Betriebsversicherung und IT-Sicherheit
Von jetzt auf gleich digital – Corona hat mit einem atemberaubenden Tempo für die Digitalisierung der Betriebe gesorgt. Dabei wurde die Datensicherheit oftmals vernachlässigt. Kriminelle nutzen dies für Cyberattacken, auch auf kleine Firmen. Wie sich Handwerksbetriebe versichern können.
-
Cyberpolicen-Rating der Assekurata(PDF, 83,00 kB)
-
Cyberkriminalität im Handwerk(PDF, 275,60 kB)
-
Wie Sie Ihre IT wirkungsvoll vor Cyberattacken schützen(PDF, 92,10 kB)
Alltag in deutschen Betrieben: Kunden und Aufträge werden elektronisch verwaltet, Angebote automatisch erstellt und die EDV-gestützte Buchhaltung ist digital integriert und vernetzt. Denn digital bedeutet effizient – und trotzdem hat so mancher Unternehmer ein ungutes Gefühl: Es gibt keine absolute digitale Sicherheit. Die täglich neu bekannt werdenden Cyberattacken beweisen es. Von Angriffen betroffen sind auch Kleinunternehmer, die die Gefahr jedoch oftmals noch nicht richtig ernst nehmen: „Kleine Firmen fühlen sich sicher und sind immer wieder vollkommen überrascht, wenn sie angegriffen werden“, bestätigt Sabine Radomski, Professorin an der Hochschule für Telekommunikation Leipzig. Doch wer versteht, wer die Angriffe startet, ändert vermutlich seine Wahrnehmung: Es ist oft Software, die Computer systematisch nach Sicherheitslücken scannt. Und sie startet auch automatisch einen Angriff . Dabei spielt die Größe des Netzwerks, das angegriffen wird, keine Rolle. Es geht allein darum, ob sie Sicherheitslücken erkennt.
Warum die Cyberversicherung so wichtig ist
Eine Cyberattacke ist für jedes Unternehmen eine existenzielle Krise. „Das ist nur vergleichbar mit einer abgebrannten Firma“, sagt der Versicherungsmakler Sven Erichsen aus Essen, der sich auf Cyberschutz spezialisiert hat. Erichsen: „Zum einen wird das System verschlüsselt und stillgelegt. Zum anderen drohen die Kriminellen, Daten, die sie gestohlen haben, zu veröffentlichen“. Das ist dann ein Datenschutzvorfall. Kunden und Behörden müssen informiert werden.
So erging es auch Martin Schäfer, der in dritter Generation den Betrieb seines Großvaters führt. „An einem Morgen konnten wir plötzlich nur noch das Licht einschalten“, erinnert sich der Inhaber von Schäfer Trennwandsysteme GmbH aus Horhausen im Westerwald mit Schrecken. Das fast 100-jährige Familienunternehmen, das aus einer Tischlerei hervorgegangen ist, vertreibt heute europaweit Trennwandsysteme. Im Zuge der Digitalisierung des Unternehmens hat er auch stark in IT-Sicherheit investiert – „wir fühlten uns sicher“, so Schäfer. „Wer sollte sich schon für uns interessieren, wir haben keine geheimen Daten oder Patente“, erklärt er sein Denken vor der Attacke. „Ihr Ausmaß – ein echter Schock“, so der Unternehmer. Glücklicherweise hatte ihm sein Versicherungsmakler eine Cyberversicherung vorgeschlagen – die Schäfer dann auch abschloss: „Ich war erst skeptisch, aber bei mir setzte ein wacher Moment ein, als der Versicherungsexperte sagte, die Cyberpolice ist die Feuerversicherung des 21. Jahrhunderts“, lächelt er. Über Feuerschutz werde im Unternehmen nicht diskutiert. „Wir verarbeiten Holz“, stellt Schäfer lapidar fest. Nach der gleichen Logik benötigt heute jeder, der Daten verarbeitet, einen umfassenden Cyberschutz.
