Johannes Behrends: Cyber-Attacken auf Unternehmen geschehen jeden Tag

Johannes Behrends ist Leiter CYRIS Marsh Deutschland. Mit ihm sprechen wir über Cyberangriffe, Cyberversicherungen sowie Kosten beim Abschließen der Versicherung.

Johannes Behrends

Durch Cyberangriffe entstehen Kosten von rund 223 Milliarden Euro pro Jahr.  Cyberversicherungen sollen nun allerdings vor Attacken schützen. Was leistet so eine Cyberversicherung und was wird versichert?

Johannes Behrends: Cyber-Attacken auf ein Unternehmen kann eine Versicherung nicht verhindern, aber sie schützt vor den möglicherweise existenzbedrohenden Folgen, die damit verbunden sein können. Ganz allgemein erklärt haben Cyber-Versicherungen vor allem zwei Aufgaben: Zum einen soll das betroffene Unternehmen für den finanziellen Schaden, den es durch einen Vorfall erlitten hat, entschädigt werden. Zum anderen soll dem Unternehmen bei einem Cyber-Vorfall auch sofort praktische Unterstützung geboten werden. Zu diesem Zweck sind die meisten Versicherer Kooperationen mit Dienstleistern wie Incident Response Teams, IT-Forensikern, Kanzleien oder PR-Beratern eingegangen. Tritt der Versicherungsfall ein, kann sich das Unternehmen sofort an diese Spezialisten wenden, ohne zuvor im Internet nach geeigneten Experten recherchieren zu müssen.

Wie funktioniert eine Cyber-Versicherung?

Johannes Behrends: Schauen wir uns den Versicherungsumfang genauer an. Eine Cyber-Versicherung ist zunächst einmal eine Vermögensschadenversicherung. Sach- und Personenschäden sind nicht versichert. Außerdem unterteilt sich der Versicherungsschutz in einen Eigen- und einen Drittschadenteil. Im Eigenschadenbereich erstattet der Versicherer vor allem den Betriebsunterbrechungsschaden, den das Unternehmen beispielsweise nach einer Ransomware Attacke erleidet. Außerdem werden die Kosten für die Wiederherstellung der Daten und Systeme übernommen. Auch Lösegelder im Falle einer Erpressung können versichert werden. Weitere Kosten und Aufwendungen wie für die Benachrichtigung der von einem Datenverlust betroffenen Personen oder Call Center Kosten können ebenfalls eingeschlossen werden. Im Drittschadenbereich werden Schäden erstattet, die das betroffene Unternehmen einer dritten Person oder einem dritten Unternehmen zufügt, etwa durch den Verlust sensibler oder personenbezogener Daten.

Warum könnte solch eine Versicherung für kleine und mittlere Unternehmen wichtig sein? Für wen von diesen ist eine Cyberversicherung besonders attraktiv?

Johannes Behrends: Kleinere und mittlere Unternehmen verfügen häufig nicht über die personellen und fachlichen Ressourcen, um Angriffe abzuwehren, Beweise zu sichern oder die Systeme wieder kurzfristig aufzubauen. Die richtige Unterstützung im Schadenfall zu erhalten ist jedoch essenziell, um möglichst unbeschadet aus der Krise zu kommen. Ein Cyber-Angriff kann zudem auch bei kleinen und mittleren Unternehmen Schäden in Millionenhöhe verursachen. Das kann diese Unternehmen an die Grenze des Ruins führen. Deshalb ist natürlich auch die Leistung im Schadenfall, vor allem im Rahmen der Betriebsunterbrechung, ein ganz wichtiger Bestandteil der Deckung.

Worauf muss beim Abschließen einer Cyberversicherung geachtet werden?

Johannes Behrends: Unternehmen sollten nicht das erstbeste und in der Regel auch nicht das günstigste Angebot wählen. Cyber-Versicherungen sind nicht günstig, ein Schaden ist es aber auch nicht. Nehmen Sie sich Zeit bei der Auswahl des Versicherers. Ziehen Sie im Zweifel auch Hilfe in Form von erfahrenen Maklern hinzu, die die Stärken und Schwächen der Versicherer kennen. Es gibt durchaus den einen oder anderen Versicherer, der in der Vergangenheit mit sehr niedrigen Prämien punkten konnte und jetzt merkt, dass er beinahe mehr auszahlt, als er an Prämien einnimmt. Diese Versicherer stellen sich dann im Schadenfall mitunter quer. Und natürlich sollten Unternehmen auf den Deckungsumfang achten. Der sollte tatsächlich zu den individuellen Risiken des Unternehmens passen, ansonsten läuft die Deckung schnell ins Leere. Achten Sie beim Abschluss also auf die ideale Balance aus Deckungsumfang, Service und Preis.

Welche Kosten treten beim Abschließen der Versicherung auf?

Johannes Behrends: Das ist im Vorfeld sehr schwer zu sagen. Die Prämie hängt von vielen Faktoren ab. Ganz grob sehen wir aber aktuell, dass die Prämien über alle Branchen und Unternehmensgrößen hinweg ca. 1,4% -2 % der Versicherungssumme betragen. Für kleine und mittlere Unternehmen liegt dieser Wert aber glücklicherweise noch niedriger, ich würde schätzen bei 0,5%.

Kann man sich mit einer Cybersicherung nur in Gänze schützen oder lassen sich auch Teilbereiche abdecken wie beispielsweise das Online-Banking?

Johannes Behrends: Eine Cyber-Versicherung ist in der Regel modular aufgebaut, so dass einzelne Deckungselemente ausgeschlossen oder hinzu gewählt werden können. Die Deckung kann so auf die Bedürfnisse der Unternehmen angepasst werden. Die Risiken durch das Online-Banking sind allerdings nicht zwangsläufig von einer Cyber-Versicherung gedeckt, da es sich bei Schäden im Zusammenhang mit Online Banking in der Regel um Fälle für die Vertrauensschadenversicherung handelt.

Was kann man tun, um Risiken im virtuellen Raum zu minimieren und warum ist eine Prävention so wichtig?

Johannes Behrends: Eine sinnvolle Absicherung beginnt mit dem Verständnis für das Risiko. Viele Unternehmen ahnen, dass sie ein Risiko haben, können es aber nicht genau benennen, geschweige denn quantifizieren. Das bedeutet, dass viele Unternehmen eine Deckung ins Blaue hinein abschließen. Die erforderlichen Versicherungssummen werden dann geschätzt oder man schaut rechts und links, was denn Wettbewerber einkaufen. Wir empfehlen daher immer zuerst mit der Analyse der Risiken zu starten. Zentrale Fragen müssen dabei sein: Was kann passieren und wie hoch fällt der Schaden aus, wenn das Szenario eintritt? Erst wenn ich die Antworten auf diese Fragen kenne, kann ich auch effektive Maßnahmen zur Minimierung, Prävention oder Versicherung der Risiken einleiten. Die Prävention spielt bei diesen Maßnahmen natürlich eine elementare Bedeutung. Je besser ich präventiv aufgestellt bin, desto weniger passiert oder aber desto geringer fallen die Schäden aus. Aus diesem Grund achten die Versicherer inzwischen sehr genau auf präventive Maßnahmen. Sind diese nicht ausreichend, bieten die Versicherer erst in der Regel gar keinen Versicherungsschutz an.

Herr Behrends, vielen Dank für das Gespräch!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.