Pro und Contra Cyberversicherungen Was Cyberversicherungen leisten können – und was nicht

Von Frank Kölmel

Fachleute sehen in Cyberangriffen die größte Gefahr für ihre Unternehmen. Als Reaktion auf dies zunehmende Herausforderung durch kriminelle Aktivitäten aus dem Netz, denken viele Unternehmen über eine Cybersecurity-Versicherung nach. Doch ähnlich einer Unfallversicherung ist diese zwar sinnvoll, wenn es zum Worst-Case kommt – den Einschlag verhindern kann sie jedoch nicht.

Anbieter zum Thema

Eine Cyberversicherung kann den monetären Schaden, der durch einen Cyberangriff entstehen, zwar teilweise auffangen – doch die Folgen eines Breaches sind meist tiefgreifender.
Eine Cyberversicherung kann den monetären Schaden, der durch einen Cyberangriff entstehen, zwar teilweise auffangen – doch die Folgen eines Breaches sind meist tiefgreifender.
(Bild: Hyejin Kang - stock.adobe.com)

Die Angst vor Cyberattacken bei den Unternehmen wächst. Und das aus gutem Grund: Laut Branchenverband Bitkom verursachten Cyberangriffe im Jahr 2020 mehr als 220 Milliarden Euro Schaden für die deutsche Wirtschaft. Demnach waren 9 von 10 Unternehmen von Cyberattacken betroffen. Insbesondere Ransomware-Angriffe sorgen dabei immer wieder für prominente Schlagzeilen, beispielsweise bei den Attacken auf die Stadt Schwerin oder die Uni Leipzig. Gute Sicherheitsvorkehrungen sind für Unternehmen heutzutage also unerlässlich.

Steigende Preise & härtere Kriterien

Eine Möglichkeit, zu der viele Organisationen greifen, um sich abzusichern, sind Cyberversicherungen. Die Idee: die Versicherung springt im Ernstfall ein und der Schaden wird aufgefangen, sollte das eigene Unternehmen doch einmal von einer Cyberattacke betroffen sein. Doch auch die Versicherer wissen um die hohe Gefahr, die von Cyberangriffen ausgeht. Mit jeder abgeschlossenen Versicherung gehen sie also ein hohes Risiko ein. Das führt dazu, dass die Preise für diese Policen in den letzten Jahren enorm angestiegen sind. Zudem sind Versicherer hier besonders wachsam und stellen strenge Kriterien für Versicherungsnehmer auf. Regelmäßige Backups oder flächendeckende Zwei-Faktor-Authentifizierung sind nur zwei Elemente aus dem langen Kriterienkatalog. So versuchen Versicherer das Risiko zu minimieren, dass ihre Klienten zum Opfer von Cyberkriminellen werden und sie für den Schaden zur Kasse gebeten werden.

Nur bedingte Sicherheit

Doch auch die Versicherungsnehmer sollten sich bewusst sein, dass eine Cyberversicherung nur zu einem gewissen Grad Sicherheit bieten kann. Qua ihrer Natur springt eine Versicherung nur im Schadensfall ein. Für Unternehmen sind sie also nur eine Absicherung für einen kleinen Teil der Folgen beim Eintreten des Worst-Case. Sie kann den monetären Schaden, der durch einen Cyberangriff entstehen, zwar teilweise auffangen – doch die Folgen eines Breaches sind meist tiefgreifender als allein kurzfristige Gewinneinbußen. Echte Sicherheit bietet nur moderne Cybersecurity – die natürlich durch Cyberversicherungen für den Worst-Case ergänzt werden kann.

Das Geld kommt zurück – das Vertrauen nicht

Zum einen muss das betroffene Unternehmen mit einem Reputationsverlust rechnen. Denn auch die Kunden der gehackten Firmen sind von den Effekten betroffen. Nicht nur können die Opfer ihre Dienstleistungen und/oder Waren für einen gewissen Zeitraum nicht anbieten – auch die Kundendaten gelangen oft in den Kescher der Cyberkriminellen. So besteht die Gefahr einer Kettenreaktion und die Kunden werden zum nächsten Opfer der Hacker. Besonders Ransomware-Gruppen verfolgen diese Strategie immer häufiger. Statt das große Unternehmen zu attackieren, welches über gut ausgebaute Sicherheitsstrukturen verfügt, werden ein oder mehrere Zulieferer oder Dienstleister angegriffen und deren Schnittstellen genutzt, um sich so Zugang zu dem eigentlichen Ziel zu verschaffen. Der Ruf des Zulieferers kann so branchenweit massiv geschädigt werden.

