Beiträge

Neue Studie enthüllt: Immer mehr kleine Unternehmen sind Ziel von Cyberangriffen. Erfahren Sie, wie sich die Bedrohungslage entwickelt und welche Risiken bestehen.

Ein großer Versicherer kann dank Studien aus den Jahren 2022 und 2023 auf mehr als 2.700 Befragungsergebnisse zurückgreifen. In diesem Jahr zeigen die Ergebnisse einen verstärkten Fokus von Cyberkriminellen auf Kleinunternehmen, eine wieder gestiegene Risikowahrnehmung und eine schnell nachlassende Awareness für Cybergefahren bei Betroffenen nach einer Attacke.

Immer mehr kleine und mittelständische Unternehmen machen Erfahrungen mit Cyberangriffen. Laut einer aktuellen Studie gaben 53 % der Teilnehmer an, bereits Cyberangriffe erfahren zu haben. Insbesondere der Mittelstand mit 50 bis 250 Mitarbeitern gerät verstärkt ins Visier von Cyberkriminellen.
Besonders ausgeprägt ist die Entwicklung im Hinblick auf Kleinbetriebe: 56 % dieser Unternehmen haben laut Studie bereits Erfahrung mit Cyberangriffen. Auch Kleinstbetriebe werden vermehrt angegriffen, wenngleich noch nicht auf dem Niveau größerer Unternehmen.
Die Risikowahrnehmung für eine Cyber-Attacke auf ein kleines oder mittleres Unternehmen in Deutschland ist gestiegen. Im Vergleich zum Vorjahr bewerten mehr Teilnehmer die Schadenwahrscheinlichkeit für das eigene Unternehmen höher. Die Ergebnisse der Studie zeigen, dass die Einschätzung der Befragten hinsichtlich des Angriffs- und des Schadensrisikos relativ schnell nach einem Angriff auf das Unternehmen wieder deutlich abnimmt.
Die Tendenz zur Verdrängung von Erfahrungen mit Cyberangriffen ist deutlich: Je länger ein Angriff zurückliegt, desto geringer wird die Sorge vor einem erneuten Angriff auf das Unternehmen oder ein KMU.

Über die Studie:

Für die HDI Cyberstudie wurden rund 1.500 IT- und Versicherungs-Entscheider kleiner und mittelständischer Unternehmen sowie Selbstständige befragt.

Wer ein Unternehmen ins Leben ruft, hat alle Hände voll zu tun – und vernachlässigt mitunter Risiken. Besonders oft ist das bei Cyberrisiken der Fall.

Die Gründerstudie der öffentlichen Versicherer in Deutschland zeigt, dass viele Gründer das Risiko von Cyberangriffen in der Anfangsphase unterschätzen. Lediglich 13 Prozent haben eine Cyberversicherung abgeschlossen. Im Gegensatz dazu stufen 67 Prozent der etablierten Unternehmen Hacker- und Virenangriffe als mittleres bis hohes Risiko ein. Prävention ist hierbei ein wichtiger Faktor zur Abwehr von wirtschaftlichen Schäden. Es ist auch von großer Bedeutung, das Versicherungsportfolio regelmäßig zu aktualisieren, da 18 Prozent der etablierten KMU ihr Portfolio länger als zwei Jahre und bis zu fünf Jahre, und sogar 23 Prozent länger als fünf Jahre nicht aktualisiert haben.

Im Schadensfall wünschen sich sowohl Jungunternehmen als auch etablierte Unternehmen eine schnelle Reaktion ihres Versicherers. Eine Betreuung durch eine feste Ansprechperson ist hierbei von hoher Bedeutung, insbesondere für Jungunternehmer. Unterstützung in unmittelbarer Nähe ist zudem für 89 Prozent der Gründer sowie 72 Prozent der Entscheider etablierter Unternehmen von großer Bedeutung.

Für die Mehrheit der Befragten (69 Prozent) ist es wichtig bis sehr wichtig, dass Versicherer nachhaltig agieren. Regionaler Verantwortung wird dabei von 40 Prozent der Jungunternehmen und 45 Prozent der etablierten Unternehmen als der wichtigste Nachhaltigkeitsfaktor genannt. Zusammenfassend kann gesagt werden, dass eine professionelle Beratung bei Versicherungen insbesondere für Jungunternehmen wichtig ist, um ein umfassendes und aktuelles Versicherungsportfolio zu erhalten, das auch die Risiken von Cyberangriffen berücksichtigt.

