Nur wenige kleine und mittlere Firmen haben Cyber-Versicherungen abgeschlossen. Dabei steigt die Zahl schwerer Angriffe. Betriebsinhaber unterschätzen das Risiko – und die möglichen Folgekosten. Was Cyber-Policen leisten, und wie sich Handwerksbetriebe schützen können.
Voraussichtliche Lesedauer: 5 Minuten
Es muss nicht immer das Schreckensszenario einer Lösegeldforderung sein, die beim Computerstart auf dem Bildschirm erscheint. "Etwa jeder zweite Handwerksbetrieb war schon mal von einem Cyberangriff betroffen, zumindest in leichter Form", schätzt Andreas Reinhold, Bereichsleiter Gewerbeversicherung beim Hamburger Versicherer Signal Iduna. Wie stark ein Betrieb gefährdet ist, hänge jedoch ab vom Grad seiner Digitalisierung und seinen eigenen Schutzmaßnahmen gegen Kriminelle aus dem Internet.
Mit steigender Tendenz sieht Reinhold auch schwere Fälle von Angriffen mit Ransomsoftware und Datendiebstahl, bei denen der Betrieb stillgelegt oder gegen den Datenschutz verstoßen wird. Angesichts des Krieges in der Ukraine bestehe zudem "das Risiko, dass russische Cyberattacken, die gegen ukrainische Betriebe gerichtet sind, auch bei deutschen Handwerksbetrieben ankommen".
Eine repräsentative Forsa-Umfrage im Auftrag des Gesamtverbands der Deutschen Versicherungswirtschaft (GDV) in Berlin zeigt: Deutsche Firmen wiegen sich hinsichtlich ihrer Risiken in falscher Sicherheit. Obwohl jeder vierte Mittelständler schon Opfer von Cyberkriminellen geworden sei und 76 Prozent das Risiko von Cyberkriminalität für mittelständische Unternehmen in Deutschland für eher oder sehr hoch halten, sehen zwei Drittel kein hohes Risiko fürs eigene Unternehmen.
80 Prozent der Mittelständler erfüllen die Basis-Anforderungen an die IT-Sicherheit nicht vollständig, so der GDV, die Hälfte der Firmen habe keinen Notfallplan und ein Drittel keine ausreichenden Datensicherungen. Befragt wurden 300 Entscheider von kleinen und mittleren Unternehmen (KMU) im April/Mai 2022.
"Das Risiko Feuer kennt jeder. Aber Cyber?"
Mit Cyber-Versicherungen lassen sich Risiken absichern, die im Zusammenhang mit der Internet-Nutzung stehen. Reinhold schätzt allerdings, dass nicht einmal zehn Prozent der Handwerksbetriebe derartige Policen haben. Dafür sieht der Experte vier Gründe. "Erstens meinen viele Handwerksbetriebe, nicht so digital zu arbeiten. Dabei ist jeder Inhaber einer E-Mail-Adresse Cyberrisiken ausgesetzt", warnt Reinhold. Zweitens beschäftigten sich viele Inhaber nach nicht gerne mit dem Thema. Drittens sei das Risiko zu abstrakt: "Jeder kann etwas mit dem Risiko eines Feuers anfangen. Aber mit Cyber?" Viertens kommt es Reinhold zufolge auch vor, dass der für die Technik zuständige Mitarbeiter eine Cyber-Police als Misstrauensbeweis sieht.
In einer Studie der Gothaer von 2021 gaben 46 Prozent der Befragten an, sich am meisten vor einer Cyberattacke zu fürchten. Allerdings verfügten lediglich 16 Prozent der dort befragten Mittelständler über eine Cyber-Versicherung. Florian Salm, Senior Underwriter Cyber bei der Gothaer Allgemeine Versicherung: "Viele Betriebsinhaber nehmen die Gefahr nicht ernst, dabei müsste jeder von ihnen eine Cyber-Versicherung in sein Risikomanagement aufnehmen."
Im sogenannten Allianz Risk Barometer 2022 gelten Cyberangriffe als das bedrohlichste Szenario für Unternehmen weltweit. Nach Einschätzung von Carsten Wiesenthal, der für die Allianz Versicherung unter anderem das Cyber-Geschäft in Deutschland verantwortet, ist die "Gefahr gerade bei kleinen und mittleren Unternehmen wie zum Beispiel Handwerksbetrieben groß, das Risiko eines Cyberangriffs zu unterschätzen und darum nicht für ausreichend Schutz und Deckung zu sorgen – auch wenn diese nach und nach den Mehrwert einer Cyber-Versicherung erkennen".
Welche Gefahren gehen von Hackerangriffen aus? "Die Folgen reichen von technischen Ausfällen bis hin zur Betriebsunterbrechung und können neben hohen Eigen- auch Drittschäden verursachen", zählt Wiesenthal auf. Die Folgekosten wie Lösegeld, Wiederherstellung von Systemen, Schadenersatz, Verdienstausfälle oder der Imageschaden könnten rasch existenzbedrohend sein.
Wesentlicher Vorteil: Service-Leistungen
Bei einer Cyber-Police geht es nicht nur um eine Entschädigung der Kosten etwa für Betriebsunterbrechungen und Schadenersatz an Dritte. Ihr wesentlicher Vorteil ist laut Signal-Iduna-Experte Reinhold das Bereitstellen von Service-Leistungen durch Experten: "Bei Feuer ruft man die Feuerwehr an. Aber wen soll der Handwerker anrufen, wenn er am Montag den Rechner hochfährt und keinen Zugriff mehr auf seine Daten hat?" Über eine Cyber-Police bekomme ein Betroffener unmittelbaren Zugriff auf Experten für Cyberkriminalität, die ihm im Falle eines Hackerangriffs täglich rund um die Uhr sagten, was er tun müsse.
Nach Aussage von Leonard Wolf, Leiter Cyber-Versicherung beim Analysehaus Franke und Bornberg aus Hannover, werden Cyber-Versicherungen landläufig auch als die "Feuer-Versicherung des 21. Jahrhunderts bezeichnet, da viele Betriebe von der IT mindestens ebenso abhängig sind, wie früher von Immobilien, Maschinen und Werkzeug." Die Cyber-Versicherung ersetze nicht nur den Schaden im Nachhinein, sondern liefere auch die IT-Spezialisten zur Abwehr eines Schadens und zur schnellstmöglichen Wiederherstellung der Betriebsbereitschaft.
Beim Abschluss sollten Betriebsinhaber daher laut Wolf nicht nur auf ausreichend hohe Versicherungssummen für Betriebsunterbrechungen und Wiederherstellungskosten achten, sondern vor allem die Leistungen für Krisenmanagement, IT- und Rechtsberatung genauer prüfen.
Schutz vor Hackern und Co.
Cyber-Versicherungs-Experte Florian Salm von der Gothaer gibt folgende Tipps zur Vorsorge:
- Eine Firewall, ein Virenschutzprogramm und ein sogenanntes Patch Management (z.B. Betriebssystem und sämtliche Software aktuell halten und Sicherheitslücken sofort schließen).
- Regelmäßige Datensicherung (täglich oder wöchentlich) auf einem Speichermedium. Gibt es ein vollständiges Backup auf separierten Systemen, und zwar offline?
- eigene Benutzeraccounts für jeden Mitarbeiter mit sicherem Passwort, mindestens einmal jährlich Schulung der Mitarbeiter in IT-Sicherheit und Datenschutz.