Cyber-Versicherung - Deckungsschutz und Grenzen bei Cyberangriffen
Cyber-Versicherungen decken finanzielle Schäden durch Cyberangriffe ab: Betriebsunterbrechung, Datenwiederherstellung, Lösegeldzahlungen (Ransomware), Haftpflicht gegenüber Dritten (DSGVO-Bußgelder nur teilweise!), IT-Forensik, Krisenmanagement und Benachrichtigungskosten. Voraussetzung: Nachweis eines Mindestsicherheitsstandards (MFA, Backup-Konzept, Patch-Management). Policen unterscheiden First-Party- und Third-Party-Deckung. DSGVO-Bußgelder sind in Deutschland nicht versicherbar.
Cyber-Versicherungen sind kein Ersatz für IT-Sicherheit - aber sie gehören zur Restrisiko-Strategie jedes Unternehmens. Wer glaubt, eine Police ersetzt die technischen Schutzmaßnahmen, riskiert sowohl den Versicherungsschutz als auch die Existenz des Unternehmens.
Was Cyber-Versicherungen abdecken
First-Party-Schäden (eigene Schäden)
Betriebsunterbrechung:
- Entgangener Gewinn während des Ausfalls
- Typisch: Ransomware-Angriff legt Produktion lahm
- Wartezeit: meist 8-12 Stunden (Selbstbehalt)
- Maximaldauer: 30-180 Tage (je nach Police)
Datenwiederherstellung:
- Kosten für Backup-Restore
- Wenn kein Backup: Datenrekonstruktion (teuer!)
- Inkl. Mehraufwand für manuelle Nacharbeit
Lösegeldzahlungen (Ransomware):
- Viele Versicherer: JA, Lösegeld versichert
- ABER: OFAC-Sanktionsliste prüfen (REvil, Darkside)
- Praxis: Versicherer koordiniert Zahlung über Spezialfirma
- Trend 2024: Versicherer zahlen seltener (schlechte Erfahrungen)
IT-Forensik:
- Externe Incident-Response-Dienstleister
- Breach-Untersuchung: Was wurde gestohlen?
- Kosten: €5.000-50.000 (je nach Aufwand)
Krisenmanagement / PR:
- Kommunikationsagentur
- Pressemitteilungen, Kundenkommunikation
- Reputationsschutz
Benachrichtigungskosten (DSGVO Art. 33/34):
- Anschreiben betroffener Personen
- Bei 10.000 Betroffenen: erhebliche Kosten!
- Inkl. Call-Center für Rückfragen
Third-Party-Schäden (Haftpflicht)
- Kunden/Partner, die durch den Vorfall geschädigt wurden
- DSGVO-Schadensersatzansprüche (Art. 82 DSGVO)
- Vertragliche Haftung gegenüber Kunden
Wichtig: DSGVO-Bußgelder (Art. 83) sind nicht versicherbar in Deutschland (Versicherung behördlicher Strafen ist sittenwidrig, §138 BGB).
Voraussetzungen für Versicherungsschutz
Technische Mindestanforderungen
MFA (Pflicht!):
- Remote Access: VPN + MFA (z.B. Authenticator App)
- E-Mail (Microsoft 365/Google Workspace)
- Admin-Konten: ohne Ausnahme MFA!
- Fehlt MFA: Versicherer kann Leistung verweigern!
Backup:
- Regelmäßige Backups (mind. täglich für kritische Systeme)
- Offline-/immutable Backups (getrennt vom Produktionsnetz)
- Backup-Test nachweisbar (DR-Test mind. jährlich)
- Ohne nachgewiesenes Backup-Konzept: Ablehnung oder Ausschluss
Patch-Management:
- Kritische Patches: innerhalb 72h eingespielt (dokumentiert)
- End-of-Life-Systeme: Risiko muss begründet sein
- Systeme ohne Support: oft explizit ausgeschlossen
EDR/AV:
- Endpoint Detection & Response auf allen Systemen
- Aktuell und aktiv (kein abgelaufener Vertrag!)
Nachweis im Schadensfall
- Versicherer prüft: Lagen alle genannten Maßnahmen wirklich vor?