Die gute Nachricht vorweg: Cyberversicherungen werden immer selbstverständlicher. Doch damit allein ist noch keine Cyber-Attacke verhindert. Ein Versicherer rät, folgende sechs Maßnahmen umzusetzen, um die Widerstandsfähigkeit gegen Cyber-Attacken zu stärken.

Eine regelmäßige groß-angelegte Unternehmensbefragung zeigte, dass 67 Prozent der befragten deutschen Unternehmen über eine Cyberversicherung verfügen. Nur noch 11 Prozent der deutschen Befragten geben an, weder eine Cyber-Absicherung zu haben noch planen, eine abzuschließen (2020 waren das noch 25%).

Dass immer mehr Unternehmen in Deutschland über eine solche Versicherungspolice verfügen, wird aber keinen einzigen Angriff verhindern. Der Versicherer rät deshalb zu folgenden sechs Maßnahmen, um die Widerstandsfähigkeit des Unternehmens gegen Cyber-Angriffe zu verbessern. Die Maßnahmen sind:

  • Erstellung eines Krisen-Reaktionsplans für Cyber-Zwischenfälle
  • Regelmäßige Simulation eines Cyberangriffs
  • Regelmäßige Bewertungen der Daten- und Technologieinfrastruktur eines Unternehmens
  • Durchführung wirksamer Cybersicherheitsschulungen für die Mitarbeiter
  • Bessere Umsetzung von Cybersicherheitsprozessen oder -verfahren, wie z. B. Patching oder Pen-Tests
  • Ernennung von Schlüsselfunktionen im Bereich der Cybersicherheit oder ein verstärktes Team von Mitarbeitern

Deutsche Unternehmen befürchten zunehmende Cyberattacken. Bei welchen Delikten die Risikowahrnehmung besonders hoch ist.

Deutsche Unternehmen befürchten eine weitere Zunahme von Cyberangriffen. Das geht aus der KPMG-Studie “e-Crime 2022” hervor. Demnach schätzen 91 Prozent der Befragten das Risiko für deutsche Unternehmen, Opfer einer Cyberattacke zu werden, als hoch oder sehr hoch ein. Damit wuchs dieser Wert im Vergleich zu den Vorgängerjahren nochmals an (2017: 88 Prozent, 2019: 92 Prozent).

Wird allerdings nach der Risikoeinschätzung für das eigene Unternehmen gefragt, fallen die Werte deutlich niedriger aus: So schätzten 2017 88 Prozent der Teilnehmer die Cyber-Risikolage für deutsche Unternehmen als hoch oder sehr hoch ein. Doch nur 48 Prozent kamen für das eigene Unternehmen bzw. Arbeitgeber zu dieser Risikoeinschätzung. Auch 2022 besteht diese Lücke. Aber: Sie wird kleiner. Denn 2022 kamen immerhin 61 Prozent der Befragten zu dem Schluss, dass auch das eigene Unternehmen einer hohen oder sehr hohen Cyber-Gefahr ausgesetzt ist.

Furcht vor Cyber-Erpressung nimmt besonders stark zu

Bei der delikt-spezifischen Risikowahrnehmung lässt sich feststellen, dass die Furcht, Opfer von digitaler Erpressung zu werden, besonders stark zugenommen hat. Noch 2017 war dieses Risiko mit 49 Prozent der Nennungen noch das am wenigsten als hoch oder sehr hoch eingeschätzte Risiko. 2022 geben aber 82 Prozent der befragten Unternehmen an, dieses Risiko für hoch oder sehr hoch zu halten. Als mögliche Ursache wird in der KPMG-Studie ‚prominente Ransomware-Fälle‘ wie REvil, DarkSide oder Hive verwiesen. Erpressungsfälle sind 2022 jedenfalls das in der Wahrnehmung am stärksten gewachsene Cyber-Risiko. Wie die delikt-spezifischen Risiken wahrgenommen wurden und wie sich dieser Wert im Vergleich zur Vorgänger-Erhebung (2019) entwickelte, zeigt folgende Liste:

  • Computerbetrug 93 Prozent; Zunahme: + 5 Prozentpunkte
  • Datendiebstahl 90 Prozent; Zunahme: + 2 Prozentpunkte
  • Erpressung 82 Prozent; Zunahme: + 12 Prozentpunkte
  • Verletzung von Geschäftsgeheimnissen 72 Prozent; Zunahme: keine; seit 2017 unverändert
  • Computersabotage 69 Prozent; Zunahme + 5 Prozentpunkte
  • Verletzung von Urheberrechten 65 Prozent; Veränderung: – 6 Prozentpunkte
  • Manipulation von Konto- und Finanzdaten 52 Prozent; Zunahme: + 1 Prozentpunkt

Über die Studie:
Das Sozialforschungsinstitut Kantar befragte zwischen Februar bis Mai 2021 und November 2021 bis Februar 2022 Mitarbeitende von 1.000 repräsentativ nach Branche und Umsatz ausgewählten Unternehmen zu ihren Erfahrungen im Feld der Computerkriminalität.

