Der Albtraum eines jeden Unternehmers zu Beginn des Arbeitstages: Nichts geht mehr! Die Computer der Mitarbeiter lassen sich zwar hochfahren, aber statt des gewohnten Desktops sind nur kryptische Zeichen zu sehen. Kein Programm lässt sich starten, keine Mails lesen oder schreiben, keine Aufträge verwalten, keine Videocalls durchführen, keine Produktionsmaschinen steuern … Nur bei der Geschäftsführung ist eine E-Mail zu lesen: eine Lösegeldforderung im zweistelligen Millionenbereich für einen Code, der die Systeme wieder zugänglich machen soll. Das alles passiert unter den Augen der Kunden, der Lieferanten, der Mitarbeiter und im schlimmsten Fall auch der Presse.
Die Cyber-Angriffe kommen
Deutsche Unternehmen stehen nach wie vor im Fokus von Cyber-Kriminellen. Aktuelle Beispiele wie die Attacken auf ein Unternehmen aus dem Lebensmittel-Einzelhandel, einen bekannten E-Commerce Shop und das Online-Banking einer Bankengruppe zeigen, dass nicht nur Unternehmen, sondern zunehmend auch die Endverbraucher und Kunden als Folge betroffen sind. Cyber-Angriffe auf die deutsche Wirtschaft werden immer spezialisierter und für die betroffenen Firmen in den meisten Fällen teurer. Der Schadensaufwand weist teilweise extrem hohe Summen auf, gesamtwirtschaftlich ebenso wie für die betroffenen Unternehmen.
Dies geht z.B. auch aus dem aktuellen Hiscox Cyber-Readiness Report sowie den Schadensstatistiken von Allianz und Chubb hervor. Es lässt sich beobachten, wie eine Professionalisierung bei den Cyber-Kriminellen einsetzt, und lukrative Ziele in vielfältigen Branchen attackiert werden. Von Behörden, Hochschulen, Kliniken und Arztpraxen über Dax-Unternehmen und Konzerne bis hin zum Einzelhandel und Mittelstand – jede Institution kann und wird von Cyber-Kriminellen ins Visier genommen.
Insbesondere für kleine Unternehmen ist das Risiko groß, denn schnell kann ein Cyber-Angriff die wirtschaftliche Existenz gefährden. Häufig fehlt gerade bei KMUs das Risikobewusstsein für die abstrakte Gefahrenlage. Meist werden erst nach einem Angriff im engeren Umfeld Absicherungen in Betracht gezogen.
Die Prämien steigen
Der Schadenaufwand der Cyber-Versicherer hat im Jahr 2020 ein Niveau erreicht, das kaum noch durch die eingenommenen Versicherungsprämien zu finanzieren ist. Seit 2018 sind Schadenhäufigkeit und -höhe bei Cyber-Attacken um bis zu 300 Prozent gestiegen.
Größere Sicherheitslücken der vergangenen Monate und ihre Auswirkungen – wie beispielsweise bei den Microsoft Exchange-Servern aus März und April 2021 – sind dabei darin noch gar nicht berücksichtigt. Die Folge: Prämien für Cyber-Versicherungen erhöhen sich stark. Ein Versicherer sieht sich beispielsweise gezwungen, seinen Bestandskunden Prämienaufschläge von über 50 Prozent aufzuerlegen. Gleichzeitig steigt die Nachfrage, denn das Thema wird immer präsenter.
Die Chance in der Krise
Wie sollten Versicherungsmakler in der aktuellen Situation vorgehen, um als Sachwalter des Vermögens ihrer Kunden richtig zu agieren? Wie lassen sich Kunden überzeugen? Hier empfiehlt es sich, sich auf fünf Kernpunkte zu konzentrieren:
Punkt 1: Die Wirklichkeit spiegeln
Ausmaß und Häufigkeit von Cyber-Attacken sowie das eigene Risiko werden durchweg unterschätzt. Dabei sind Cyber-Risiken für jedes Unternehmen tatsächlich vorhanden. Aktuelle Beispiele von Cyber-Schäden aus den Medien oder die Berichte der Versicherer können im Beratungsgespräch verdeutlichen, wie real die Gefahr ist.
Punkt 2: Offen und sachlich beraten
Den Kunden sollte die Möglichkeit des Risikotransfers als eine weitere und ergänzende Maßnahme zu bestehenden IT-Sicherheitsstrukturen vorgestellt werden. Klartext ist dabei wichtig: Eine Cyber-Versicherung kann den Kunden nicht vor einem Hackerangriff schützen. Sie schützt aber sehr wohl vor den zumeist gravierenden finanziellen Folgen, die sich zwangsläufig aus Cyber-Attacken ergeben, beispielsweise welche Leistungen die Versicherung übernimmt, wenn der Betrieb aufgrund eines Hackerangriffs mehrere Wochen stillsteht.
