Viele Unternehmensführer und Manager bewerten Cyberangriffe mittlerweile als größtes Risiko für den Geschäftsablauf. Das trifft zunehmend auch kleine und mittlere Unternehmen, die tatsächlichen und potenziellen Schäden sind immens. Daher brauchen alle Unternehmen – ob im produzierenden Gewerbe oder in der Dienstleistung – eine umfassende Cyberversicherung, die bei diesen Fällen eintritt und auch die daraus folgenden Schwierigkeiten wie Management-Haftung oder Reputationsschäden reguliert.

Es klingt für viele noch immer wie die Handlung eines spannenden Thrillers beziehungsweise Zukunftsmusik, die weitab von der klassischen mittelständischen Wirtschaft in Deutschland spielt. Dabei sind Wirtschaftsspionage, Hacking, Datenklau, Einschleusen von Trojanern oder sogar das Lahmlegen von ganzen IT-Systemen keine Erfindung von sehr fantasievollen Autoren oder nur das Problem global vernetzter Großkonzerne. Sondern diese Cyberrisiken können jedes Unternehmen treffen, das über seine IT ans World Wide Web angebunden ist. Und das ist im Jahr 2020 eben jedes Unternehmen.

Die Vorfälle häufen sich. Cyber-Kriminalität kostet heute schätzungsweise 520 Milliarden Euro pro Jahr, gegenüber 385 Milliarden Euro im Jahr 2014 (Quelle: Center for Strategic and International Studies). Statistisch gesehen war in den vergangenen beiden Jahren jedes zweite Unternehmen von einer zielgerichteten Attacke betroffen. Das geht aus einer Studie des Branchenverbandes Bitkom hervor. Danach beläuft sich der Schaden, der jedes Jahr durch Wirtschaftsspionage, Sabotage und Datendiebstahl entsteht, auf rund 55 Milliarden Euro.

Cyber: Die Bedrohungslage hat sich verschärft

Das Bundesamt für Sicherheit in der Informationstechnik schreibt: „Trotz der großen Anzahl unterschiedlicher Angriffsziele und möglicher Angriffsmethoden kann die Motivation hinter einem Cyberangriff häufig auf Geld, Informationsbeschaffung, Sabotage, Einflussnahme oder Durchsetzung politischer Interessen zurückgeführt werden.“ Eine weitere Einschätzung: „Kein Unternehmen in keiner Branche ist vor Cyberkriminellen geschützt. Die Bedrohungslage hat sich trotz großer Anstrengungen seitens der Wirtschaft, der Wissenschaft und des Staates verschärft: Abwehrmaßnahmen und die Sicherheitsinformationstechnologie haben nicht Schritt gehalten mit Cyberangriffen“, sagt Dr. Christian Endreß, Hauptgeschäftsführer des Wirtschaftsschutzverbandes ASW West (Allianz für Sicherheit in der Wirtschaft).

Dies ist mittlerweile auch bei Unternehmern und Geschäftsleitern angekommen, wie Ergebnisse des diesjährigen „Allianz Risk Barometer“ zeigen. Cybervorfälle sind demzufolge erstmals das wichtigste Geschäftsrisiko für Unternehmen weltweit. Im aktuellen Report verdrängen IT-Gefahren (39 Prozent der Antworten) das Risiko einer Betriebsunterbrechung (37 Prozent der Antworten) auf den zweiten Platz. Betriebsunterbrechung hatte seit 2013 den Spitzenplatz im Ranking inne, damals lag Cyber noch mit sechs Prozent der Antworten auf Platz 15. „Das Allianz Risk Barometer 2020 zeigt, dass Cybergefahren und der Klimawandel die beiden großen Herausforderungen für Unternehmen im neuen Jahrzehnt sind“, heißt es dazu bei Allianz Global Corporate & Specialty, das die Studie jährlich durchführt und zuletzt einmal mehr rund 2.700 Teilnehmern aus über 100 Ländern befragt hat. Unternehmen weltweit sehen sich laut der Studie mit immer größeren und teureren Datenskandalen, einer Zunahme von Cybererpressung- und Spoofing-Vorfällen, aber auch mit höheren Bußgeldern aufgrund strengerer Datenschutzbestimmungen und Schadenersatzklagen konfrontiert. Ein schwerer Datendiebstahl – mit mehr als einer Million Datensätzen – kostet heute durchschnittlich 42 Millionen Dollar, was einem Anstieg von acht Prozent im Vergleich zum Vorjahr entspricht. „Cybervorfälle verursachen immer größere Schäden. Ransomware-Angriffe richten sich zunehmend gegen große Unternehmen und die Forderungen bei Erpressungen steigen. Vor fünf Jahren ging es um einige zehntausend Euro, heute fordern Hacker immer öfter Millionenbeträge“, heißt es weiterhin.

