Betriebsversicherung
Erpressung, Datenklau, Zugriff auf den Server: Die Cyberkriminalität nimmt rasant zu. Umso wichtiger wird es für Unternehmen, sich für den Ernstfall zu versichern. Worauf es bei einer Police ankommt.
Um Daten und Know-how zu schützen, haben 85 Prozent der Klein- und Mittelbetriebe (KMU) in Deutschland zwischen 2013 und 2015 in Maßnahmen zur Verbesserung des Datenschutzes und der IT-Sicherheit investiert. Wie das Mittelstandspanel der KfW Mittelstandsbank zeigt, stehen softwaregestützte Lösungen ganz oben auf der Maßnahmenhitliste, an zweiter Stelle folgen Backup-Konzepte vor Techniken zur Verschlüsselung.
Obwohl sich mit 55 Prozent mehr als die Hälfte der Kleinbetriebe Cyberkriminalität für gut geschützt hält, ist die Cyberkriminalität laut Studie gerade in Kleinstbetrieben ein Thema: 31 Prozent der KMU bis zehn Mitarbeiter waren schon einmal Opfer eines Angriffs, bei den KMU über zehn Mitarbeiter waren es noch 25 Prozent. Die Folgen der Angriffe: 17 Prozent mussten beschädigte Hardware austauschen, 9 Prozent klagten über eine Überwachung ihrer Kommunikation, immerhin 7 Prozent sahen sich mit dem schlimmsten Szenario konfrontiert: dem vollständigen Verlust wichtiger Daten.
Jeder dritte Kleinbetrieb betroffen
Das weiß auch ein Handwerksunternehmer aus Süddeutschland, der anonym bleiben will: „Wir registrieren permanent Hackerangriffe auf unser Mailsystem.“ Die Erfahrung deckt sich mit der Statistik. Nach einer aktuellen Umfrage des Digitalverbandes BITKOM verzeichnete in den vergangenen Jahren jede dritte Firma IT-Sicherheitsvorfälle. „Deutsche Unternehmen sind zu einem attraktiven Ziel für Cybergangster und ausländische Geheimdienste geworden“, sagt BITKOM-Präsident Dieter Kempf. Während das Bundeskriminalamt 2009 noch 2 276 Sabotageangriffe registrierte, waren es 2013 bereits mehr als 12 000 Fälle. Dabei ist die Dunkelziffer hoch. „Insbesondere wenn kleine und mittlere Firmen ins Visier der Kriminellen geraten, halten sie sich aus Scham oder Sorge ums Image oft zurück, damit an die Öffentlichkeit zu gehen“, weiß Björn Haag, Experte des Versicherungsmaklerunternehmens Richard Böck GmbH in München.
Gefährliche E-Mails
Die Kriminellen kennen viele Wege, um ans Ziel zu kommen. So kommt es zum Beispiel häufig vor, dass einfach E-Mails mit Spionageprogrammen verschickt werden. Zudem kann jeder Teilnehmer der digitalen Welt Opfer einer Erpressung werden, meint das Bundeskriminalamt im Lagebericht zur Cyberkriminalität. Rund 6700 solcher Fälle wurden gemeldet. Den Betroffenen wird mittels einer Schadsoftware suggeriert, dass ihr Computersystem mit einer strafbaren Handlung im Zusammenhang steht und deswegen gesperrt wurde. Gegen eine Geldleistung würde die IT wieder freigeschaltet. Solche Angriffe kommen teuer. Nicht nur, weil tatsächlich mitunter das Lösegeld von der Firma bezahlt werden muss, um weiterarbeiten zu können. Sondern auch, weil andernfalls Spezialisten zu beauftragen sind, die ein hohes Honorar verlangen.
Im Schnitt belaufen sich die Kosten bei mittelständischen Betrieben jeweils auf 41 000 Euro – so das Ergebnis einer weltweiten Umfrage des Softwarehauses Kaspersky Lab in Kooperation mit der Gesellschaft B2B International. Anlass genug also, den Abschluss einer entsprechenden Versicherung in Erwägung zu ziehen.
