Wie sich Firmen mit Cyber-Versicherungen gegen digitale Bedrohungen absichern können und warum viele Mittelständler das Thema immer noch deutlich unterschätzen
Eigentlich ist es ja ganz simpel: „Ich würde doch keinem Fremden meine Handtasche in die Hand drücken und sagen: ‚Pass mal bitte kurz drauf auf!‘“, sagt Sina Schlosser, Inhaberin der Speditions-Assekuranz in Hollenstedt. Es ist ein plastischer Vergleich, den sie nutzt. Worum es geht: blindes Vertrauen, vielleicht Naivität. Oder einfach nur Unbedarftheit. Doch genau solche Verhaltensweisen sind es, die Hackern die Türen in Unternehmen öffnen und anschließend zu immensen Schäden führen.
Es beginnt ganz harmlos …
Cyber-Angriffe beginnen oft unauffällig. Eine Mail mit harmlos wirkender PDF- oder ZIP-Datei reicht. „Bei uns im Büro ist das das absolute No-Go – ZIP-Dateien sind der Tod“, sagt Schlossers Büroleiterin Jennifer Schröder halb im Scherz, halb im Ernst. Denn: Wer klickt, hat häufig schon verloren. Der Schad-Code breitet sich von einem Rechner zum nächsten aus. Oft bemerkt ihn niemand – bis zum „Tag X“. „Dann geht der Computer an, und man liest: Willkommen bei unserem Service. Sie haben zwei Optionen – Lösegeld zahlen oder alle Firmendaten verlieren“, so Sina Schlosser.
Policen begrenzen den Schaden
Cyber-Versicherungen können hier helfen – nicht, weil sie einen Angriff zwingend verhindern, sondern weil sie den Schaden begrenzen. Wer eine solche Versicherung abschließen will, muss allerdings ein Mindestmaß an IT-Sicherheit vorweisen. Firewall, regelmäßige Back-ups, Schulungen für Mitarbeitende – alles Standard. „Manche Fragebögen der Versicherer sind sechs, sieben Seiten lang. Ohne IT-Fachmann kommt man da nicht weiter“, sagt Büroleiterin Schröder. Gleichzeitig sind diese Anforderungen aber auch ein Geschenk: Unternehmen führen dadurch ein internes Sicherheits-Audit durch – häufig zum ersten Mal. Jennifer Schröder: „Allein das kann schon Risiken aufdecken, die vorher niemand auf dem Schirm hatte.“
Wer Lösegeld zahlt, riskiert eine Anzeige
Im Schadensfall ist der Versicherer dann der kompetente Partner an der Seite des betroffenen Unternehmens: IT-Experten zur Datenrettung, Juristen für die Klärung von Haftungsfragen, PR-Berater für die Kommunikation mit der Öffentlichkeit. Auch Ausfälle, Vertragsstrafen oder Wiederherstellungskosten können versichert sein – je nach Tarif. „Nur Lösegeldzahlungen werden nicht übernommen. Die sind illegal – und wenn man zahlt, riskiert man eine Anzeige wegen Geldwäsche“, erklärt Sina Schlosser. Ganz abgesehen davon, dass bei Weitem nicht sicher ist, ob die Hacker ihr Entschlüsselungs-Versprechen auch wirklich einhalten.
Kein Luxus, sondern Pflicht
Gerade kleine Unternehmen unterschätzen oft, wie weitreichend die Folgen eines Angriffs sein können. „Wenn du vier Wochen stillstehst, sind deine Kunden weg – und die kommen nicht wieder“, sagt die Inhaberin der Speditions-Assekuranz. Trotz dieser Bedrohungslage tun viele Betriebe das Thema ab. „Cyberversicherung? Brauche ich nicht. Ich habe ja ein Antivirenprogramm.“ Sätze wie diese hört Sina Schlosser erschreckend häufig. Dabei beginnen die Jahresprämien für Cyber-Versicherungen schon bei etwa 1.000 Euro für kleine Betriebe. Große Unternehmen zahlen zwar deutlich mehr – aber auch, weil das Risiko exponentiell steigt. Und trotzdem: Der Schutz lohnt sich. Denn die Schäden durch einen Angriff können den Betrieb in die Knie zwingen. Reputation, Kundenvertrauen, Vertragsstrafen – der Rattenschwanz ist lang.
Ein Versicherungsprodukt im Wandel
Der Markt für Cyber-Versicherungen ist derzeit in Bewegung. Die Policen werden umfangreicher, weil die Bedrohungen wachsen. Manche Versicherer setzen bereits bestehende Verträge neu auf, kündigen alte Konditionen. „Günstiger wird es sicher nicht. Wer jetzt abschließt, könnte Glück haben und in einem guten Tarif bleiben“, meint Schlosser. Für Unternehmen bedeutet das: Jetzt handeln. Risiken prüfen, sich beraten lassen, Policen vergleichen – und das Thema ernst nehmen. Denn wie Sina Schlosser sagt: „Bei Versicherungen gibt es immer eine Messlatte: Ist das Risiko existenzbedrohend, oder kann ich es aus der Portokasse zahlen? Und bei Cyber-Angriffen geht es fast immer um die Existenz.“ (tp)
Verschiedene Arten von Cyber-Attacken
- Ransomware: Bei Ransomware wird Schadsoftware eingesetzt, um Daten zu verschlüsseln. Die Angreifer fordern anschließend ein Lösegeld für die Entschlüsselung. Dies kann ganze Unternehmensprozesse lahmlegen und hohe Kosten verursachen.
- Phishing: Phishing ist ebenfalls eine häufige Angriffsart. Dabei geben sich Angreifer per E-Mail oder Handy-Nachricht als vertrauenswürdige Quelle aus, um Mitarbeitende zur Preisgabe sensibler Daten wie Passwörtern oder Kontoinformationen zu bewegen.
- DDoS-Angriffe („Verteilte Dienstverweigerung“): Hierbei wird ein Server oder eine Website durch massenhafte Anfragen überlastet und dadurch unerreichbar gemacht. Dies kann zu Betriebsunterbrechungen und Reputationsschäden führen.
- Malware: Malware ist ein Sammelbegriff für schädliche Software wie Viren, Trojaner oder Spyware. Sie kann Daten ausspähen, zerstören oder Systeme manipulieren.
- Insider-Bedrohungen: Nicht nur externe, sondern auch interne Akteure können eine Gefahr darstellen. Unzufriedene Mitarbeitende oder fahrlässiger Umgang mit Daten können erhebliche Sicherheitslücken verursachen.