Das ist guter Service der Versicherung
Wie gut sich das Handwerksunternehmen über den angelsächsischen Versicherer Hiscox tatsächlich aufgestellt hatte, merkte Schäfer, als der Schaden da war. „Über die Versicherung bekamen wir Zugriff auf Experten. Nur zwölf Stunden nach dem Hack hatten wir Spezialisten aus Berlin im Haus, die vier Wochen geblieben sind.“ Die bekomme man, da ist sich der Unternehmer ganz sicher, so schnell nur über eine Versicherung. „Zudem haben wir Hilfe von einer spezialisierten Anwaltskanzlei für den Datenschutzvorfall bekommen. Wir mussten ja eine Meldung beim rheinland-pfälzischen Datenschutzbeauftragten machen“, erzählt Schäfer. Gleichzeitig habe eine Agentur die Krisenkommunikation nach außen unterstützt. Mit einer schnellen und klaren Öffentlichkeitsstrategie habe man viel Vertrauen bei Lieferanten und Kunden aufgebaut. „Es geht bei der Cyberversicherung erst im zweiten Schritt um finanzielle Entschädigung, an erster Stelle steht für mich der Service.“
Was die Cyberpolicen leisten
Das sehen auch Experten so. Man könne mit einer Cyberpolice gleich dreifach vorsorgen. „Erstens für den Schaden, etwa den Umsatzverlust, weil der Betrieb stillsteht. Zweitens für einen schnellen Notfallservice, damit die Systeme wieder laufen, und drittens, vorab, indem man sein IT-System auf ein höheres Sicherheitsniveau bringt“, zählt Andreas Kutschera, Versicherungsberater aus Mönchengladbach, die Vorteile einer Cyberversicherung auf. Wie bei der Prävention gegen Brände, etwa durch Sprinkleranlagen oder Feuerschutztüren, müssen IT-Systeme gegen Hacker durch Firewalls, Virenscanner, regelmäßige Datensicherungen und hohen Passwortschutz erst einmal in den Zustand versetzt werden, damit sich Versicherer bereit erklären, das Restrisiko in ihre Bücher zu nehmen. Eine hohe IT-Sicherheit ist Voraussetzung für den Versicherungsschutz.
Wer diese Vorarbeiten leistet, hat eine recht große Auswahl an Cyberschutzpolicen. Als Schäfer seinen Betrieb im Jahr 2015 mit einer Cyberpolice eindeckte, waren die Assekuranzen noch bereit, jeden Kunden unter Vertrag zu nehmen. Doch hohe Schadenzahlungen haben diese Situation heute grundlegend geändert. „Die Cyberversicherung ist in der Krise“, sagt Thomas Haukje, Präsident des Bundesverbandes Deutscher Versicherungsmakler (BDVM). Bei hoher Bedrohungslage würden die Prämien regelrecht explodieren. Ein Grund dafür: Allein die Ransomware-Angriffe, also die Cyberattacken mit Erpressung, wie ihn auch die Schäfer Trennwandsystem GmbH erlitt, haben sich in den letzten Jahren verdoppelt. „Wir haben in Cyber seit 2018 einen Anstieg der Schadenhäufigkeit um fast 300 Prozent beobachtet, auch die durchschnittliche Schadenhöhe hat sich mehr als verdreifacht, und das quer durch alle Branchen“, sagt Tobias Tessartz, Head of Cyber bei Hiscox Deutschland. Kurz: Cyberversicherungen sind ein riskantes Geschäft für die Versicherer. Bei großen Unternehmen „ab mittleren achtstelligen Umsätzen“, so Tessartz, würden die Prämien stark steigen und die Risikoprüfungen verschärft.
Darauf sollen Sie bei Cyberpolicen achten
Tatsächlich kommen Handwerksunternehmen noch recht günstig an eine Cyberpolice, wie eine Umfrage für einen fiktiven Musterbetrieb durch handwerk magazin zeigt. Eine Bauschlosserei kann für eine Jahresprämie von unter 500 Euro versichert werden und das sogar in einem besonders gut – nach Schulnoten – bewerteten Tarif. Die Bewertung hat Assekurata vorgenommen, eine Rating-Agentur zur Qualitätsbeurteilung von Versicherungsunternehmen aus Kundensicht. Die Analysten haben die nach ihrer Ansicht „relevanten“ Bausteine einer Cyberversicherung für kleinere und mittlere Unternehmen (KMU) ermittelt und zu einem detaillierten Vergleich zusammengefasst. „Wichtig war uns, ob die Leistungen einen konkreten Nutzen für den Kunden darstellen und ob sie zeitgemäß sind“, erläutert Managing-Analyst Arndt von Eicken. In die Cybertarifanalyse seien mehr als 60 Detailkriterien eingeflossen. Hauptprüfpunkte waren Allgemeine Bestimmungen, Gegenstand der Versicherung, Schutz von Identität und Reputation, Zahlungsmittelkonten und Kreditkarten, Schutz von Sachen und Daten, Betriebsunterbrechung, Drittschäden sowie Schadenmanagement und Transparenz. Beim letzten Punkt werden die Pflichten untersucht: „In einem eigenen Prüfpunkt bewerten wir, in welcher Weise Datensicherungen vorgenommen werden müssen. Dabei achten wir auch darauf, ob diese Pflichten zumutbar für den Kunden sind und nicht aufgrund einer Unverhältnismäßigkeit den Versicherungsschutz aushöhlen“, so van Eicken.