Angesichts des Ukraine-Krieges warnt Volker Wissing (FDP), Bundesminister für Verkehr und digitale Infrastruktur, vor Cyberangriffen. Nicht von ungefähr: Eine der teuersten Schadsoftware-Attacken der letzten Jahre richtete sich gegen die Ukraine: Und schädigte auch deutsche Firmen.

Die Welt schaut auf die Ukraine, wo ein blutiger und grausamer Krieg tobt. Davon sind direkt oder indirekt auch deutsche Unternehmen betroffen, die vielfach mit Spenden und Unterstützung den ukrainischen Menschen helfen wollen. Und zum Beispiel mit dem Ausfall von Lieferketten zu kämpfen haben.

Eine Gefahr, die dabei übersehen werden könnte, sind Cyber-Attacken auch auf die deutsche Wirtschaft. Aufgrund drohender Hackerangriffe “sind wir mit allen relevanten Stellen in Deutschland in Kontakt, um insbesondere die Betreiber kritischer Infrastruktur zu begleiten und vorzubereiten, falls es zu entsprechenden Cyberangriffen kommt”, sagte der zuständige Bundesminister Volker Wissing (FDP) in einem Interview mit der “Welt am Sonntag”.

Dass dies kein unrealistisches Szenario ist, zeigt das Jahr 2016. Damals breitete sich in Windeseile der Erpressungstrojaner “Petya” bzw. -später- “notPetya” in der ganzen Welt aus. Ziel waren auch ursprünglich ukrainische Unternehmen und Behörden, wo der Virus zuerst nachgewiesen werden konnte. Aber auch Firmen, die mit diesen kooperierten. Zu den deutschen Unternehmen, die geschädigt wurden, zählte unter anderem die Beiersdorf AG, bekannt durch die Marke Nivea. Ihr entstand ein Millionenschaden. Der US-Pharmariese Merck erlitt sogar einen Schaden von 1,4 Milliarden US-Dollar.

Die Petya-Attacken zeigen auch, wie die -oft hochprofessionell agierenden Hacker- dabei vorgehen. Und das Einfallstor ist hierbei ein sehr traditionelles gewesen: die E-Mail. Gezielt wurden Personalabteilungen angeschrieben, wobei sich die Schadsoftware als Bewerbungsschreiben tarnte. Diese waren zusätzlich als pdf-Datei getarnt. Klickte man die Datei an, so entpackte der Computer ein Programm, der alle wichtigen Daten auf dem Rechner verschlüsselte und unzugänglich machte. Zur Wiederherstellung der Dateien sollten die Betroffenen ein Lösegeld in Bitcoins zahlen. Es war nicht der einzige Angriff dieser Art: viele ähnliche Programme folgten.

Entsprechend gilt es, sich gegen solche Attacken zu wappnen. Expertinnen und Experten bieten hier auch kleinen und mittelständischen Firmen Unterstützung an: ein Ansprechpartner können Versicherer mit Cyber-Policen sein. Sie unterstützen oft auch präventive Maßnahmen: Denn es gilt, die Mitarbeiter zu schulen, einen Notfallplan bereitzuhalten und Ansprechpartner zu kennen, wenn doch einmal eine derartige Attacke Erfolg hat. Petya konnte selbst große Firmen für Wochen lahmlegen. Das bedeutet, dass in solch einem Fall Produkte nicht hergestellt, Kunden nicht beliefert und Kontakte nicht gepflegt werden konnten. Kam es zu Lieferverzögerungen, waren oft auch Schadensersatz-Forderungen die Folge.

Schützen können sich Unternehmen mit einer Cyberversicherung. Hierbei lohnt ein Blick in die Bedingungswerke. Strittig ist zum Beispiel, ob derartige Attacken in heutigen Zeiten als kriegerischer Akt gewertet werden können: Diese sind in der Regel vom Versicherungsschutz ausgenommen. In Deutschland folgt die Rechtsprechung noch einer engen Auslegung des Begriffes, wonach “kriegerischer Akt” an physische Gewalt gekoppelt ist. Aber die Versicherer versuchen, derartige Kostenrisiken zunehmend durch Klauseln auszuschließen.

