. Herr Lundgren ist seit 14 Jahren bei der Allianz beschäftigt. Sieben Jahre lang war er für Sachversicherungen zuständig und seit Anfang des Jahres ist er der Inhaber der Allianz Versicherungsagentur Scheuermeyer.

Die Anzahl der erfassten Straftaten im Bereich Cyberkriminalität hat sich von 2018 bis 2021 verdoppelt. Es kennt so ziemlich jeder ein Unternehmen, das schon mal Opfer einer Cyberattacke wurde. Im Jahr 2022 waren laut der Experten der Allianz Global Corporate & Specialty Cybervorfälle das größtes Geschäftsrisiko, noch deutlich vor Naturkatastrophen oder dem Ausbruch einer weiteren Pandemie. Der jährliche Schaden, der durch Cyberkriminalität in Deutschland entsteht, wird auf etwa 8,5 Milliarden Euro geschätzt.

Um ein unverbindliches Angebot zu bekommen sind nicht so viele Daten erforderlich. Für die „grobe Hausnummer“ sind erst einmal nur die Umsatzgröße, Vorschadenssituation und Versicherungssumme relevant.

Was fällt alles unter den Begriff Cyberkriminalität?

Cyberkriminalität ist ein Sammelbegriff für alle Arten von Kriminalität, die über das Internet oder andere Computertechnologien begangen werden. Beispiele hierfür sind Hacking, Phishing, Identitätsdiebstahl, Datendiebstahl, Cybermobbing, Cyberstalking, Cyberterrorismus und viele andere.

Wie kann ein Unternehmen sich am besten vor Cyberkriminalität schützen?

Unternehmen können sich am besten davor schützen, indem sie eine starke Firewall implementieren. Hier rät Herr Lundgren den Unternehmen, wirklich Geld zu investieren. Das zweite ist ein effektives Passwort-Management-System. Gerade das Thema Passwörter wird in den Unternehmen häufig vernachlässigt. Man sollte wöchentlich die Passwörter ändern und sie möglichst sicher gestalten. Unternehmen sollten auch regelmäßig Backups ihrer Daten erstellen und sicherstellen, dass alle Systeme und Softwares auf dem neuesten Stand sind. Darüber hinaus sollten Unternehmen eine starke Datenschutzrichtlinie implementieren, die ihnen hilft, die Sicherheit ihrer Daten zu gewährleisten. Dazu gehört einen Datenschutzbeauftragten zu benennen. Dieser sollte mindestens einmal im Jahr auch die Mitarbeitenden schulen und auch beispielsweise regelmäßig Wiederherstellungstests der Backups durchführen. Last but not least sollte ein IT-Notfallplan aufgestellt werden, den alle Mitarbeiterinnen und Mitarbeiter kennen sollten. In diesem Notfallplan wird beschrieben, was zu tun ist, wenn etwas passiert.

Trotz aller Vorsichtsmaßnahmen kann es durch die eine Lücke, an die man nicht gedacht hat, zu Cyberangriffen kommen. Und der Schaden, der dann entsteht, kann enorm sein. Es lohnt sich daher für Unternehmen, sich mit einer Cyberversicherung vor den Folgen einer Cyberkriminalität abzusichern. Diese Versicherungen bieten Unternehmen Schutz vor den finanziellen Verlusten, die durch Cyberkriminalität entstehen können, einschließlich der Kosten für die Wiederherstellung von Daten, die durch einen Angriff verloren gehen.

Welche Unternehmen sollten sich denn vor Cyberkriminalität und dessen Folgen absichern?

Cyberangriffe, bei denen Schadsoftware in die Unternehmen geschleust wird, die Daten verschlüsselt und Lösegeld erpresst wird, betreffen Unternehmen aller Größen und Branchen. Die Frage, die sich Unternehmen stellen sollten, ist: Kann ich morgen weiterarbeiten, wenn der Computer nicht mehr funktioniert. Diese Frage wird heute selbst ein kleiner Handwerksbetrieb in aller Regel mit „nein“ beantworten. Es ist längst nicht mehr so, dass nur Großunternehmen von solchen Angriffen betroffen sind, sondern es betrifft auch den Mittelstand oder sogar Kleinstunternehmen.

