Nur eine Sekunde reicht schon aus. Der sorglose Klick eines Mitarbeiters auf einen Link in einer E-Mail führt dazu, dass sich ein Computervirus in der IT inklusive der Fertigungssteuerung eines mittelständischen Betriebs einnistet. Nicht nur Daten, sondern auch Produktionsparameter gehen verloren, die Fertigung kommt umgehend zum Stillstand. Mit großem Aufwand lässt sich zwar das Virus entfernen und die Daten größtenteils wiederherstellen. Doch der achttägige Betriebsausfall hat zu fünfstelligen Schadenersatzansprüchen geführt, da Abnehmer nicht vertragsgemäß beliefert werden konnten.
Das Beispiel ist kein Einzelfall. Laut GDV-Dossier „Cybersicherheit“ erfolgen zwei Drittel der erfolgreichen Cyberangriffe auf kleine und mittlere Unternehmen (KMU) über bösartige Codes, die sich im E-Mail-Anhang oder hinter Links verstecken. Jeder dritte Cyberangriff ist zudem ein gezielter Hackerangriff auf die digitale Infrastruktur von Unternehmen. Und jeder 20. Angriff eine sogenannte DDoS-Attacke (Distributed Denial of Service), bei denen die Angreifer IT-Systeme ihrer Opfer gezielt überlasten.
Vertrieb von Cyberschutzpolicen kein Selbstläufer
Über Cyberkriminalität wird zwar häufig in den Medien berichtet und die Relevanz der Absicherung ist unbestritten, dennoch ist der Vertrieb von Cyberschutzpolicen kein Selbstläufer, weil viele Firmenkunden das Risiko gern verdrängen. „Leider führt oft erst der Bericht von unmittelbaren Schadensfällen zum Beispiel aus der gleichen Branche, Region, bei eigenen Zulieferern oder Kunden zur wichtigen Erkenntnis: Es kann jeden treffen, auch wenn ich mich selbst gut schütze“, sagt Ole Sieverding, Geschäftsführer der CyberDirekt GmbH, die eine auf Cyberschutz spezialisierte Vertriebsplattform anbietet.
„Das Thema ist für viele Vermittler noch relativ neu und es fehlt möglicherweise an Erfahrung in der Beratung und Risikoanalyse, was die konkrete Ansprache von KMU zu diesem Thema und den Inhalten der Versicherungspolice erschweren kann“, betont Florian Salm, Senior Underwriter Cyber der Gothaer Versicherung. Daher bieten viele Versicherer entsprechend umfassende Unterstützung für Vermittelnde bei der Analyse von Cyberrisiken für Firmenkunden.
Das Marktsegment Cyber ist mit rund zehn Jahren Erfahrung recht jung. Laut GDV bieten rund 40 Versicherer Cyberpolicen an, mit teils noch sehr unterschiedlichen Standards, Leistungskriterien und Risikofragen. Und einem steigenden Preisniveau. „In den letzten Jahren waren vielerorts Prämienerhöhungen und verschärfte Risikoprüfungen zu verzeichnen, was aufgrund des von 2018 bis 2022 um 700 Prozent erhöhten Durchschnittschadens verständlich und notwendig ist“, sagt Sören Brokamp, Leiter Produktmanagement Cyber der HDI Versicherung. Insbesondere Betriebe mit vielen personenbezogenen Daten und Produktionsunternehmen, die stark von einer Automatisierung abhängig sind, müssten mit einem aufwändigeren Antragsprozess in der Cyberversicherung rechnen.
„Vermittelnde müssen daher noch tiefer in die fachliche Thematik einsteigen“, so Brokamp.
Überzeugende und verständliche Beratung ist auf jeden Fall notwendig, denn laut einer aktuellen HDI-Studie sind KMU preissensibler geworden: 43 Prozent gaben an, keine Cyberversicherung zu besitzen, weil sie ihnen zu teuer sei. Ein Jahr zuvor war dieser Wert mit 22 Prozent lediglich halb so groß. Zudem glauben 54 Prozent, dass das Risiko einer Attacke für Ihr Unternehmen zu gering sei. Eine gefährliche Fehlannahme, denn die Studie belegt, dass eine Verlagerung von Schäden auf Unternehmen mit weniger als 50 Mitarbeitenden stattfindet. Der Durchschnittschaden lag dabei bei 67.000 Euro, was für viele KMU existenzbedrohend sein kann.