„Besonders wichtig erscheint eine Cyberpolice aus unserer Sicht für alle Unternehmen, die mit sensiblen Daten umgehen und diese speichern, bearbeiten oder verwalten“, rät Haag. Für jene Handwerkschefs also, die über kundenbezogene und vertrauliche Daten verfügen. Damit kommt die Versicherung für nahezu alle Unternehmer in Betracht, die zum Beispiel elektronisch mit Kundenkarten arbeiten oder die Bondaten ihrer elektronischen Kassen auswerten. „Das Risiko, von Hackern geschädigt zu werden, steigt für Firmen mit Online-Shop“, kommentiert Haag.
Passgenaue Versicherungen
Sogenannte Assistance-Pakete übernehmen beispielswiese die Kosten für IT-Experten und das Schließen der Sicherheitslücke oder Maßnahmen der Krisenkommunikation. Ebenso kann der Mehraufwand für die juristische Betreuung gedeckt sein, falls Schadensersatzforderungen auf den Firmenchef zukommen. Im Idealfall kommt noch ein Schutz für eine mögliche Betriebsunterbrechung hinzu.
Die Gesellschaften arbeiten daran, kleinen und mittleren Unternehmen passgenaue Lösungen zu bieten. Bisher werden solche Deckungen allerdings erst von wenigen Gesellschaften angeboten – zum Beispiel von der Allianz, AXA, Zurich oder Württembergischen sowie von weit weniger bekannten Häusern wie Chubb, Hiscox, AIG oder Markel. Bei letzteren handelt es sich um Assekuranzen, die sich auf Cyber-Policen spezialisiert haben. „In den nächsten Monaten dürften noch weitere Versicherer mit entsprechenden Deckungskonzepten aufwarten“, sagt Haag.
Prämien im Sinkflug
Die Policen galten bisher für mittelständische Firmen als viel zu teuer. Die Prämien lagen enorm hoch – oftmals im fünfstelligen Bereich pro Jahr. „Der Preiswettbewerb verschärft sich“, beobachtet Haag. Firmenchefs können mit Prämien von mitunter weniger als 1 000 Euro je Million Deckungssumme rechnen – unabhängig von der Größe des Unternehmens. „Vermutlich orientieren sich die Beiträge künftig allerdings eher am Umsatz“, prognostiziert Haag. Dann dürfte es für kleine und mittlere Betriebe noch günstiger werden.
„Eine Cyberpolice muss aber auf die Anforderungen und strukturellen Erfordernisse eines Unternehmens und seines Geschäftsmodells zugeschnitten sein“, erklärt Dirk Kalinowski, Experte für IT-Risiken beim Versicherungskonzern AXA in Köln. Pauschale Lösungen gibt es nicht (siehe „Kriterien für die Auswahl“). Deshalb wird es darauf ankommen, erst die eigenen Risiken zu ermitteln und dann den passenden Schutz zu wählen.
Kriterien für die Auswahl
Der Versicherungsschutz bei den Cyberpolicen ist sehr unterschiedlich. Versicherungsmakler Björn Haag nennt Kriterien für die Auswahl. Verschiedene Deckungsbausteine können Unternehmer erwarten. In der Regel sind versichert:
- Wiederherstellungskosten für zerstörte Daten
- Schadensersatzansprüche von Dritten
- Rechtsschutz bei unberechtigten Forderungen Dritter
- Kosten forensischer Untersuchungen
- Kosten für einen PR-Berater um Imageschäden zu vermeiden
- Kosten für eine Rechtsberatung zu möglichen Datenschutzverletzungen
- Benachrichtigungskosten an die betroffene Verbraucher, falls ihre Daten gestohlen wurden
Wichtig: Im Optimalfall übernimmt die Gesellschaft nicht nur die Kosten, sondern garantiert zusätzlich, kurzfristig einen Spezialisten zu beauftragen. Hintergrund: Mittelständische Handwerksunternehmer verfügen kaum über entsprechende Kontakte etwa zu Forensikern. Diese Experten aber sind häufig ausgebucht. Die Versicherungsgesellschaften haben deshalb extra Verträge mit ihnen abgeschlossen, um eine schnelle Unterstützung zu gewährleisten.