Herr Lundgren führte hierzu ein Beispiel von einer Bauschreinerei an, das er erlebt hat: „Bei einer Schreinerei denkt man erst einmal überhaupt nicht an IT, weil sie handwerklich auf der Baustelle tätig sind. Aber hier werden die Handwerker über eine Software informiert, wann sie an welcher Baustelle sein müssen und um was es da geht, die Kundenadressen sind im CRM-System usw.“ Wenn all diese Informationen nicht mehr verfügbar sind, steht der Betrieb erst einmal still und das kann sehr teuer werden. Aus diesem Grund sollte sich jedes Unternehmen zumindest informieren.

Welche Versicherungsunternehmen bieten Cyberversicherungen an?

Es gibt eine Vielzahl von Unternehmen, die Cyberversicherungen anbieten, darunter: Allianz, Chubb, AXA XL, AIG, Zurich, Liberty Mutual, Beazley, CNA, Hiscox, Marsh, Nationwide, Travelers, USAA, CyberPolicy, CyberScout und viele mehr.

International ist der Marktführer bezüglich Cyberversicherungen die AIG (American International Group). Der Marktführer in Deutschland ist die Allianz.

Was deckt eine Cyberversicherung alles ab?

Die Cyberversicherung kann verschiedene Bausteine enthalten. Hier lohnt es sich, ganz genau hinzusehen, damit im Schadensfall auch wirklich eine Leistung erfolgt. Typische Bausteine sind etwa die Betriebsunterbrechung, wenn der Betrieb nach dem Cyberangriff stillsteht. Wichtig ist aber auch die Fehlbedienung, wenn beispielsweise ein Mitarbeiter einen privaten USB-Stick in ein Dienstgerät gesteckt hat und dadurch etwas passiert. Aber auch Erpressung bis hin zu Telefonmehrkosten, forensische Dienstleistungen, Systemverbesserungen nach einem Schadensfall und vieles weitere kann versichert werden.

Bei der Auswahl der „Bausteine“ der Versicherung sollten Unternehmen einige Stolperfallen kennen, so Lundgren.Der erste und wichtigste Punkt ist der „Selbstbehalt“. Hier gibt es verschiedene Varianten: Die Euro-Selbstbehaltslösung ist wie beim Autounfall – die ersten 1000 Euro zahle ich selbst, danach übernimmt die Versicherung. Es gibt aber auch versteckte Selbstbehalte wie etwa die Wartefrist bei einer Betriebsunterbrechung. Dies bedeutet, dass zwei oder drei Tage Wartefrist als Selbstbehalt im Kleingedruckten stehen. Für diese Tage stünde dann keine Entschädigung zur Verfügung.  Darüber hinaus sollte man genau hinsehen, ob externe Dienstleister mit abgesichert sind. Wenn die Unternehmens-IT nicht selbst, sondern durch einen Dienstleister betreut wird, sollte dieser mit abgesichert sein. Zudem ist Online-Wirtschaftskriminalität in den meisten Fällen nicht mit abgesichert. Darunter versteht man Betrugsszenarien, etwa mit einem „Fake-Customer“, bei dem der Betrüger so tut, als sei er ein Kunde. Die Mails sehen häufig täuschend echt aus. Hier bittet der „Kunde“ z. B. um die Korrektur der Kontoverbindung. Für die Absicherung dieses Falls benötigt man eine Vertrauensschadenversicherung, was in der Regel nicht durch die Cyberversicherung abgedeckt wird. Florian Lundgren rät den Unternehmen daher dazu, unbedingt erst einen Beratungstermin beim Versicherer wahrnehmen.