Die Datenschutzgrundverordnung (DSGVO) schreibt Unternehmen strenge Regeln vor, wie die Daten von Kundinnen und Kunden vor dem Zugriff Dritter geschützt werden müssen. Wichtig: Diese Regeln gelten auch im Homeoffice. Doch hier zeigen sich viele Mitarbeiter eher nachlässig.

Die Coronakrise dauert nun etwa ein Jahr: mit Konsequenzen auch für viele Beschäftigte. Rund 30 Prozent der Arbeitnehmerinnen und Arbeitnehmer arbeitet derzeit im Homeoffice, so zeigte jüngst eine Studie des ifo-Institutes. Vor allem größere Firmen bieten den Wechsel des Arbeitsplatzes in die eigenen vier Wände an.

Doch Homeoffice birgt auch Gefahren: vor allem mit Blick auf den Datenschutz. Fest steht: Wer zuhause arbeitet, muss sensible Kundendaten mit der gleichen Sorgfalt schützen wie im Büro auch. Der heimische Arbeitsplatz birgt hier zahlreiche Risiken.

Zunächst gilt es, Arbeit und Privates nicht zu mischen – auch, weil dies das Abgreifen sensibler Daten erleichtert. Es sollte für Berufliches ausschließlich Hard- und Software genutzt werden, die der Arbeitgeber zur Verfügung gestellt hat. Wichtig ist hierbei, auf einen VPN-Zugang zu achten. Das steht für “Virtual Private Network” und bedeutet stark vereinfacht, dass die Netzverbindung für Unbefugte nicht einsehbar ist. Tabu ist es jedenfalls, sensible Kundendaten auf privaten Festplatten und Sticks zu sichern.

Ab und zu ist man darauf angewiesen, Dokumente und Formulare auszudrucken. Auch hier gibt es No-Gos. Wer diese Papiere einfach im Hausmüll entsorgt, riskiert, dass sie in die falschen Hände geraten. Ein Aktenvernichter kann hier Abhilfe schaffen – oder die Unterlagen später mit auf Arbeit nehmen. Natürlich sollten wichtige Informationen und Dokumente in einem verschließbaren Schrank aufbewahrt werden.

Videokonferenzen oder berufliche Online-Meetings sollten darüber hinaus nicht auf dem Balkon oder der Terrasse stattfinden. Auch hier riskiert man, dass dritte Personen mitlauschen.

Als selbstverständlich sollte gelten, dass man nicht jeden Mailanhang einfach so öffnet: selbst, wenn die Mail scheinbar ein berufliches Anliegen hat. IT-Sicherheitsdienstleister berichten, dass Mailanhänge – und die darin versteckte Schadsoftware – noch immer häufigstes Einfallstor für Datendiebstahl und Hackerangriffe sind. Die Angreifer gehen dabei raffiniert vor: Sie verwenden sogar Adressen, die jenen des Arbeitgebers ähneln. Entsprechende Infos finden die Hacker leicht auf der Firmenwebseite. Oft seien Mitarbeiter in den Spam-Mails vermeintlich aufgefordert worden, Familien- und Krankenurlaub einzutragen. Die Kriminellen spielen hier bewusst mit der Angst und Unwissenheit der Menschen im Zuge der Corona-Krise.

Wer bereits Opfer eines erfolgreichen Hackerangriffes wurde, sollte sich von den Übeltätern nicht erpressen lassen. Sind Zugänge gesperrt oder ist der Rechner verseucht, verlangen Hacker häufig, dass Geld überwiesen wird – etwa in Form von Bitcoins. Und sie versprechen, die Daten wieder freizugeben, wenn die Geldzahlung einging. Das stimmt natürlich in der Regel nicht. Deshalb: auf keinen Fall auf die Forderungen eingehen, etwa aus falscher Scham! Sondern den Arbeitgeber umgehend informieren. Dann können gemeinsam Maßnahmen ergriffen werden, um den Schaden zu beseitigen. Vor den finanziellen Folgen von Hacker-Attacken können sich Firmen mit einer Cyberversicherung schützen.