Viele Unternehmen sind nicht gegen Angriffe gewappnet

Auch eine Untersuchung der Beratungsgesellschaft PwC zeigt die Bedeutung von Cybervorfällen für Unternehmen. Jede zweite Firma sei in den vergangenen beiden Jahren Opfer von Cyberattacken geworden, belegt die PwC-Studie zur Wirtschaftskriminalität 2018. „Die Kriminellen nutzen dabei neue Angriffsflächen im Cyberspace geschickt aus, die durch die Digitalisierung des Arbeitsplatzes, Industrie 4.0 und das Internet der Dinge entstehen. Organisationen sind dadurch anfälliger für Cyberangriffe. Zu den häufigsten Arten von Cyberkriminalität gehören Computer-Betrug, die Manipulation von Konto- und Finanzdaten sowie das Ausspähen und Abfangen von Daten.“

Das große Problem: „Viele Unternehmen haben es bislang versäumt, sich optimal für diese Gefahren zu wappnen. Sie sind zu nachlässig im Umgang mit digitalen Bedrohungen. Eine globale PwC-Studie zeigt: Fast jedem zweiten Unternehmen weltweit gelingt es nicht, sich adäquat auf digitale Bedrohungen vorzubereiten. Und nur rund die Hälfte hat widerstandsfähige und umfassende Maßnahmen etabliert, um sich vor Angriffen zu schützen.“

Daher sind Unternehmen gefordert, ihre IT-Systeme professionell abzusichern und kontinuierlich zu überwachen, um sich vor solchen Attacken zu schützen und ihre Arbeitsfähigkeit sicherzustellen. Denn kaum ein Unternehmen kann heute noch für seine internen und externen Prozesse auf eine funktionierende IT verzichten. Zu groß ist die Abhängigkeit von der IT, zu groß sind die wirtschaftlichen Verluste bei Ausfällen.

Cyberversicherung als Basis für den Unternehmensschutz

Experten schätzen mittlerweile das Risiko von Cybervorfällen so hoch ein, dass Unternehmen nur noch in folgende zwei Risikogruppen eingeteilt werden können: von einer Cyberattacke bereits betroffene Unternehmen und zukünftig von einem Hackerangriff betroffene Unternehmen. Ähnlich heißt es auch bei PwC: „Tagtäglich greifen Hacker die Netzwerke und Systeme von Unternehmen an – leider häufig mit Erfolg. Davon sind alle Branchen betroffen. Die Frage ist deshalb nicht mehr ob, sondern vielmehr wann man Opfer eines Angriffs wird.“ Kurz gesagt sind die meisten kleinen und mittleren Unternehmen in Deutschland auf derartige Angriffe nicht vorbereitet. Notfallpläne, Workflows und Arbeitsanweisungen sind entweder gar nicht oder nur rudimentär vorhanden, sodass diese Firmen für Cyberkriminelle ein leichtes Ziel abgeben.

