und bleibt die Investition in technische und organisatorische Maßnahmen gegen Cyberkriminalität, sprich, ein durchdachtes IT-Sicherheitskonzept inklusive Backup-Strategie und Notfallplan.
Primärziel Risikovermeidung
Was für Kfz-Versicherungen gilt, gilt im Grunde genommen auch für Cyber-Versicherungen in der Industrie. So, wie man nicht jedes Auto mit maximalem Schutz versichert, sollte auch hinsichtlich der Cyber-Risiken nicht pauschal “alles” versichert werden, denn schnell kippt die Kosten-Nutzen-Rechnung ins Negative.
Jedes Unternehmen ist dem allgemeinen Risiko von Cyber-Angriffen ausgesetzt. Jedoch sind Maschinen- und Anlagenbauer aufgrund ihrer hohen Innovationskraft ein besonders attraktives Ziel. Zudem sind sie aufgrund der Exportorientierung stark mit den Geschäftspartnern vernetzt und gehen mit hochwertigen Daten um.
Zunächst sollten Sie sich ins Bewusstsein rufen, dass eine Versicherung in der Regel abgeschlossen wird, um Restrisiken abzudecken, die sonst schwer zu finanzieren wären. Ihnen als erfahrenem Unternehmer stellt sich da sogleich die Frage: Bin ich umfassend im Bilde, welche Restrisiken in meinem Unternehmen bestehen? Kenne ich die besonders vulnerablen Bereiche, wurden die Schwachstellen analysiert?
Das Stichwort “Restrisiko” führt also zwingend zur Erkenntnis, dass vor dem Abschluss einer Cyber-Versicherung eine Risikoanalyse stehen sollte.
Durch diese Risikoanalyse ist es nun möglich, ein durchdachtes IT-Sicherheitskonzept zu entwickeln und eine erste Absenkung des Risikoniveaus zu erreichen. Die eigentliche Risikominderung erfolgt jedoch erst durch die Umsetzung und das Zusammenwirken von technischen und organisatorischen Maßnahmen, die sich aus den Zielen des IT-Sicherheitskonzeptes ableiten.
Dennoch bleibt ein erhebliches Risiko bestehen, wenn ein durchdachter Notfallplan fehlt.
Das heißt also:
Erst wenn diese drei Bausteine der IT-Sicherheit abgearbeitet sind – Risikoanalyse, IT-Sicherheitskonzept und Notfallplan – kann das Restrisiko auf eine Cyber-Versicherung übertragen werden.
Pros & cons einer Cyber-Versicherung
Cyberangriffe führen zu Ausfallzeiten, Datenverlust, finanziellen Verlusten, Produktionsstopps, machen erpressbar und erschüttern das Vertrauen der Kunden bis hin zum Kundenverlust. Um diese Risiken zu minimieren, setzen viele Maschinen- und Anlagenbauer auf eine Cyber-Versicherung.
Vernachlässigt aber eine Sondermaschinenbauer seine IT-Sicherheit – sei es aus Fachkräftemangel, sei es, um notwendige Investitionen zu umgehen –, kann dies langfristig zu finanziellen Verlusten führen, die auch eine Cyber-Versicherung nicht mehr abdecken kann. Wenn Kunden aufgrund von Sicherheitslücken oder Datenverlusten das Vertrauen in ihren Partner verlieren, droht darüber hinaus ein Reputationsschaden, der dem Unternehmen über Jahre anhängen wird.
Eine Cyber-Versicherung kann tatsächlich zur Risikominderung beitragen, jedoch bietet die Versicherung selbst keinen Schutz vor Cyber-Angriffen. Auch mit einer Cyber-Versicherung können Maschinen- und Anlagenbauer das Opfer von Cyberkriminellen werden!
Und obwohl Cyber-Versicherungen teilweise sehr umfangreiche Maßnahmenpakete anbieten, verbleiben immer gewisse Restrisiken und Restkosten. Eine Cyber-Versicherung schützt Unternehmen beispielsweise nicht vor Reputationsschäden oder Vertragsstrafen, die sich aus der Verletzung von Datenschutzgesetzen oder anderen Vereinbarungen ergeben können. Auch die Übernahme einer Lösegeldzahlung kann zwar im Leistungsumfang enthalten sein, jedoch ist die Höhe der Summe in der Regel begrenzt.
Zu beachten ist zudem, dass ein Unternehmen der Versicherungsgesellschaft ein bestimmtes IT-Sicherheitsniveau nachweisen muss, bevor diese der Cyber-Versicherung zustimmt. Diese sogenannte Schadensminderungspflicht bedeutet, dass in jedem Fall ein Mindestmaß an IT-Sicherheit in Ihrem Unternehmen vorhanden sein muss.
Eine Cyber-Versicherung erspart also nicht die Investition in technische und organisatorische Maßnahmen gegen Cyberkriminalität.
Welche Voraussetzungen müssen für den Abschluss einer Cyber-Versicherung erfüllt sein?