Assistance-Leistungen besonders gefragt
Fakt ist: Das Potenzial ist groß, der Markt wächst und die Branche legt regelmäßig neue Cyberstudien auf, zum Beispiel zu konkreten Schäden von Cyberattacken oder zu den Kriterien der KMU-Firmenkunden bei der Produktauswahl. Eine aktuelle Studie der Gothaer zeigt etwa, dass für KMU die Assistance-Leistungen des Versicherers im Falle eines Cyberangriffs an erster Stelle stehen. Weitere Top-Kriterien sind die Beitragshöhe und eine 24-Stunden-Notfallhotline.
„Es ist hilfreich, dem Firmenkunden sehr praxisnah einen möglichen Versicherungsfall und die daraus folgenden Schritte und Notwendigkeiten darzustellen“, sagt Gothaer-Cyber-Experte Salm und fügt hinzu: „Natürlich sollte der Vermittler die Szenarien individuell auf seine Kunden abstimmen und die richtigen Schwerpunkte setzen.“
Assistance-Dienstleistungen im Rahmen einer Cyberpolice helfen beispielsweise bei notwendigen Bereichen wie Forensik, der behördlichen Meldung eines Datenschutzvorfalles oder der Kommunikation mit dem Täter CyberDirekt fokussiert in der Beratungssituation auf einen Dreiklang des Versicherungsvergleichs: „Vermittelnde sollten neben dem Preis vor allem die Risikofragen und die Unterschiede in den Leistungen hervorheben und intensiv mit den Unternehmen besprechen“, betont Geschäftsführer Sieverding. Denn genau wie in der Berufsunfähigkeitsversicherung können nicht wahrheitsgemäß beantwortete Risikofragen über eine große Sprengkraft verfügen. „Ein etwas teurerer Versicherer, der eine bestimmte Frage gar nicht stellt oder bei dem die Formulierung eines IT-Mindeststandards für das Unternehmen leichter zu beantworten ist, sollte beispielsweise immer den Vorzug bekommen“, rät Sieverding.
Die Bedeutung der Risikofragen unterstreicht auch Netfonds. „Nicht nur die Quantität der Fragen spielt eine Rolle. Sind sie konkret gestellt? Kann man diese nachvollziehen? Kann man diese positiv beantworten? Enthalten sie zum Beispiel eine doppelte Verneinung?“, nennt Oliver Kieper, Vorstand Versicherungen der Netfonds Gruppe, konkrete Kriterien. Denn Risikofragen werden in einem ständigen Prozess laufend angepasst, da sich auch die Angriffsvektoren im Bereich Cyber verändern können.
Klar ist: Die Branche prüft im Angebotsprozess mittlerweile strenger und erwartet von ihren Kunden gewisse Standards. Zum Beispiel die Erstellung eines Notfallplans oder die Umsetzung einer Passwort-Richtlinie. „Für Firmenkunden, die die technischen und organisatorischen Mindestvoraussetzungen der Versicherer nicht erfüllen, lässt sich schwerlich ein Angebot erstellen“, sagt Gothaer-Underwriter Salm und nennt als weitere Vorgaben zum Beispiel regelmäßige Back-Ups, Schutzmaßnahmen bei Fernzugriffen, Datenschutz und das Patch-Management (der Prozess der Verteilung und Durchführung von Updates für Software).
