Cyberkriminalität ist eine reale Bedrohung: 2022 ist die Zahl der weltweiten Cyberattacken im Vergleich zum Vorjahr um 38 Prozent gestiegen. Vor allem kleine und mittelständische Unternehmen (KMU) sind sich der Gefahren aber entweder nicht bewusst oder sehen schlichtweg kein Risiko für den eigenen Betrieb. Die Folge: Wichtige Maßnahmen zur Schadenprävention sind in ihren IT-Sicherheitsstrategien kaum verankert. Doch wie können sich Unternehmen schützen? Die öffentlichen Versicherer erklären, wie sich Angriffe verhindern lassen, wie sich Betroffene in einem Schadenfall verhalten sollten und warum eine Cyberversicherung für Unternehmen sinnvoll ist.
Video-Interview: Wie sichere ich mein Unternehmen gegen Cyberattacken ab?
Spannende Tipps aus der Praxis: Als Experte der öffentlichen Versicherer gibt Dr. Wolfram Klöber, promovierter Rechtswissenschaftler und Abteilungsdirektor für Haftpflicht-, Rechtsschutz-, Cyberversicherung der VGH Versicherungen, ein Interview zum Thema „So sicherst du dein Unternehmen gegen Cyberattacken ab“.
Zum VideoBereits vor Ausbruch der Pandemie bedeutete Cyberkriminalität eine ernstzunehmende Gefahr für Unternehmen. Die ursprünglich Corona-bedingte und heute nicht mehr wegzudenkende Verlagerung der Büroarbeit ins Homeoffice mit meist schwachen Sicherheitsvorkehrungen verschärfte das Problem zusätzlich. Der aktuelle Cyber Security Report 2023 von Check Point Research (CPR) ergab für 2022 einen Anstieg der Cyberattacken gegenüber 2021 um 38 Prozent, für das vierte Quartal 2022 sogar ein Rekordhoch von durchschnittlich 1.168 wöchentlichen Angriffen pro Unternehmen.
Cyberkriminalität – die unterschätzte Gefahr
Auch wenn kleinen und mittelständischen Unternehmen die Gefahren bekannt sind, die im Netz lauern, stufen die meisten von ihnen die Risiken für den eigenen Betrieb eher gering ein, wie die nebenstehende Grafik zeigt.
Cyberangriffe nehmen nicht nur zu, auch die Ziele verändern sich. So ergab der CPR-Report, dass die Angreifenden zunehmend sensible Daten über Kollaborations-Tools wie Slack oder Microsoft Teams abgreifen. Der Verlust solcher Informationen verursacht meist hohe monetäre Schäden für betroffene Unternehmen. Für deutsche Unternehmen lag der finanzielle Gesamtschaden durch Cyberkriminalität im Jahr 2022 laut Bitkom im dreistelligen Milliardenbereich.
Die finanziellen Folgen eines Cyberangriffs können für kleine und mittelständische Unternehmen (KMU) schnell existenzbedrohend sein. Verhindern lässt sich das am besten mit einer Cyberversicherung und weiteren Präventionsmaßnahmen, mit denen sie Sicherheitslücken schließen und Gefahren vorbeugen beziehungsweise im Angriffsfall eliminieren können.
Cyberkriminalität kann jedes Unternehmen treffen
Ob Datendiebstahl, Betrug, Industriespionage oder Lösegelderpressung: Cyberkriminalität hat viele Gesichter und kann jedes Unternehmen treffen – und wo keine entsprechenden Sicherheitsvorkehrungen vorhanden sind, haben Kriminelle besonders leichtes Spiel. Die meisten erfolgreichen Cyberangriffe haben ihren Ursprung in einer simplen E-Mail.
Wichtig zu wissen: Es spielt keine Rolle, welche Art von Geschäftsmodell einem Unternehmen zugrunde liegt. Unternehmen, die beispielsweise schwerpunktmäßig im E-Commerce aktiv sind, sind zwar vermeintlich gefährdeter als andere Betriebe. Doch tatsächlich trägt jedes Unternehmen, das Daten digital verarbeitet, ein hohes Risiko.