Das Szenario einer schwerwiegenden Cyber-Attacke und Erklärungen, wann dabei die Versicherung das Unternehmen bei der Bewältigung des Schadensfalls entlastet, machen die Notwendigkeit der Cyber-Versicherung klar.
Punkt 3: Zahlen auf den Tisch legen
Wie sähe die Situation bei einem Cyber-Angriff ohne Cyber-Versicherung aus? Finanzielle Worst-Case-Szenarien zeigen die unmittelbaren Konsequenzen eines Cyber-Angriffs: ca. 18.000 Euro/Arbeitswoche für IT-Forensik (beispielsweise um die Ursachen des Hackerangriffs festzustellen, Schadsoftware zu entfernen und verschlüsselte Datensätze wiederherzustellen) ca. 10.000 Euro/Arbeitswoche zur Wiederherstellung der IT-Systeme durch externen IT-Support rund 400 Euro/h Rechtsanwaltskosten (z.B. im Zusammenhang mit Datenschutzverletzungen) rund 2,50 Euro/Datensatz für zeitnahe Benachrichtigung der Kunden (entspricht 50.000 Euro bei 20.000 Kundendatensätzen) entgangener Gewinn/Deckungsbeitrag bei Ausfall des Online-Shops, der Kassensysteme oder des Enterprise Ressource Planning Systems (ERP) pro Woche dazu kommen eventuelle Schadensersatzkosten durch Haftpflichtansprüche von Kunden, deren Persönlichkeitsrechte verletzt wurden.
Punkt 4: Verantwortung aufzeigen
Im Fall der Fälle sind durch die Cyber-Versicherung die notwendigen Aktionen und Folgen eines Cyber-Angriffs finanziell abgedeckt. Zudem bieten professionelle Dienstleister im Wege der Assistance Leistungen, die ein Unternehmen nicht selbst stemmen kann, wie z.B. Incident Response und IT-Forensik. Unglücklicherweise hat es im deutschsprachigen Raum infolge von Cyber-Angriffen bereits Insolvenzen gegeben. Schuldhaftes Unterlassen in Zusammenhang mit IT-Sicherheitsstrukturen, Risikomanagement, Notfallplänen und Prävention kann auch zu einem Haftungsrisiko für die Organe der Gesellschaft werden.
Punkt 5: Auf Gefahren sensibilisieren
Die Bedrohung einer Cyber-Attacke ist vorhanden, die Verantwortlichen müssen hierfür sensibilisiert werden. Auch ordnungsgemäß geführte Unternehmen mit etablierten Sicherheitsstrukturen sind den Risiken ausgesetzt. Die Microsoft Exchange Sicherheitslücke und über 9.000 vom BSI bestätigte Server-Kompromittierungen haben dies im März und April 2021 eindrucksvoll bewiesen. Das „ob” ist also gar nicht mehr die Frage, sondern das „wann” – und wie das Unternehmen darauf vorbereitet ist. Es ist die Chance und gleichzeitig auch die Pflicht der Makler, Firmenkunden auf die Absicherung dieser Risiken anzusprechen.
Auch bei steigenden Prämien lohnt sich eine Cyber-Versicherung
Denn auch bei steigenden Prämien lohnt sich die Cyber-Versicherung. Die Investition bietet einen ganzheitlichen Lösungsansatz zur Absicherung digitaler Risiken. Dazu gehören beispielsweise die Übernahme der entstehenden Kosten etwa für Experten in den Bereichen IT-Forensik, Rechtsberatung und sogar der Öffentlichkeitsarbeit. Eine 24h-Hotline mit IT-Spezialisten, um Sachlagen zu analysieren und direkte Gegenmaßnahmen einzuleiten, ist ebenfalls inkludiert. Auch die Übernahme von Benachrichtigungskosten, Vertragsstrafen und Aufwendungen zur Abwehr von Bußgeldverfahren sind Bestandteile einer leistungsstarken Cyber-Versicherung.
Autor Hanno Pingsmann ist Geschäftsführer von CyberDirekt mit Sitz
in Berlin. Der Cyberexperte hat das Unternehmen im Mai 2017 als erste digitale Beratungsplattform für den Abschluss von Cyber-Versicherungen für Makler gegründet.