Die Coronakrise hat viele Arbeitnehmer und auch Selbstständige ins Homeoffice gezwungen: Dort kommunizieren sie mit Kunden und Geschäftspartnern. Damit tauschen sie auch sensibelste Daten aus, die nicht in unbefugte Hände geraten dürfen. Anlass für den Gesamtverband der Deutschen Versicherungswirtschaft (GDV), aktuell vor den Folgen eines vernachlässigten Cyberschutzes zu warnen.

Fakt ist: 40 Prozent aller privaten Internetnutzer berichten laut einer YouGov-Umfrage im Auftrag des Versichererverbandes, dass sie schon einmal Opfer eines Cyberangriffs geworden seien. Die meisten berichten von Viren und Hackerangriffen. Das Problem: Natürlich wissen auch die Betrüger, dass nun vermehrt im Homeoffice gearbeitet wird. So hat die europäische Polizeibehörde Europol vor wenigen Tagen gewarnt, dass sie vermehrte Aktivitäten von Hackern beobachte.

Damit können auch die Betrüger Schwachstellen besser ausnutzen, warnt der GDV: vor allem mit Phishing- und Ransomware-Attacken. Hier sei darauf verwiesen, dass die Versicherer bereits spezielle Cyberversicherungen für private Haushalte und Gewerbekunden anbieten. Unter anderem lassen sich in Hausratversicherungen Cyber-Assistanceleistungen integrieren.

Aber auch Gewerbebetriebe sollten sich mit einer Cyberversicherung eindecken. Eine solche Police bietet zum Beispiel Schutz bei Betriebsunterbrechung infolge von Hacker-Angriffen, Drittschäden wie z.B. einem Imageverlust infolge eines Hacker-Angriffes oder die Wiederherstellung beschädigter Systeme.

Wichtig ist aber für große und kleine Unternehmer, mit den eigenen Mitarbeitern auch das Thema Cybersicherheit im Homeoffice zu thematisieren: und Maßnahmen zu besprechen, damit Hacker erst gar nicht Firmendaten abgreifen können. Das gilt auch mit dem Blick auf den notwendigen Datenschutz. Bei jedem fünften Unternehmen sind durch digitale Angriffe jeweils Kundendaten (21 Prozent) und Finanzdaten (20 Prozent) abgeflossen, so das Ergebnis einer weiteren GDV-Umfrage.

Hier kann es empfehlenswert sein, gemeinsam mit IT-Experten einen Katalog von Wohlverhaltensregeln auszuarbeiten, die Mitarbeiter im Homeoffice beachten sollen. Dazu gehört es zum Beispiel, Software regelmäßig zu updaten, die Systeme auf dem neuesten Stand zu halten und auch Sicherheitsprogramme wie eine Firewall und ein gutes Antivirenprogramm zu installieren. Auch sollte geklärt werden, wohin sich die Mitarbeiter in einem Cyber-Notfall wenden können und wer die Ansprechpartner sind: gerade in Zeiten, in denen viele Servicedienstleister geschlossen haben.

Wichtigstes Einfallstor für Cyberkriminelle ist übrigens immer noch eine Technik, die zwar bereits als veraltet gilt, aber in Unternehmen noch rege genutzt wird: die Email. Laut Umfrage eines Versicherers würden 59 Prozent der erfolgreichen Cyber-Angriffe auf kleine und mittlere Firmen über Anhänge oder Links in E-Mails erfolgen. Nur bei jedem vierten Angriff (26 Prozent) seien Hacker über die Netzwerk-Systeme eingedrungen. Sogenannte Ddos-Attacken oder Schädlinge auf Datenträgern wie USB-Sticks (jeweils drei Prozent) spielten hingegen kaum eine Rolle.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) und mehrere Online-Portale warnen derzeit vor betrügerischen Bewerbungsschreiben, die per E-Mail versendet werden. Beim Öffnen der Anhänge wird der Computer mit Schadprogrammen infiziert. Verdächtige Dateien sollen sofort gelöscht werden. Im Schadensfall wird professionelle Hilfe empfohlen.

Man nennt sie “Ransomware” – schädliche Programme, die dazu dienen, Unternehmen und Firmen zu erpressen oder zu sabotieren. Die Programme schränken den Zugriff auf Systeme ein und verschlüsseln oder zerstören Daten. Oft stellen die Täter Forderungen nach Lösegeld (engl. “ransom”) und versprechen, im Gegenzug die Daten wieder freizugeben. Die Schäden sind enorm: Allein die Angriffe in der zweiten Jahreshälfte 2017 mit Petya/ NotPetya verursachten in der deutschen Wirtschaft Schäden in Millionenhöhe. Wochenlang waren sogar Betriebsabläufe großer Unternehmen gestört.