- Falschaussagen beim Antrag → Leistungsverweigerung (Arglist!)
- “War MFA überall aktiv?” → ein ungesichertes RDP reicht für Ablehnung
Typische Ausschlüsse
Was Cyber-Policen nicht abdecken:
- Staatliche Cyberangriffe (Kriegsklausel!): NotPetya 2017: Versicherer wollten nicht zahlen; “Act of War” Klausel: sehr umstritten; Lloyd’s 2023: explizite Kriegsklausel eingeführt
- Vor Versicherungsbeginn bekannte Sicherheitslücken
- Fahrlässige Nicht-Implementierung zugesicherter Maßnahmen
- DSGVO-Bußgelder (behördliche Strafen, §138 BGB)
- Entgangener Gewinn durch Reputationsschäden (langfristig)
- Kosten für Sicherheitsverbesserungen nach dem Vorfall
- Insider Threat (Diebstahl durch eigene Mitarbeiter, teils ausgeschlossen)
NotPetya-Präzedenzfall:
- Mersk: $1,4 Mrd Schaden, Versicherer wollten nicht zahlen
- Argument: staatlich gesteuerter Angriff (Russland/Ukraine)
- Gerichte: teils zugunsten Versicherungsnehmern
- Resultat: Kriegsklauseln wurden präzisiert und verschärft
Markt und Preis-Leistungs-Orientierung
Hauptanbieter (DE/DACH)
| Anbieter | Produkt | Zielgruppe |
|---|---|---|
| Allianz | CyberSchutz | KMU + Enterprise |
| AXA | Cyber & Data Risks | mit Response-Netz |
| HDI | CyberPlus | Mittelstand |
| Hiscox | Spezialist | KMU |
| ERGO | Digital Guard | - |
| Zurich | - | Enterprise-fokussiert |
Preisentwicklung
- 2020-2022: Extreme Preissteigerungen (+100-200%) durch Ransomware-Explosion und massive Schäden
- 2023-2024: Stabilisierung, härtere Anforderungen
Preis-Orientierung (grobe Richtwerte 2024)
| Umsatz | Jahresprämie | Deckung |
|---|---|---|
| < 5 Mio EUR | €2.000-6.000 | 1-3 Mio EUR |
| 5-25 Mio EUR | €6.000-20.000 | 3-10 Mio EUR |
| 25-100 Mio | €20.000-80.000 | 10-25 Mio EUR |
| > 100 Mio | individuell | individuell |
Faktoren die Prämie erhöhen:
- KRITIS-Sektor (Energie, Gesundheit, Finance)
- Hoher Datenschatz (viele personenbezogene Daten)
- Veraltete IT / kein MFA
- Vorschäden in den letzten 5 Jahren
Faktoren die Prämie senken:
- ISO 27001 Zertifizierung (nachgewiesen!)
- SOC / SIEM-Betrieb nachgewiesen
- Regelmäßige Penetrationstests (Berichte vorlegen)
- Niedrige Schadenhistorie
Integration in die Sicherheitsstrategie
Risikobehandlung nach ISO 27005
| Option | Bedeutung |
|---|---|
| Vermeiden | Risikoauslöser eliminieren |
| Reduzieren | Technische + organisatorische Maßnahmen |
| Übertragen | Versicherung (Restrisiko) |
| Akzeptieren | Bewusste, dokumentierte Entscheidung |
Cyber-Versicherung = Restrisiko-Transfer:
- Ersetzt nicht: Penetrationstests, MFA, EDR, Patch-Management
- Ergänzt: das verbleibende finanzielle Risiko
Checkliste vor Abschluss
- BIA: welche Systeme, welcher Max-Schaden bei Ausfall?
- RTO/RPO definiert und mit Deckung abgeglichen
- MFA überall implementiert (Nachweis!)
- Backup-Konzept dokumentiert und getestet
- Incident-Response-Plan vorhanden
- Alle Policenbedingungen erfüllt (nicht nur behauptet!)
- Exklusionen verstanden und akzeptiert
- Versicherungssumme ausreichend (BIA-Grundlage!)