Ist man mit cloudbasierten Services auf der sicheren Seite? Und haftet da der Cloudanbieter bei Schäden?

Es ist mittlerweile so, dass Backups – egal ob über die Cloud oder lokale Server nur noch bedingt etwas bringen. Hacker benutzen mittlerweile einen einfachen Trick: den sogenannten „schlafenden Trojaner“. Dieser wird beispielsweise über eine Mail aufgespielt und ruht dann 6 Monate oder ein Jahr und wacht dann auf. Er ist in der Zwischenzeit natürlich überall mitabgespeichert worden. Das bedeutet, dass alle Backups, egal wo sie liegen, hinfällig sind. Hier haftet der Cloudanbieter zu 99 % nicht. Er würde nur haften, wenn er verantwortlich wäre, dass der Virus eingedrungen ist. Da es in aller Regel über die Firma eingespielt wird und nicht über den Cloudanbieter, haftet das Unternehmen selbst.

Kann jedes Unternehmen ohne weiteres eine Cyberversicherung abschließen?

Bevor die Versicherung abgeschlossen werden kann, muss der Versicherer das Risiko einschätzen können. Hierfür muss der IT-Leiter einen umfangreichen Fragebogen ausfüllen. Die Größe des Fragebogens hängt von der Größe des Unternehmens ab. Bei großen Unternehmen ist es ein ganzes Excel-Tool das befüllt werden muss und hierzu ist immer der IT-Fachmann notwendig. Der Geschäftsführer kann die Fragen in der Regel nicht beantworten, weil sie sehr tiefgehend sind. Danach entscheidet sich, ob das Unternehmen direkt versicherbar ist, wie beantragt oder ob noch nachgebessert werden muss. Es kann auch sein, dass ein Risikozuschlag verlangt wird oder das Unternehmen sogar nicht versicherbar ist. Das Gute an diesem Fragebogen ist, dass die Unternehmen mit dem Ergebnis des Fragebogens eine gute Einschätzung bekommen, wie sicher ihr IT-System ist.

Bei kleinen Unternehmen sind die Fragebögen wesentlich abgespeckter, da die Schadenssumme, z. B. wenn der Betrieb für ein paar Tage stillsteht, bei einem 10-Mann-Betrieb auch deutlich kleiner ist als in einem größeren mittelständischen Unternehmen oder gar einem Konzern.

Was sollte man als erstes tun, wenn einem etwas ungewöhnliches auffällt?

Viele machen den Fehler aus lauter Panik den Computer auszuschalten oder sogar den Stecker ziehen. Das ist jedoch das denkbar schlechteste, was man machen kann, weil man damit der IT-Forensiker viele Möglichkeiten nimmt. Man bewahrt am besten erst einmal Ruhe und ruft dann die Hotline des Versicherers an. Hier haben Sie gleich einen IT-Fachmann am Telefon. Dieser schaut sich dann die Lage an und entscheidet, was zu tun ist, ob er z. B. vorbeikommt oder ob man das Problem telefonisch per Fernwartung lösen kann. Bei einer Lösegelderpressung wird abgewogen, ob besser das erpresste Geld gezahlt wird, oder ob der Schaden in absehbarer Zeit behoben werden kann. Diese Dinge werden vom Versicherer entschieden.

Was haben Cyberversicherungen mit der Bonität eines Unternehmens zu tun?

Cyberversicherungen werden zur Beurteilung der Bonität in Zukunft noch stärker im Rahmen der ESG-Kriterien nachgefragt werden. Gerade im Bereich „Governance“ wird es wahrscheinlich auch von den Kreditgebern oder auch der Creditreform, zur Bonitätsbeurteilung nachgefragt werden. Eine Cyberversicherung kann Unternehmen helfen, das Risiko im Zusammenhang mit Cyberbedrohungen zu minimieren und sicherzustellen, dass sie auf einem hohen ESG-Niveau operieren.