„Für Unternehmen, die ihren Umsatz hauptsächlich über einen Online-Shop generieren oder digital produzieren, ist das Risiko durch Cyberangriffe und IT-Stillstand auf den ersten Blick weitaus naheliegender als für andere Betriebe. Dabei sind beispielsweise Kliniken, Kanzleien und Handwerksbetriebe ebenso abhängig von einer funktionierenden IT, etwa wenn es um sensible Daten wie medizinische Berichte, Korrespondenzen mit Kundschaft oder Abrechnungen geht. Es braucht also kein digitales Geschäftsmodell, damit ein Cybervorfall hohen Schaden anrichten kann.“
Checkliste: So wappnen sich Unternehmen gegen Cyberkriminalität
Schritt 1: Die Ausstattung ist die Basis
Die Grundvoraussetzung für IT-Sicherheit sind eine moderne technische Ausstattung und leistungsstarker IT-Schutz. Das Bundesamt für Sicherheit in der Informationstechnik empfiehlt als Basiselemente der IT-Sicherheit unter anderem Virenschutzprogramme, Firewalls und eine Zwei-Faktor-Authentifizierung. Ebenso ist auf starke Passwörter, regelmäßige Sicherheits-Updates und Datensicherung durch Backups zu achten.
Schritt 2: Die menschliche Firewall
Mitarbeitende, die mit Passwörtern oder verdächtigen E-Mails umzugehen wissen, bilden für ihr Unternehmen eine menschliche Firewall. Die Sensibilisierung der Belegschaft für die potenzielle Bedrohung und notwendige Sicherheitsvorkehrungen ist deshalb von entscheidender Bedeutung – speziell dann, wenn sich die Mitarbeitenden im Homeoffice befinden oder remote arbeiten. Kriminellen bieten sich dann vermehrt Angriffspunkte, die sich mit einfachen Maßnahmen schützen lassen, wie einem Mobile-Device-Management (MDM), einem Virtual Private Network (VPN) und Mehr-Faktor-Authentifizierung (MFA).
Schritt 3: Der Plan für den Ernstfall
Kommt es zu einem Cyberangriff, gilt es, Ruhe zu bewahren und schnell zu handeln. Damit das möglich ist, müssen im Vorfeld Verhaltensregeln für den potenziellen Ernstfall feststehen. Dabei hilft es, wenn Antworten auf folgende Fragen bereits klar sind:
- Wer im Unternehmen ist für die IT-Sicherheit verantwortlich?
- Welche Informationen über den Angriff müssen gesammelt werden? (Zeitpunkt und Ablauf des Vorfalls, betroffenes Gerät, Programme und Dokumente)
- Welche Maßnahmen können kurzfristig ergriffen werden, um die Gefahr einzudämmen?
- Wie muss der Vorfall intern und gegebenenfalls extern kommuniziert werden?
- Wie muss der Angriff dokumentiert werden?
- Welche externe Unterstützung kann angefordert werden?
- Wem muss der Schaden gemeldet werden (Versicherer, Polizei)?
Unser Tipp: Gerade KMU, die meist nicht über die personellen Kapazitäten im IT-Bereich verfügen, sollten sich Unterstützung von Expertinnen und Experten suchen, um ein ganzheitliches IT-Sicherheitskonzept zu etablieren, das alle erforderlichen Schritte umfasst – von der Identifikation der Cyberrisiken über passende Mittel der Prävention bis hin zur kontinuierlichen Überwachung und gegebenenfalls Anpassung der Maßnahmen.
Neue Spielregeln durch KI: Wie Unternehmen sich vor Cybercrime schützen können
Ein großer Treiber von Cyberangriffen ist der Einsatz von künstlicher Intelligenz (KI). Cyberkriminelle nutzen KI gezielt für Angriffe, entwickeln mit ihr Methoden weiter und maximieren dadurch ihre
Reichweiten und Gewinne. Wie Unternehmen sich gegen diese neuen Gefahren absichern können, erfahren Sie im aktuellen Trendbarometer der öffentlichen Versicherer.
Ein Muss für maximale IT-Sicherheit: Die Cyberversicherung
Eine kompetente Anlaufstelle sind die öffentlichen Versicherer, die Unternehmen rund um das Thema Cybersicherheit und speziell Cyberversicherung zur Seite stehen. Der Abschluss einer Cyberversicherung ist für alle Unternehmen sinnvoll und unerlässlich, um das Restrisiko in Sachen Cyberkriminalität abzudecken. Denn durch die oben genannten Präventionsmaßnahmen allein lässt sich keine 100-prozentige Sicherheit herstellen.
