Ist eine Cyberversicherung für dein Unternehmen sinnvoll? Ja oder Nein?

Digitalisierung von Geschäftsprozessen, hybrides Arbeiten und ausgeklügelte Attacken: Die Cyber-Bedrohungslage ist und bleibt besonders angespannt. Für Unternehmer ist es daher unerlässlich, ein Risikomanagement zu betreiben und die IT-Sicherheit im Unternehmen laufend zu erhöhen. Und dennoch kann eine 100 %-ige Sicherheit nicht gewährleistet werden. Daher gibt es Versicherungen, die im Falle eines Schadens einspringen.

Wir haben im Folgenden gute Gründe für eine Cyberversicherung zusammengetragen und zeigen auf, wieso eine Police alleine wirkungslos ist.

Cyberversicherungen schützen dich und dein Unternehmen vor den Folgen von Cyberangriffen, nicht vor den Attacken selbst. Dabei übernimmt die Versicherung nicht nur die Vermögensschäden. Ein großer Vorteil ist das Netzwerk aus Expertinnen und Experten, welches dir im Schadensfall zur Verfügung steht – von IT-Forensik-Analysten bis zu Datenschutzanwälten.

Die Inhalte der Versicherungen variieren je nach Anbieter und sind in der Regel Verhandlungsmasse. Dabei decken einige Policen sowohl Eigen- als auch Drittschäden ab. Eigenschäden umfassen die direkten Kosten, z.B. Kosten für Lösegeld, Rechtsberatung, Forensik, Kundenbenachrichtigungen und PR-Maßnahmen. Drittschäden beziehen sich in der Regel auf Kosten, die z.B. bei Personen oder Unternehmen entstanden sind.

Das Prinzip einer Cyberversicherung funktioniert dabei ähnlich wie eine Autopolice: Wer keinen TÜV hat und mit einem nicht verkehrssicheren Wagen einen Unfall baut, wird von keiner KfZ-Versicherung Geld bekommen. Und wessen IT-Sicherheit nicht den aktuellen Standards entspricht, wer keine Backups macht und nicht regelmäßig die Fehlerprotokolle prüft, wird es schwer haben, im Schadensfall Geld von der Cyberversicherung zu kassieren.

Die meisten Anbieter von Cyberversicherungen fordern Nachweise über bestehende Schutzkonzepte in den Unternehmen – noch bevor es zu einem Vertragsabschluss kommt.

Der Gesamtverband der Deutschen Versicherungswirtschaft (GDV) rät dazu, folgende zehn Punkte in Sachen IT-Sicherheit umzusetzen, da diese von vielen Versicherern als Voraussetzung für den Abschluss einer Police gelten.

1. • Deine Antivirenprogramme sollten immer aktuell sein.
   • Mindestens einmal wöchentlich muss eine umfassende Datensicherung erfolgen.
   • Updates und Sicherheits-Patches für Software und Plugins sind möglichst direkt nach dem Erscheinen einzuspielen.
   • Firmen-Server müssen durch eine Firewall sowie Security-Monitoring- und Intrusion-Prävention-Lösungen gesichert sein.
   • Es muss IT-Administratorenzugänge geben und Zugriffsrechte solltest du strikt beschränken.
   • Mitarbeiterzugänge sollten mit eigenen Zugangsdaten eingerichtet werden und Sammel-Accounts mit Standardpasswörtern sollten vermieden werden.
   • Deine Mitarbeiter sollten komplexe Passwörter benutzen (Mindestlänge, Ziffern, Groß-/Kleinschreibung, Sonderzeichen, regelmäßige Änderung). Dazu verwendet das Unternehmen idealerweise einen Passwort Manager
   • Mobilgeräte sowie Datenträger müssen voll verschlüsselt und durch eigene Passwörter beziehungsweise Zwei-Faktor-Authentifizierung (2FA) gesichert sein.
   • Manipulationen an der Sicherungskopie gilt es zu verhindern, indem sie physisch getrennt vom Server aufbewahrt wird. Bei kritischen Daten eignet sich die sogenannte 3-2-1-Regel: Drei Kopien sollten auf zwei unterschiedlichen Medien im Unternehmen und mindestens eine Kopie außerhalb des Unternehmens gespeichert sein.
   • Die Daten der Sicherungskopien sollten regelmäßig darauf getestet werden, ob sie tatsächlich wiederhergestellt werden können.