Neue Angriffswelle: Bewerbungsmails infizieren Computer

Nun wird vor einer neuen Angriffswelle durch Ransomware gewarnt. Die neue Masche der Erpresser: Verschlüsselungstrojaner werden durch gefälschte Bewerbungsschreiben per E-Mail versendet. Die Bewerbungsschreiben fallen zunächst kaum auf und sind in gutem Deutsch abgefasst. Sie enthalten aber bösartige Anhänge – ein angehängtes RAR-Archiv sowie eine gefälschte PDF-Datei mit der Endung “pdf.exe”. Da, wie das Onlineportal heise.de ausführt, Standardeinstellungen in Windows bekannte Dateiendungen (z.B. “exe”) ausblenden, werden die Dateien tatsächlich für PDF-Dateien gehalten.

Viele Mails wurden unter dem Betreff “Bewerbung auf die angebotene Stelle bei der Agentur für Arbeit von Peter Reif” versendet, jedoch variierten die Namen bereits (“Peter Schnell”, “Caroline Schneider”, “Viktoria Henschel”). Weil beliebige Namen durch die Angreifer genutzt werden könnten, dient der Name somit nicht als eindeutiger Hinweis auf die schädlichen Mails. Auffallend ist aber: Der falsche Bewerber gibt an, das Archiv aus Gründen der Privatsphäre mit einem Kennwort geschützt zu haben.

In Wirklichkeit dient dieses Passwort dazu, den Virenscannern einen Blick ins Archiv mit der schädlichen Software zu verweigern. Entpackt ein Empfänger der schädlichen Mail das Archiv durch das Passwort und öffnet die darin enthaltene Datei, droht die Infektion der Rechner. Bei dem Schadprogramm handelt es sich um eine Variante der Ransomware “GandCrab”.

Wie sollte man sich verhalten?

Verdächtige Mails sollten sofort gelöscht werden. Wurde der Computer durch Öffnen der Anhänge infiziert, sollten Betroffene zunächst den Computer so schnell wie möglich vom Netz nehmen, indem Netzwerkkabel gezogen und WLAN-Adapter abgeschaltet werden. Dann ist professionelle Hilfe vonnöten, um Zwischenspeicher und Festplatten zu sichern, denn nach Reparaturversuchen oder Neustarts sind forensische Untersuchungen oft nicht mehr durchführbar.

Wichtig ist: Betroffene sollten auf keinen Fall das geforderte Lösegeld zahlen. Denn Fälle sind bekannt, in denen nach Zahlung die Daten nicht rückentschlüsselt wurden. Auch sind zahlende Opfer ein attraktives Angriffsziel für weitere Angriffe. Stattdessen empfiehlt das Bundesamt für Sicherheit in der Informationstechnik (BSI), stets Anzeige zu erstatten.

Ohne die Hilfe von fachkundigen Experten wird der Schaden nicht zu beheben sein. Landeskriminalämter haben für Opfer von Cyberkriminalität besondere Anlaufstellen geschaffen. Auf den Webseiten der Allianz für Cyber-Sicherheit (ACS) finden sich außerdem BSI-zertifizierte IT-Sicherheitsdienstleister für den Notfall.

Weitere Tipps bietet ein Themenpapier des Bundesamts für Sicherheit in der Informationstechnik (BSI), das im Internet heruntergeladen werden kann.

Sagenhafte 42 Milliarden Euro Schaden haben Cyber-Attacken laut Hochrechnungen in den vergangenen zwei Jahren der deutschen Industrie beschert. Dennoch sind noch immer 86 Prozent der Betriebe nicht gegen das Risiko abgesichert, so zeigt eine aktuelle Umfrage. Im schlimmsten Fall kann das existenzbedrohend sein.

In Deutschland besitzt nur etwa jedes siebte Unternehmen (14 Prozent) eine sogenannte Cyberversicherung. Das ist Ergebnis einer repräsentativen Umfrage, für die der Branchenverband Bitkom 503 Geschäftsführer und Sicherheitsbeauftragte deutscher Firmen befragt hat. Immerhin ist der Anteil gegenüber der letzten Umfrage vor zwei Jahren leicht gestiegen: Damals hatten nur elf Prozent eine Cyber-Police.