Das primäre Ziel einer Cyber-Versicherung ist, die Kunden mit möglichst wenig Aufwand bei der Vorbeugung vor Cyberattacken zu unterstützen und Schäden zu verhindern. Für eine Beitragsermittlung sind deshalb – neben der Auskunft zu Jahresumsatz und Mitarbeiterzahl – je nach Versicherungsgesellschaft unterschiedlich umfangreiche IT-Sicherheitsfragen zu beantworten.
Nachfolgend einige gängige IT-Sicherheitsfragen, deren Beantwortung für den Abschluss einer Cyber-Versicherung erforderlich ist:
- Gibt es einen IT-Sicherheitsbeauftragten?
(Dessen Aufgabe ist die Überwachung Ihrer IT-Sicherheit.) - Welche IT-Sicherheitsmaßnahmen wurden bereits umgesetzt?
- Firewall
- Antiviren-Programme
- Technische und Organisatorische Maßnahmen
- Gibt es einen Notfallplan / Wiederherstellungsplan
- Wurden diese bereits erfolgreich getestet?
- Wurden diese bereits erfolgreich getestet?
- IT-Sicherheitsüberprüfungen / Einschätzung der Risikosituation
- Externe Prüfung nach TISAX, durch den TÜV oder nach ISA+
- Externe Prüfung nach TISAX, durch den TÜV oder nach ISA+
- Sensibilisierung Ihrer Mitarbeiter
- Finden regelmäßig Schulungen zu IT-Sicherheit und Datenschutz statt?
- Datensicherungskonzept
- Häufigkeit
- Aufbewahrungsdauer
- Verwahrungsort
- Wiederherstellung
- Mehr zur Thema
- Richtlinien
- Berechtigungskonzept
- Passwortrichtlinie
- Patchmanagement
- Werden vom Hersteller noch Patches angeboten?
- Werden Patches unmittelbar eingespielt?
- Gab es in letzter Zeit IT-Sicherheits- oder Datenschutzvorfälle?
Wie lassen sich die Kosten für Cyber-Versicherungen senken?
Beitragshöhe einer Cyber-Versicherung hängt von verschiedenen Faktoren ab, wie der Art und Größe des Unternehmens, dem Umfang der abgedeckten Risiken, der Schadenhistorie, dem eingesetzten Sicherheitsniveau und den individuellen Bedürfnissen des Unternehmens.
Es gibt jedoch einige Möglichkeiten, die Versicherungsbeiträge für eine Cyber-Versicherung zu senken:
- Hohes IT-Sicherheitsniveau
Ein Maschinen- und Anlagenbauer, das eine starke IT-Sicherheit aufweist, wird als weniger riskant eingestuft und kann daher niedrigere Prämien aushandeln. - Längere Vertragslaufzeit
- Leistungsumfang überprüfen (Basic oder Premium)
Eine Cyber-Versicherung kann auf spezifische Risiken zugeschnitten werden, um unnötige Abdeckungsbereiche zu vermeiden und damit die Kosten zu senken. - Höhe der Selbstbeteiligung
Der wirkungsvollste Hebel ist die Höhe des Selbstbehalts. Wenn ein Unternehmen bereit ist, einen höheren Selbstbehalt zu übernehmen, wird dies dazu beitragen, die monatlichen Beiträge zu senken. - Jährlichen IT-Sicherheitscheck veranlassen
Viele Versicherer honorieren die Durchführung eines jährlichen IT-Sicherheitschecks, da
eine regelmäßige Überprüfung der technischen und organisatorischen Sicherheitsmaßnahmen dazu beiträgt, Cyberrisiken zu minimieren. Realisiert wird das mithilfe eines Netzwerkscans, der Aufschluss über potenzielle Sicherheitslücken gibt.
Fazit
Die zunehmende Digitalisierung und der rege digitale Datenaustausch erhöhen die Bedrohung durch Cyber-Angriffe. Jedoch ist es eher eine Wunschvorstellung der Versicherer, dass jedes Unternehmen als Konsequenz eine Cyber-Versicherung abschließt.
Entscheidet sich ein Unternehmen, eine Cyber-Versicherung abzuschließen, muss es dem Versicherer in der Regel zahlreiche Fragen zur IT-Sicherheit beantworten. Diese Praxis wird aufgrund der zahlreichen Cybervorfälle in Zukunft weiter zunehmen. Darüber hinaus verpflichtet sich der Versicherungsnehmer, die gesetzlichen Maßnahmen zur IT-Sicherheit und zum Datenschutz einzuhalten.
Eine Cyber-Versicherung mindert die Folgen einer Cyberattacke, jedoch schützt sie nicht vor einem Angriff und sie kann auch nicht alle Schäden vollständig abdecken. Je abhängiger Ihr Unternehmen von digitalen Prozessen ist, desto wichtiger ist daher eine durchdachte IT-Sicherheitsstrategie. In dieser kann eine Cyber-Versicherung ein sinnvoller Baustein sein.