Das leistet eine Cyberversicherung
Die Leistungen einer Cyberversicherung unterscheiden sich je nach Angebot des Versicherers. Cyberversicherungsschutz, wie ihn etwa die Provinzial als Unternehmen aus der Gruppe der öffentlichen Versicherer anbietet, kann aus verschiedenen Bausteinen zusammengesetzt und auf diese Weise an den individuellen Bedarf angepasst werden. Cyberversicherungen decken unter anderem die Kosten für folgenden Schadenbeispiele ab:
- Eigen- und Drittschäden durch Cyberangriffe
- Haftungsansprüche gegen das Unternehmen (zum Beispiel bei Datenschutzverletzungen)
- IT-Forensik und Datenwiederherstellung
- Ertragsausfälle
- Cloud-Ausfälle
- Hardware-Ersatz
Umfassende Unterstützung bieten Cyberversicherungen im Schadenfall durch IT-Sachverständige zur Wiederherstellung von Daten, Rechtsbeistand im Fall juristischer Auseinandersetzungen und PR-Fachleute, wenn Krisenmanagement nötig ist. Cyberversicherungen bieten Betroffenen außerdem eine 24-Stunden-Hotline, um nach einem Cyberangriff Sofortmaßnahmen einzuleiten.
Liegt ein Cyberangriff vor, ist dies sofort an den jeweiligen Versicherer zu melden – unabhängig davon, wie viele Informationen zu diesem Zeitpunkt zum Schadenfall bekannt sind und ob überhaupt ein Schaden entstanden ist. Selbst im bloßen Verdachtsfall sollten Unternehmen ihre Versicherung darüber informieren.
Übrigens: Auch ohne einen Schadenfall profitieren KMU von einer Cyberversicherung, denn das Leistungsspektrum umfasst Präventivmaßnahmen wie Schulungen für Mitarbeitende, Tools zur Angriffserkennung und Warnung vor Cyberbedrohungen sowie Phishing-Tests. Mit unserem Versicherungsfinder ermitteln Sie ganz leicht Ihren zuständigen öffentlichen Versicherer, der Sie gerne weiter zum Thema Cyberversicherung berät.
Cyberversicherung für KMU: Wirksamer Schutz vor Cyberkriminalität
Moderner IT-Schutz, geschulte Mitarbeitende, Verhaltensregeln für den Ernstfall – selbst Unternehmen, die mit diesen Präventionsmaßnahmen vorgesorgt haben, sind vor einem Cyberangriff nicht gefeit. Die Attacken werden immer komplexer und nutzen erfolgreich kleinste Sicherheitslücken aus. Gerade für KMU können die entstandenen finanziellen Schäden zum Verhängnis werden. Um dieses Restrisiko abzudecken, ist der Abschluss einer Cyberversicherung sinnvoll.
Sie wollen Ihre Daten und Ihr Unternehmen schützen? Setzen Sie auf eine Cyberversicherung!
Cybersicherheit hat mit der Corona-Pandemie und dem deutlichen Anstieg von Homeoffice- und Remote-Arbeit ein neues Dringlichkeitslevel erreicht, gleichzeitig nimmt die Zahl der Cyberattacken auf Unternehmen jeder Größe zu.
Doch in vielen Betrieben, speziell kleinen und mittelständischen, mangelt es an erforderlichen Vorkehrungen für den Ernstfall – und selbst Unternehmen, die wichtige Präventionsmaßnahmen ergriffen haben, sind nicht vollumfänglich geschützt.
Der entscheidende Baustein im Rahmen eines IT-Sicherheitskonzepts ist eine Cyberversicherung. Kommt es zu einem Cyberangriff, decken sie das Restrisiko finanzieller Schäden ab und unterstützen Unternehmen darüber hinaus auch mit wertvollen Leistungen, selbst wenn kein Schadenfall vorliegt.
Sie möchten bestmöglich gegen Cyberkriminalität abgesichert sein? Die öffentlichen Versicherer unterstützen Sie gerne dabei, das für Ihr Unternehmen passende Versicherungsangebot zu finden.