Organisationen, die von Hackern erfolgreich gebreacht wurden, erleiden also auch einen schwerwiegenden Vertrauensverlust. Und es ist ein schwieriger und langwieriger Prozess, dieses Vertrauen zurückzugewinnen. Darüber hinaus muss das Unternehmen damit rechnen, in Zukunft wieder ins Visier der Hacker zu geraten. Denn jene verkaufen die Daten nach erfolgreichem Angriff oft weiter, um so für eine Art Zweitverwertung zu sorgen. Kriminelle Gruppen wissen nun, dass diese Organisation anfällig für Attacken ist und nehmen sie mit auf ihre Liste der nächsten Ziele. All dies kann eine Versicherung logischerweise nicht verhindern. Im Gegenteil: Im schlimmsten Fall sorgt eine solche Versicherung sogar dafür, dass sich das Unternehmen fälschlicherweise in Sicherheit wiegt – und dadurch fahrlässig mit der eigenen IT-Security umgeht. Aber genau die eigentlichen Security-Maßnahmen müssen im Fokus der Unternehmen stehen. Egal ob Threat-Analyse, XDR, oder verbesserte Resilienz gegen Cyberattacken – all diese Themen sollten möglichst modern und umfassend umgesetzt sein. Denn beim ersten Breach mag die Versicherung eventuell noch für Schäden aufkommen – bei weiteren Attacken, die nur aufgrund einer bekannten Schwachstelle erfolgreich sind, werden Versicherer wohl nichts mehr zahlen.

Zeitgemäße Verteidigung

Wirkliche Sicherheit kann nur eine gute Cybersecurity leisten, die zudem immer auf dem neuesten Stand gehalten wird und auch kleinste Anzeichen für Cyberangriffe erkennt. Das Ziel muss es sein, es den Hackern so schwer wie möglich zu machen. Auch für Versicherungen ist dieser Punkt entscheidend. Eine gute Cyberabwehr ist meist Voraussetzung, um eine Versicherung überhaupt in Anspruch nehmen zu können.

Cyberkriminelle handeln heutzutage deutlich ausgeklügelter und ihre Aktivitäten im eigenen Netzwerk bleiben oft unter dem Radar. Indem sie nach dem Eindringen in das Netzwerk dieses oftmals zunächst nur ausspionieren und sich möglichst unauffällig verhalten, verhindern sie, dass sie entdeckt werden, bevor der Schaden angerichtet ist. Verteidiger erkennen sie so oft unter den tausenden Anfragen und Aktivitäten, die täglich in einem Firmennetzwerk stattfinden, nicht. Doch eine gute Infrastruktur, die beispielsweise mit XDR (Extended Detection and Response) arbeitet, setzt auch diese vielen kleinen Aktivitäten miteinander in Beziehung und erkennt so auch zunächst unauffällige Bedrohungsakteure.

In Sicherheit investieren lohnt sich. Immer!

Eine gute Cybersecurity, die den Hackern eine aufmerksame und wirksame Verteidigung entgegenstellt, und eine Versicherung schließen sich nicht aus. Im Gegenteil: Häufig ist ein Mindestmaß an Security Voraussetzung für Versicherungen. Doch die Kosten für beides gleichzeitig sind oft sehr hoch und nicht von jedem Unternehmen zu stemmen. In diesem Fall muss ein Unternehmen besonders kosteneffizient handeln. Dabei lässt sich festhalten, dass ein Euro in eine gute Sicherheitsstruktur hier fast immer besser angelegt ist als in eine Versicherung. Sie verhindert, dass der Schaden überhaupt erst entsteht. Dazu bieten einige Cybersicherheitsfirmen auch Geld-zurück-Garantien an, falls es doch zu einem erfolgreichen Angriff kommt. So oder so zahlen sich die Investitionen in eine gute Sicherheitsstruktur also aus und nur sie können dafür sorgen, dass Sicherheitsbeauftragte in Zukunft wieder ruhig schlafen können.

Über den Autor: Frank Kölmel ist General Manager EMEA bei Cybereason. Er bringt über 25 Jahre Branchenexpertise mit und war zuletzt bei Palo Alto Networks beschäftigt. Er führte das Unternehmen in der DACH-Region zu Rekordwachstum mit dem Aufbau der Organisation und des Partnergeschäftes. Zuvor führte Frank Kölmel die Geschäfte von FireEye in Mittel- und Osteuropa zur erfolgreichsten Region in EMEA. In diesem Zusammenhang hatte Frank Kölmel das Managed Security Services-Angebot von FireEye in Deutschland ins Leben gerufen.

(ID:48191047)