Am besten bewertet wurde die Police der Cogitanda lnsurance Services. Dies ist ein Makler, der ausschließlich Cyberversicherungen vertreibt. Die Police wurde von einem Konsortium von Ergo, Württembergischer und SV Sparkassenversicherung entwickelt. „Wir übernehmen die gesamte Schadensteuerung. Wird der Bildschirm schwarz, sind wir im Einsatz“, erläutert Cogitanda-Experte Thorsten John. Auch den Vermögensschaden, der meist vor allem durch die Betriebsunterbrechung entsteht, zahlt der Makler. Er holt sich das Geld später von den Assekuranzen zurück. Auch bei Unternehmer Schäfer hat sein Versicherer geleistet: „Unsere Versicherung hat einen deutlichen sechsstelligen Betrag an uns bezahlt. Sowohl für die Betriebsunterbrechung als auch für Hunderte von Stunden, in denen wir Daten wiederhergestellt haben“, erläutert er.
Tarifvergleich: Das sind die besten Policen
Im Musterfall hat handwerk magazin Eigenschäden, Betriebsunterbrechung, Cyberhaftpflicht und -kreditkartenschaden sowie Erpressungskosten abgesichert. Ein Lösegeldschutz war hingegen optional. Denn der Schutz ist moralisch umstritten. In den Prämien von Allianz, Cogitanda lnsurance Services, Hiscox, Markel und Württembergischer ist er enthalten.
Auch von der Schäfer GmbH wollten die Cyberkriminellen Geld erpressen. „Wir haben das ganz nüchtern diskutiert und eine Kosten-Nutzen-Abwägung gemacht“, sagt der Geschäftsführer. Zwar wäre es einfacher gewesen, Lösegeld zu zahlen. Doch das Risiko sei groß, dass das Thema mit der Zahlung nicht erledigt ist. Am anderen Ende des Verhandlungstisches sitze ja kein netter Geschäftsmann. „Zudem hat es mich persönlich aufgebracht, dass ich kriminelles Verhalten finanzieren soll. Daher sind wir froh, dass wir uns gegen das Lösegeld entschieden haben“, so Schäfer. Noch eine weitere Lehre hat er aus dem Angriff gezogen: Die Versicherungssumme sollte hoch sein. „Eigentlich dachten wir, dass die bisherige nie erreicht würde. Doch tatsächlich sind wir knapp unterhalb des versicherten Schutzes rausgekommen.“
Individuell: So finden Sie den richtigen Tarif
Unternehmer sollten Cyberpolicen am besten mit professioneller Hilfe abschließen. Das gilt auch für Online-Angebote. Denn in den Bedingungen – die nicht standardisiert und oft verklausuliert sind – können sich Fallen verbergen. So ist die Obliegenheit, also die Verpflichtung, seine IT immer auf dem „Stand der aktuellen Technik zu halten“, eine gefährliche Allgemeinklausel. „Da kann der Versicherer dem Kunden schnell vorwerfen, irgendein Update nicht durchgeführt zu haben – und die Leistung verweigern“, warnt Berater Kutschera. Umso konkreter die Obliegenheiten formuliert sind, desto besser für den Versicherten. Ein Versicherungsmakler oder Berater kann den Risikofragenkatalog, den jede Police enthält, auf versicherungsrechtliche Stolpersteine hin überprüfen.
Wer einen Berater sucht, findet beim Bundesverband der Versicherungsberater (bvvb.de) und für Firmenversicherungsmakler beim Bundesverband Deutscher Versicherungsmakler (bdvm.de) den richtigen Ansprechpartner.
Was die Cyberpolice abdeckt
Wenn Unternehmer ihr Cyber-Angriffsrisiko absichern wollen, sollten sie auf folgende Regelungen achten.
- In der Cyber-Grunddeckung ist bei einer fahrlässigen, mut- oder böswilligen Beschädigung des IT-Systems Kostenschutz gegeben. Die wichtigste Leistung ist hier, dass der Versicherer mit hochqualifizierten externen IT-Experten – vor allem schnell – dafür sorgt, dass der Schaden analysiert sowie das System repariert/wiederhergestellt wird.
