Cyber-Security: Der teure Angriff auf den Mittelstand

Die Bedrohung ist real, doch der Mittelstand in Deutschland ist schlecht vorbereitet: Mehr als jedes zweite kleine und mittlere Unternehmen (KMU) wird von Hackern angegriffen – zum Teil mehrmals im Jahr. Der Kampf gegen Cyberbedrohungen gehört zu den wichtigsten IT-Sicherheitsaufgaben für KMU. „Jedes Unternehmen sollte regelmäßig Stresstests durchführen und einen Notfallplan aufstellen“, rät Payam Rezvanian, Mitglied der Geschäftsleitung bei Finanzchef24.

Geschäftsführer und Abteilungsleiter haften bei Cyberattacken

Viele kleine und mittlere Unternehmen tun sich jedoch mit dem ersten Schritt schwer, so die Einschätzung des Münchener Insurtechs. Es sei wichtig, zunächst kritische Prozesse und Risiken zu quantifizieren. „Außerdem müssen Geschäftsführer begreifen, dass Informationssicherheit nicht nur eine Aufgabe der IT-Abteilung ist“, mahnt Rezvanian. Tatsächlich können CEO und IT-Leiter künftig persönlich haftbar gemacht werden, wenn es zu ernsthaften Schäden kommt und das betroffene Unternehmen weder eine Cyberversicherung abgeschlossen noch sich adäquat geschützt hat. Das sieht die zweite Richtlinie zur Netzwerk- und Informationssicherheit (NIS-2-Richtlinie) vor, die im Herbst in Kraft tritt.

Jeder zweite Antrag auf eine Cyberpolice wird abgelehnt

Der Abschluss einer Cyberversicherung ist allerdings kein Selbstgänger – und könnte nach Einschätzung von Finanzchef24 durch die NIS-2-Richtline ab Oktober noch schwieriger werden. Unternehmen müssen sich auf strengere gesetzliche Anforderungen und bei Verstößen auf hohe Bußgelder einstellen. Schon heute lehnen Cyberversicherer bei jedem zweiten Unternehmen mit mehr als zehn Millionen Euro Jahresumsatz den entsprechenden Policenantrag ab.

Versicherer bieten Antragsmodelle für Cyberpolicen an

Finanzchef24 rät Kleinst- und Kleinunternehmen, einen Angebotsprozess für IT-Cyberversicherungen zu durchlaufen. Einige Versicherer bieten sogenannte Antragsmodelle an: Dort können Unternehmer Angaben zur eigenen IT-Sicherheit machen und prüfen, ob sie eine Versicherung erhalten würden. So wird einerseits verhindert, dass Anträge abgelehnt werden, und andererseits erhält das Unternehmen Hinweise auf wesentliche IT-Schwachstellen. Das ebnet den Weg für einen neuen Antrag mit verbesserter IT-Sicherheit.

Cybersicherheit ist ein fortlaufender Prozess

Versicherer setzen wegen der steigenden Schadenfälle Firewalls ebenso voraus wie einen aktuellen Stand der IT-Technik. Darüber hinaus passen Versicherer laut Finanzchef 24 fortlaufend ihre Konditionen an: Die Prämien steigen, die Deckungssummen sinken, und auch die Anforderungen an die IT-Sicherheit wachsen. Doch eine Absicherung ist nach Einschätzung des Münchner Insurtechs sinnvoll: Im anerkannten Schadenfall übernimmt der Versicherer die Kosten für die IT-Wiederherstellung, die Kundenkommunikation sowie die Betriebsunterbrechung. „Im Schnitt dauert eine Betriebsunterbrechung nach einem schweren Hackerangriff drei bis sechs Wochen. In dieser Zeit fällt einerseits das Geschäft aus, anderseits laufen weiterhin die Fixkosten etwa für die Gehälter“, sagt Frank Gottheil, Senior Firmenkundenberater bei Finanzchef24.

Hohe Kosten: Alle betroffenen Personen müssen benachrichtigt werden

Die Wiederherstellung der IT-Daten wird in der Regel mit 30 bis 50 Prozent des IT-Wertes angesetzt. Nicht zu unterschätzen sind die Benachrichtigungskosten: Laut DSGVO sind Unternehmen nach einem Cyberangriff verpflichtet, alle betroffenen Personen – also etwa Kunden, Interessenten und Zulieferer – zu benachrichtigen. Die Kosten dafür liegen bei 20 bis 40 Euro je personenbezogenen Datensatz. Hinzu kommen Kosten für die weitere Kommunikation wie Öffentlichkeitsarbeit, um mögliche Reputationsschäden zu minimieren. Immer weniger Versicherer sind indes bereit, für Lösegeldforderungen aufzukommen.

Modularer Schutz und Beratung durch einen kompetenten Makler

Grundsätzlich rät Finanzchef24 zur eigenen Cyberversicherung, in der sich Risiken modular versichern lassen. Eine deutlich günstigere Option können Schutzbriefe sein, über die im Ernstfall vor allem eine beratende Unterstützung erfolgt. Weniger ratsam seien an die Betriebshaftplicht gekoppelte Zusatzverträge. Grundsätzlich empfehle sich der Gang zum Makler, der einen breiten Marktüberblick habe und mit Fachwissen beraten kann.