Was du über Cyberversicherungen wissen musst
Vor einigen Monaten legte eine fehlgeschlagene Softwareaktualisierung des Cybersicherheitsanbieters Crowdstrike viele Bereiche des öffentlichen Lebens, aber auch die IT-Systeme vieler Unternehmen lahm. Dieser Vorfall hat verdeutlicht, wie abhängig Unternehmen von IT und letztlich wie verwundbar sie bei einem Ausfall sind.
Noch gravierender ist die Zunahme von Cyberangriffen: Der vom Bundesamt für Sicherheit in der Informationstechnik, BSI, kürzlich veröffentlichte Bericht zur Lage der IT-Sicherheit in Deutschland für 2024 kommt zu dem Schluss, dass die Bedrohung im Cyberraum so hoch ist wie nie zuvor.
Was können Unternehmen tun? Klar ist: Einen Angriff wird man im Zweifel nie mit Sicherheit verhindern können. Aber man kann ihn erschweren und vor allem die Folgen für das betroffene Unternehmen abmildern. Ein zentraler Baustein dabei ist die Cyberversicherung.
Cyberversicherung: Braucht es die wirklich?
Cyberangriffe mit zum Beispiel Ransomware – also Schadsoftware, die nach dem erfolgreichen Aufspielen auf Rechensystemen Daten verschlüsselt, um die Eigentümer der Daten zu erpressen – finden bei Weitem nicht mehr nur bei großen, zahlungskräftigen Unternehmen statt. Zunehmend richten sich solche Attacken gegen kleine und mittlere Unternehmen sowie staatliche Institutionen und Kommunen.
Laut Branchenverband Bitkom ergab eine Umfrage, dass 2024 81 Prozent der befragten Firmen schon einmal Opfer von Internetkriminalität (Datenklau, Sabotage und Spionage) geworden sind, weitere 10 Prozent vermuteten dies. Die Schadensumme belief sich auf rund 267 Milliarden Euro im Jahr.
Nur eine dezidierte Cyberversicherung trägt die Kosten für die Information möglicher Betroffener, die Wiederherstellung von Daten und die Absicherung der Hardware- und Softwarekomponenten der betroffenen IT-Infrastruktur nach einem Cyberangriff.
Auch wenn Komponenten in Sach- und technischen Versicherungen versichert sein mögen – gegen Ransomware-Attacken etwa, ist eine Cyberdeckung alternativlos. Doch eine Cyberdeckung zu erhalten ist oftmals leichter gedacht als getan – denn viele Unternehmen werden von den Versicherern abgelehnt. Schätzungen gehen von 50 bis 70 Prozent Ablehnungen aus. Der Grund: mangelnde bestehende Vorkehrungen.
Was sind die Voraussetzungen für eine Cyberversicherung?
Um als Unternehmen überhaupt erst „cyberversicherbar“ zu sein, muss eine gewisse technische Grundsicherung bestehen. Es handelt sich dabei um die allgemeinen Anforderungen an Datensicherheit, wie sie schon aus datenschutzrechtlicher Sicht erforderlich sind, und die jederzeit eingehalten werden müssen. Die Grundsicherung umfasst eine Reihe sogenannter „technischer und organisatorischer Maßnahmen“ (TOM).
Einige dieser Maßnahmen haben nur indirekt mit dem Internet oder Software zu tun. Sie sind physisch und beziehen sich auf das Unternehmen als solches, etwa die Zugangskontrolle, bei der der Zugang zu Verarbeitungsanlagen verhindert, beziehungsweise kontrolliert werden muss. Diese Maßnahme besteht üblicherweise aus Zugangsschranken zum Gebäude, den Büros und den Computern.
Die Liste der möglichen TOM umfasst viele verschiedene Punkte. Für die Versicherbarkeit sind vor allem die Aspekte ausschlaggebend, die einen Angriff erschweren oder verhindern können. Dies sind unter anderem Rechtekonzepte, die sogenannte Datenträgerkontrolle, die unbefugtes Lesen, Kopieren, Verändern oder Löschen von Datenträgern verhindert. Sie trägt neben der Speicherkontrolle gegen unbefugte Kenntnisnahme, Veränderung und Löschung von gespeicherten personenbezogenen Daten dazu bei, dass Unternehmen die Kontrolle über ihre Systeme haben und erkennen können, wenn ein unberechtigter Zugriff vorliegt. Ferner gibt es die Nutzer- und Zugriffskontrolle, die die Nutzung der Systeme und den Datenzugriff auf dafür Befugte beschränkt.
Zur möglichen Aufklärung von auftretenden Problemen können die Übertragungs- und Eingabekontrolle beitragen. Dadurch kann festgestellt werden, an welche Stellen Daten – zum Beispiel über WLAN-Router – übermittelt oder zur Verfügung gestellt werden, sowie ob und welche Daten eingegeben oder verändert wurden.