Mit einer Cyberversicherung kann man sich gegen das Risiko von Hacker-Attacken oder eines Ausfalls der IT-Technik versichern. Ein durchaus wichtiger Bereich, funktioniert die Arbeit doch in vielen Firmen mittlerweile zum Teil digital. Als Beispiel für drohende Schadensfälle seien Schäden durch Erpresser-Schadsoftware, Sabotage oder Datendiebstahl genannt. Abhängig vom Vertrag zahlen die Versicherer jedoch auch bei einer Betriebsunterbrechung, übernehmen die Krisenkommunikation bei einem Imageschaden oder ersetzen Einnahme-Ausfälle infolge von Bedienfehlern.

Jeder Betrieb ist bedroht

Im Zweifel kann das Fehlen eines solchen Schutzes existenzbedrohend sein. Denn de facto muss jeder Betrieb eine Cyberattacke befürchten, unabhängig von der Größe. Laut einer weiteren Bitkom-Umfrage waren bereits sieben von zehn Firmen in den letzten zwei Jahren von einer solchen Attacke betroffen. Der Schaden wird auf 42 Milliarden Euro geschätzt. Doch gerade bei kleinen Unternehmen (mit zehn bis 99 Mitarbeitern) ist der Grad der Absicherung noch niedriger: nur jeder zehnte Betrieb dieser Größe ist abgesichert.

Der niedrige Grad der Absicherung liegt jedenfalls nicht daran, dass den befragten Entscheidern das Problem nicht bewusst ist. Und so ist zu erwarten, dass künftig deutlich mehr Firmen mit einer Cyber-Versicherung vorsorgen werden. So planen weitere 13 Prozent der Firmen konkret, demnächst eine Cyberversicherung abzuschließen. Ein weiteres Drittel (30 Prozent) diskutiert ein solches Vorhaben.

Prävention ist wichtig!

Freilich befreit eine solche Versicherung nicht davon, selbst Vorkehrungen zu treffen, damit ein Cyberangriff erst gar keinen Erfolg hat. “Eine Cyberversicherung kann eine sinnvolle Ergänzung im Risikomanagement sein, ersetzt aber keine robuste IT-Sicherheit”, sagt Susanne Dehmel, Mitglied der Bitkom-Geschäftsführung. “Nur wer bei der IT-Sicherheit gut aufgestellt ist, kommt auch als Versicherungsnehmer in Frage.” Mit anderen Worten: Wer sich präventive Maßnahmen zur Cybersicherheit spart, wird auch keinen Versicherungsvertrag finden.

Dennoch gut zu wissen: Auch kleine und mittlere Unternehmen finden eine passende und preiswerte Absicherung. Hier lohnt ein Blick ins Kleingedruckte. Der Gesamtverband der Deutschen Versicherungswirtschaft (GDV) hat zwar im Frühjahr Musterbedingungen vorgestellt, die sowohl den Versicherern als auch Verbrauchern eine Orientierung erleichtern sollen. Aber diese sind unverbindlich – und folglich die Verträge sehr verschieden ausgestaltet. Hier hilft ein Beratungsgespräch, den richtigen Schutz zu finden.

Großangelegte Cyber-Attacken mit Ransomware wie “WannaCry” oder “NotPetyra” legten Firmenrechner lahm, griffen in Steuerungsprozesse ein und zerstörten viele Daten mit einer Verschlüsselungs-Software unwiderruflich. Bei einigen Unternehmen war wochenlang der Betriebsablauf gestört und musste die Produktion gestoppt werden. Insbesondere für kleine und mittelständische Unternehmen (KMU) kann ein solcher Schaden schnell existenzgefährdend werden. Deshalb ist es empfehlenswert, mit einer Cyber-Versicherung vorzusorgen.

Die Ratingagentur Franke und Bornberg testete nun erstmals gewerbliche Cyberpolicen für den deutschen Markt, die sich gezielt an kleinere und mittelständische Unternehmen wenden. Die gute Nachricht: ein breites Marktangebot ist durchaus vorhanden. Untersucht wurden 35 Tarife und Bausteinlösungen von 28 Anbietern. Das Fazit: Neue Risiken stellen auch Versicherer vor große Probleme, manche reagieren mit Mogelpackungen.

Neue Risiken, keine Erfahrung … Versicherer mit Kalkulationsproblemen

Cyber-Risiken entwickeln sich dynamisch. Das heißt: Man hat es mit immer neuen und ausgebuffteren Attacken zu tun, was es auch den Versicherern erschwert, mögliche Schäden zu errechnen. Anders als zum Beispiel bei der Brandgefahr kann man nicht auf wiederkehrende Szenarien reagieren, um das Gefährdungspotenzial objektiv zu senken. Vieles entzieht sich einer vorausschauenden Kalkulation.