- Zudem kann sich der Unternehmer gegen den Betriebsunterbrechungsschaden absichern. Also für die Zeit, in dem das angegriffene IT-System den Betrieb stilllegt. In der Regel ist eine Frist von 180 Tagen abgesichert. Der Betriebsunterbrechungsschutz umfasst die fortlaufenden Kosten des Unternehmens und den entgangenen Gewinn.
- Bei einer Erpressung ist die Kostenübernahme für die Abwehr der akuten Bedrohung abgesichert. Optional kann die Erstattung von Lösegeldzahlung eingeschlossen werden. „Die Zahlung eines Lösegelds ist übrigens nicht immer das beste Mittel, denn auch mit den Entschlüsselungs-Codes dauert der Neustart des Systems oft genauso lange, wie wenn man direkt Nägel mit Köpfen macht und das System ganz neu aufsetzt“, sagt Cyberexperte Dr. Sven Erichsen. Er rät, die Alternativen zur Lösegeldzahlung vorher möglichst sachlich zu prüfen.
- Der Haftpflichtschutz kommt für Schäden Dritter auf, die durch eine Weiterverbreitung von Computerviren geschädigt werden.
- Der Kreditkartenschadenschutz umfasst den Verlust oder die Beschädigung von Kreditkartendaten oder Programmen sowie Verstößen gegen vertragliche Vereinbarungen mit Bezahlsystemen (E-Payment).
- Der Cyber-Vertrauensschaden-Schutz greift, wenn Mitarbeiter das eigene IT-System zweckentfremden und damit betrügen, weil sie beispielsweise Firmengeld unterschlagen.
Cyberangriffe betreffen nahezu neun von zehn Unternehmen
Welche der folgenden Arten von Cyberangriffen haben innerhalb der letzten zwölf Monate in Ihrem Unternehmen einen Schaden verursacht? Mehrfachantworten möglich.
| Infizierung mit Schadsoftware/Malware | 31 % |
| Distributed Denial of Service (DDoS) | 27 % |
| Spoofing | 20 % |
| Phishing | 18 % |
| Angriffe auf Passwörter | 18 % |
| Ransomware | 18 % |
| SQL-Injection | 17 % |
| Webseitenübergreifendes sog. Cross-Site-Scripting (XSS) | 9 % |
| Man in the middle Angriff/Mittelsmann-Angriff | 5 % |
Quelle: Bitkom Research 2021
Spezieller Cyberschutz der Handwerksversicherer
Oft bieten die auf das Handwerk spezialisierten Versicherer eigene Policen für ihre Zielgruppe an. Bei den Cyperpolicen ist das nicht der Fall – das finanzielle Risiko aus Hackerangriffen gilt als besonders hoch. Was die Handwerksversicherer bieten.
Sowohl der Münchener Verein als auch die InterVersicherung bieten keine eigene Cyberpolicen an. „Wir arbeiten hier mit Kooperationspartnern zusammen, die sich auf das Thema spezialisiert haben“, heißt es beim Münchener Verein. Die Inter kooperiert mit HDI, VHV und Allianz. Allein die Signal Iduna hat eine eigene, besondere Lösung für Handwerker entwickelt. „Das ‚digitale Schutzschild‘ bietet Firmen eine Kombination aus Vorsorge und Absicherung im Schadensfall“, erläutert die Assekuranz. Als Servicedienstleister wurde der Perseus Cyber Security Club gewonnen. „Mit einem Online-Trainingsprogramm, verschiedenen technischen Hilfsmitteln und einem Notfallkontakt bietet Perseus eine umfassende Cybersicherheitslösung, die auch Datenschutz im Sinne der geltenden DSGVO berücksichtigt“, erläutert die Assekuranz. Wer das Perseus-Silber-Angebot von jährlich rund 320 Euro kauft, erhält die Cyberpolice bei der Signal Iduna mit einem Rabatt von zehn Prozent. Für den Bauschlossermusterbetrieb kostet dann die Absicherung noch rund 515 Euro pro Jahr.
Assekurata hat die Police mit der mageren Schulnote 3,6 bewertet. Laut Signal Iduna hat die Ratingagentur aber die Kombination aus Schutz und Service im „Digitalen Schutzschild“ nicht ausreichend berücksichtigt. „Assekurata selbst weist im Rating auf die Heterogenität der Versicherungsbedingungen im Cybermarkt hin. Wir glauben, dass sich die damit verbundene schwierige Vergleichbarkeit auch in unseren Ergebnissen widerspiegelt“, stellt Pressesprecher Thomas Wedrich klar.