Sollte ein Unternehmen unter die am 16. Januar 2023 in Kraft getretene NIS-2-Richtlinie („The Network and Information Security (NIS) Directive“) fallen, müssen weitere Kriterien zur Cyber- und Informationssicherheit eingehalten werden. Die deutschen Umsetzungsgesetze lassen allerdings noch auf sich warten. NIS-2 behandelt unter anderem Cyber-Risikomanagement, Kontrolle und Überwachung sowie Umgang mit Zwischenfällen und Geschäftskontinuität. Die Anwendbarkeit der Richtlinie bedeutet auch strengere Haftungsregelungen für die Geschäftsleitung der betroffenen Organisationen.
Stand der Technik – was heißt das?
Bei allen genannten Maßnahmen handelt es sich um eine Kombination aus Hardware und Software. Ein Risiko besteht im Alter von IT-Systemen, die von der technischen Entwicklung quasi abgehängt werden. Hardware sollte dem Stand der Technik entsprechen. Doch was bedeutet dies – muss es immer die neueste Technik sein?
Nein – Stand der Technik ist ein „Mittelbegriff“, das heißt, es gibt strengere Anforderungen, aber auch geringere. So stellen anerkannte Regeln der Technik nur dar, was sich praktisch bewährt hat und wissenschaftlich anerkannt ist. Der Stand der Technik liegt dazwischen und erlaubt Unternehmen daher regelmäßig die Abwägung, ob und wie lange man noch auf bewährte Hard- und Software setzen möchte, die allerdings nicht veraltet sein darf.
Was das genau bedeutet, darüber schweigt sich der Gesetzgeber leider aus. Aber wenn zum Beispiel Verschlüsselung zum Standard geworden ist und sich eine solche auf dem System nicht mehr einrichten oder nachrüsten lässt, wäre das System veraltet. Der Stand der Technik gibt wieder, was technisch notwendig, geeignet und angemessen ist.
Nicht zu unterschätzen: Der Faktor Mensch
Neben der Technik gibt es einen ebenfalls sehr wichtigen Faktor – den Faktor Mensch. Daher sind regelmäßige Schulungen zur IT-Sicherheit wichtig, denn die meiste Schadsoftware erreicht erst durch menschliches Zutun, zum Beispiel das Öffnen von Dateianhängen oder Links auf Websites, ihre Wirkung.
Auch sollten Unternehmen ihr Restrisiko kennen und regelmäßig einschätzen. Prävention ist wichtig, aber es sollte auch Notfallpläne geben. Auch dies trägt zur Versicherbarkeit bei, da die Versicherer als Risikoträger – sofern es Notfallpläne gibt – sehen, dass das Unternehmen die Restrisiken ernst nimmt und sich aktiv vorbereitet. Versicherung ist eben nur ein Baustein.
Ferner geben die Bedingungswerke der Versicherer Auskunft darüber, was weiter erforderlich ist. Dies sind unter anderem die folgenden Aspekte:
- Datensicherung, das heißt eine regelmäßige, idealerweise automatisierte offline Datensicherung aller Daten. Dies nennt man auch Wiederherstellbarkeit, also die Gewährleistung, dass eingesetzte Systeme im Störungsfall wiederhergestellt werden können.
- Mindestanforderungen an den Zugang zu gesicherten Daten – zum Beispiel Zwei-Faktor-Authentifizierung
- Aufbewahrung der Datensicherung für eine Mindestfrist (zum Beispiel mindestens 30 Tage)
- Patchmanagement – verfügbare Updates für Server und Clients (mobile Geräte, Desktops und Terminals) sowie für Netzwerkgeräte und Sicherheitssysteme (zum Beispiel Firewalls, Virenschutz) müssen kurzfristig, etwa innerhalb von 30 Tagen nach Veröffentlichung, umgesetzt werden.
- Für den Fall, dass Altsysteme betrieben werden, für die keine Sicherheitsupdates mehr bereitgestellt werden, sollten diese ausschließlich in einer isolierten Netzwerkumgebung ohne direkten Internetzugang und mit durchgehender Kontrolle des Datenverkehrs genutzt werden.
Fazit
Wenn Unternehmen, die sich gegen Cyberrisiken versichern möchten, vom Versicherer abgelehnt werden, liegt dies also in der Regel an unzureichender IT-Sicherheit. Dies ist bedenklich, da die Voraussetzungen für eine Cyberversicherung in der Regel kaum anders sind als die ohnehin geltenden datenschutz- und datensicherheitsrechtlichen Vorgaben für Unternehmen.
Makler, Vermittler und Versicherer, aber auch Berater können dezidiert Auskunft über Aspekte geben, die spezifisch für das konkrete (Rest-)Risiko oder das jeweilige Unternehmen sein können. Wichtig ist, dass Unternehmen erkennen, dass Versicherung ein (wichtiger) Baustein der Notfallplanung ist und sich mit dem Thema IT-Sicherheit in all seinen Facetten aktiv auseinandersetzen.