Damit einher gehen präventive Maßnahmen, die meist ebenfalls Bestandteil einer Cyberversicherung sind. Sie können die Schäden durch einen Cyberangriff komplett verhindern oder zumindest Schadenhöhe und Zeitspanne einer Betriebsunterbrechung geringer ausfallen lassen. „Nach den Ergebnissen der HDI-Cyberstudie sorgen Präventionsmaßnahmen für die Verringerung des finanziellen Schadens um durchschnittlich mehr als 25 Prozent“, betont HDI-Cyberexperte Brokamp. Auch er nennt als zentrale Maßnahmen zum Beispiel Patchmanagement-Prozesse und funktionierende Backups, aber auch Mitarbeiterschulungen. Der HDI-Cyberschutz bietet etwa über Kooperationspartner Perseus unter anderem Videoschulungen, Phishing-Kampagnen, Whitepaper aber auch die Erstellung von Notfallplänen kostenneutral für die Versicherungsnehmer an.
Mitarbeitende als „Human Firewall“
Insbesondere die Sensibilisierung der Mitarbeitenden als „Human Firewall“ stellt einen zentralen Stützpfeiler einer ganzheitlichen IT-Sicherheitsstrategie dar. Denn vor allem im Arbeitsumfeld lauern vielfältige Gefahren. „Dabei ist entscheidend, dass die Inhalte spielerisch aufgebaut und an echten Schadensfällen ausgerichtet sind und sich mit der aktuellen Bedrohungslage ständig weiterentwickeln“, betont CyberDirekt-Chef Sieverding. Gerade für KMU sei ein bereits inkludiertes Präventionspaket in der Cyberversicherung ein sehr kostengünstiger Weg, der eigenen Weiterbildungsverpflichtung nachzukommen und gleichzeitig die eigene Cyberresilienz zu steigern.
Denn Firmenkunden haben eine Mitwirkungspflicht, die sich in erster Linie aus gegebenenfalls im Vertrag vereinbarten Obliegenheiten vor Eintritt eines Versicherungsfalls ableitet. Daher sollte genau geprüft werden, ob diese auch fortlaufend eingehalten werden können. Sonst kann es zu negativen Überraschungen bei der Schadenregulierung kommen.
„Die Sensibilisierung von Mitarbeitenden ist zwar in den Obliegenheiten mancher Bedingungswerke angekommen, aber branchenweit eher noch dünn gesät“, nennt Netfonds-Vorstand Kieper ein Beispiel und betont, dass es auch auf die Art ankommt, wie eine Schulung durchgeführt wird. „Weniger zielführend ist die Schulung einer Gruppe für ein bis zwei Stunden, wo die Ablenkung groß oder die Konzentration klein sein kann. Aktuell den besten Lerneffekt hat eine Schulung pro Mitarbeitenden mit anschließendem Test“, weiß Kieper aus Praxissicht.
Trends 2023: Externe Scans und Kriegsausschlüsse
Der Maklerpool erkennt zudem auch den Trend, dass manche Versicherer ihre Cyberversicherungskunden nun des Öfteren während der Laufzeit mit einem Scan des Unternehmens von außen unterstützen. Dabei wird mit Programmen eruiert, was von außerhalb alles über die IT und die Infrastruktur des Unternehmens in Erfahrung zu bringen ist. Bei Auffälligkeiten wird das Unternehmen unterrichtet.
„Wenn der Scan vor Abschluss durchgeführt wird, kann das auch bis zur Ablehnung eines Antrags führen, falls das Ergebnis sehr negativ ausfällt und keine Maßnahmen ergriffen werden“, so Kieper. „Die Umsatzschwellen für diese Outside-In-Scans zur automatischen Sicherheitsüberprüfung der Website und IP-Adressen des KMU werden immer geringer“, ergänzt CyberDirekt-Chef Sieverding und nennt mit dem Kriegsausschluss einen weiteren Branchentrend: „Dass große von Staaten gestützte Angriffe hierunter fallen und mitausgeschlossen werden, findet sich nun langsam in immer mehr Standardbedingungen.“ Für Vermittelnde führt kein Weg daran vorbei, sich in dieser dynamisch entwickelnden Sparte stets auf dem Laufenden zu halten, um das Vertriebspotenzial optimal zu nutzen.
Der Autor Oliver Lepold ist freier Journalist.