Außerdem ist auch für viele Versicherer das Absichern von Cyber-Risiken noch “Neuland”. Die Neuheit der Gefahren spiegelte sich laut Test in vielen uneinheitlichen Lösungen der Versicherer wieder. Das zeigten schon die Begriffe der Policen. Genannt für die versicherten Gefahren würden laut Ratingagentur: “Netzwerksicherheitsverletzung”/ “IT-Sicherheitsverletzung”/ “Hacker-Angriff”/ “Cyber-Angriff”/ “Cyber-Einbruch”/ “Cyber-Attacke”/ “Cyber-Rechtsverletzung”/ “Cyber-Sicherheitsvorfall”. Hier herrsche eine “fast babylonische Sprachverwirrung”, wie der geschäftsführende Gesellschafter der Agentur, Michael Franke, pointiert.

Zwar würden derartige Begriffe einen scheinbar “ähnlichen” Zustand beschreiben, im Detail aber könnten Unterschiede für den Kunden im Schadensfall erheblich sein.

Auch Aufbau und Umfang der Cyber-Bedingungen würden stark variieren. Was ein Versicherer über eine Rechtsschutzversicherung löse, die an den Cyber-Hauptvertrag andockt, webe ein anderer Versicherer in die Cyber-Drittschadendeckung oder die Krisen-Dienstleistungen ein. Solche Differenzen könnten gravierende Konsequenzen für Versicherungsfall, Entschädigung und das Verhältnis zu anderen Versicherungsverträgen haben. Zu beachten ist zudem der Deckungsumfang, der sich von Versicherer zu Versicherer erheblich unterscheide.

Welche Leistungen werden von einer Cyber-Versicherung verlangt?


Nach Ansicht der Experten von Franke und Bornberg muss ein Tarif Folgendes abdecken können, um ausreichenden Schutz zu bieten:

  • Betriebsunterbrechung: Deckung von Ertragsausfällen
  • Drittschäden: Deckung für auch immaterielle Schäden (zum Beispiel den möglichen Imageverlust eines Unternehmens bei Datendiebstahl)
  • Mehrere Versicherungsverträge: keine Subsidiarität der Cyber-Deckung (der Schaden darf nicht zugleich durch eine andere Police abgesichert sein, z.B. durch eine klassische Betriebshaftpflichtversicherung)
  • Rückwärtsdeckung: Deckungsausschluss nur für vor Abschluss bekannte Ursachen und Schäden (nicht für solche, die hätten bekannt sein müssen)
  • Wiederherstellung von IT-Systemen: Zeitliche Befristung der Wiederherstellung auf nicht weniger als 12 Monate nach Schadenfeststellung

Gewarnt wird vor Mogelpackungen

Auf neue Risiken reagieren einige Versicherer laut Agentur mit Mogelpackungen. Angebote werben zum Beispiel gezielt damit, den Cloud-Ausfall zu versichern (und damit die dynamisch an den Bedarf angepassten IT-Dienstleistungen eines Unternehmens abzusichern). Der Blick ins Kleingedruckte zeige dann aber: sogenannte SaaS-Dienste (Software as a Service) würden vom Versicherungsschutz ausgeschlossen. Dann werden Angriffe auf IT-Systeme nicht ersetzt, wenn diese von einem externen Dienstleister bereitgestellt wird. Oder eine Police deckt nur DoS-Angriffe (Denial of Service = Nichtverfügbarkeit) auf dem Cloud-Anbieter ab statt alle relevanten Bedrohungs-Szenarien.


Nicht wenige Anbieter hätten zudem Angriffe auf den Betreiber einer Cloud (und damit Betriebsunterbrechungsschäden beim Versicherungsnehmer) stark in der Deckungssumme begrenzt, einige sogar komplett vom Versicherungsschutz ausgeschlossen. Wie so oft muss also das Kleingedruckte sehr genau beachtet werden, um im Schadensfall nicht ohne Versicherungsschutz dazustehen.

Vorsicht ist nicht nur bei den Cyber- Risiken geboten, sondern auch bei der Wahl der richtigen Cyberpolice zur Absicherung vor diesen Risiken. Denn auf dem Markt befinden sich gute Angebote, aber auch Mogelpackungen. Die Angebote sind noch sehr uneinheitlich. Die Bedingungen sollten also gut geprüft werden, wenn nötig mit Hilfe eines professionellen Beraters.