Nutzen Sie unseren Versicherungsfinder, um über Ihren zuständigen öffentlichen Versicherer Beratung rund um das Thema Cybersicherheit und Informationen zu den verschiedenen Cyberversicherungsleistungen zu erhalten.
Alle Versicherer im Überblick
FAQ: Häufige Fragen rund um Cyberversicherungen
Wie können sich Unternehmen vor Cyberkriminalität schützen?
Es gibt einige Präventionsmaßnahmen, mit denen sich Sicherheitslücken in Unternehmen schließen lassen. Die technische Ausstattung sollte auf dem aktuellen Stand sein und leistungsstarken IT-Schutz bieten. Dazu gehören etwa Virenschutzprogramme und Firewalls. Wichtig sind auch regelmäßige Updates. Unternehmen sollten Cybersicherheit nicht nur zur Chefsache machen, sondern auch ihre Mitarbeitenden für das Thema sensibilisieren. Kommt es zu einem Cyberangriff, ist schnelles Handeln gefragt. Dazu benötigt jedes Unternehmen einen Plan, in dem beispielsweise geregelt ist, wer verantwortlich ist und welche Maßnahmen ergriffen werden müssen. Für 100-prozentigen Schutz empfiehlt sich der Abschluss einer Cyberversicherung, um das Restrisiko abzudecken.
Was ist eine Cyberversicherung und was deckt sie ab?
Eine Cyberversicherung ist eine Zusatzversicherung, die Privatpersonen und Unternehmen vor Schäden schützt, die durch Cyberkriminalität entstehen. Die Leistungen einer Cyberversicherung hängen vom jeweiligen Bedarf ab und lassen sich individuell zusammenstellen. Sie deckt unter anderem durch Cyberattacken verursachte Eigen- und Drittschäden, Haftungsansprüche gegen Unternehmen, Ertragsausfälle, Kosten für IT-Forensik und Datenwiederherstellung sowie Kosten für IT-Sachverständige, Rechtsbeistand und PR-Fachleute ab. Das Angebot umfasst außerdem in der Regel eine 24-Stunden-Hotline, Schulungen für Mitarbeitende, Tools zur Angriffsprävention und Phishing-Tests.
Wie hoch sind die Kosten für eine Cyberversicherung?
Die Kosten für eine Cyberversicherung für Unternehmen lassen sich nicht pauschal angeben. Sie hängen von verschiedenen Faktoren ab, wie dem Leistungsangebot der jeweiligen Versicherer, der Branche und möglichen Schadenvolumina. Als grober Mittelwert gilt, dass pro eine Millionen Euro Unternehmensumsatz bei einer versicherten Schadensumme von 250.000 Euro etwa 750 Euro Beitrag fällig sind.
Für wen ist eine Cyberversicherung sinnvoll?
Grundsätzlich ist eine Cyberversicherung für alle Unternehmen sinnvoll, die Daten mit Computern verarbeiten. Das ist nicht nur bei IT-Unternehmen oder Betrieben mit digitalem Geschäftsmodell, wie einem Online-Shop, der Fall. Cyberkriminalität betrifft beispielsweise auch Handwerksbetriebe, Hausverwaltungen, Universitäten, Hotels, Kanzleien oder Praxen. Sind sensible Informationen von Mitarbeitenden, Kundschaft oder Korrespondenzen nicht mehr verfügbar, kann das hohe Schäden anrichten. Vor allem kleine und mittelständische Unternehmen unterschätzen dieses Risiko und die Konsequenzen für ihren Betrieb und sollten sich mit einer Cyberversicherung absichern.
Wie sollten sich Unternehmen bei einem Cyberangriff verhalten?
Bei einem Cyberangriff sollten Unternehmen zunächst Ruhe bewahren und sich nicht von möglichen Forderungen der Angreifenden unter Druck setzen lassen. Es gilt, schnell zu handeln – und das funktioniert am besten, wenn bereits im Vorfeld die Verhaltensregeln für einen Cyberangriff festgelegt sind. So sollte etwa klar sein, wer im Unternehmen in einem solchen Fall verantwortlich ist, welche Informationen gesammelt werden müssen, mit welchen Maßnahmen die Gefahr kurzfristig eingedämmt werden kann und wer über den Cyberangriff informiert werden muss. Hat ein Unternehmen eine Cyberversicherung abgeschlossen, ist der Vorfall unverzüglich dem Versicherer zu melden.