Als unabhängiger Versicherungsmakler und Spezialist für besondere Herausforderungen bietet Helmig & Partner mit der Cyberversicherung einen sinnvollen und umfassenden Schutz vor finanziellen Folgen eines Hackerangriffes. Der Abschluss einer Versicherung gegen die Folgen von Cyberkriminalität stellt die Basis für die Absicherung des Unternehmens dar. Die Schäden bei Cybervorfällen reichen von einer Betriebsunterbrechung und Datenrechtsverletzungen über Erpressung und Verlust von Betriebsgeheimnissen bis hin zu schweren Schäden an der IT-Infrastruktur und Maschinen. Neben den unmittelbaren finanziellen Konsequenzen können Vertrauensverlust und Imageschäden die Tragfähigkeit eines Geschäfts nachhaltig schädigen. Und Unternehmensorgane setzen sich selbst weitreichenden Haftungsrisiken aus: Vertragliche Mängelrechte, Schadensersatzanspruch wegen Verletzung der Pflicht zur Rücksichtnahme auf die Rechtsgüter des Vertragspartners, Schadensersatz wegen Verzögerung der Leistung, Schadensersatz bei Verstoß gegen das Telekommunikationsgesetz, Verletzung von IT-Sicherheitspflichten, Verletzung des Allgemeinen Persönlichkeitsrechts – der persönlichen Haftung und daraus resultierenden zivilrechtlichen Schadensersatzansprüche sind bei relevanten Cybervorfällen Tür und Tor geöffnet.

Lösung von Cybervorfällen kann sehr viel Geld kosten

Um den Kunden den bestmöglichen Versicherungsschutz und die größtmögliche Expertise zur Verfügung stellen zu können, hat Helmig & Partner für diesen Versicherungszweig eine Kooperation mit dem Spezialmakler Erichsen GmbH aus Essen geschlossen. Der Versicherungsmakler gehört zu den führenden Spezialisten für die Absicherung von Cybervorfällen, Datenschutzrechtsverletzungen und IT-bezogenen Erpressungen, sodass Helmig & Partner-Kunden auf eine hohe Expertise in diesem Segment zugreifen können. Eine individuelle Police sichert flexibel und umfassend gegen Eigenschäden, Schadenersatzansprüche Dritter und weitere bei derartigen Szenarien anfallende Aufwendungen ab.

Dazu zählen beispielsweise die Säuberung und Wiederherstellung infizierter Datenbestände, der Ertragsausfall, die Betriebsunterbrechung Maßnahmen zur provisorischen Aufrechterhaltung des Betriebs, IT-forensische Untersuchungen, Krisenkommunikation, PR-Beratung oder auch die Erfüllung der gesetzlichen Informationspflicht gegenüber betroffenen Kunden und Geschäftspartnern. Ebenfalls spielen die Prüfung und Abwehr unberechtigter Schadenersatzansprüche beziehungsweise Befriedigung berechtigter Schadenersatzansprüche, eine professionelle Rechtsberatung/die strafrechtliche Verteidigung (Internet-Straf-Rechtsschutz) und die Erfüllung von Melde- und Benachrichtigungspflichten im Datenschutzvorfall regelmäßig eine Rolle. Diese Maßnahmen verursachen erhebliche Kosten, die über eine Cyberpolice aufgefangen werden können.

Damit kombiniert die Cyberversicherung Elemente Haftpflichtversicherung, einer Betriebsausfallversicherung und einer Datenversicherung für Dritt- und Eigenschäden in Form von Vermögensschäden. Es ist wichtig, dass Unternehmer und Geschäftsleiter dies ernstnehmen. Schließlich decken die typischen Betriebsversicherungen wie Betriebshaftpflicht oder Vermögensschadenhaftpflicht die Folgen von Cybervorfällen nur eingeschränkt.

Wir von Helmig & Partner sind Ihr Begleiter in diesem maßgeblichen Zukunftsfeld.