Das Unternehmermagazin aus der Handelsblatt Media Group

Creditreform

© Towfiqu Photography/Getty Images

Angriffe aus dem Internet richten sich zunehmend gegen mittelständische Firmen. Cyber-Versicherungen helfen zwar – aber der Abschluss kann kompliziert sein.

 

Die SMS Group hat es geschafft. Das Düsseldorfer Unternehmen in der Hütten- und Walzwerktechnik hat eine Cyberversicherung abgeschlossen – und brauchte dafür einen langen Atem: Fast ein Jahr dauerte es, bis sie unter Dach und Fach war. Dann endlich waren wie gewünscht die Risiken, die durch Nutzung von IT-Systemen entstehen, abgesichert.

Gut so. Denn Firmen werden immer häufiger Opfer von Cyber-Attacken, auch deutlich kleinere Unternehmen als die knapp 14.000 Mitarbeiter starke SMS Group werden zur Zielscheibe: 47 Prozent der kleinen und 63 Prozent der mittelgroßen Firmen wurden 2018 angegriffen.

Im Vorjahr waren es laut dem britischen Versicherer Hiscox noch 33 und 36 Prozent. Die Folgen können verheerend sein: Daten müssen gerettet werden, Systeme oder der ganze Betrieb fallen aus – immense Schäden können entstehen. Eine Cyber-Versicherung springt dann zwar ein. Doch Hiscox zufolge haben erst 34 Prozent der deutschen Unternehmen eine abgeschlossen.

 

Langwierige Prozesse

Doch der Abschluss ist nicht einfach. Das Thema ist sowohl bei den Versicherern als auch bei den Unternehmen noch recht jung – was mehr Komplexität und Unsicherheit auf beiden Seiten bedeuten kann.

Im Fall der SMS Group habe es zunächst internen Klärungsbedarf gegeben, um mögliche Gefahren einzuordnen und ein Konzept zu erstellen, berichtet Lutz Torbohm, Managing Director der Tochterfirma SMS Insurance. Dann folgten „mehr und längere Gespräche mit den Versicherern“ als üblich.

Der Grund nach Torbohms Beobachtung: Es gab dort „weit weniger etablierte Prozesse im Underwriting und bei der Angebotsverhandlung“. Die Folge: Es wurden mehr technische Berater und Risk Consultants hinzugezogen als üblich mehr zusätzliche Risiko-Informationen erbeten und mehr Rückfragen gestellt.

Ein weiteres Problem: Bausteine, die für das Geschäft der Firma wichtig sind, fehlten. Dafür warensolche enthalten, die über andere Sparten mitgedeckt waren. Ein Angebot für eine Grunddeckung bekam SMS Insurance nur von vier der angefragten zehn Versicherern.

 

Viele Angebote, wenig Verständnis

Eine weitere Schwierigkeit: Deutsche Versicherer machen sich nicht immer die Mühe, das Geschäftsmodell der Kunden zu verstehen, um mögliche Schäden abzuschätzen. Das zumindest stellte der Online-Zahlungsdienstleister Cleverbridge fest, der viele Kundendaten verarbeitet. „Wir haben ein sehr hohes Bewusstsein für Informationssicherheit und Datenschutz“, sagt Vincent Schwarz, Director of Global Compliance.

Cleverbridge wollte das Restrisiko versichern, etwa eines Hackerangriffs oder eines Datenlecks, „denn selbst mit der besten Vorbereitung gibt es keine 100-prozentige Sicherheit“, räumt Schwarz ein. Doch die Assekuranzen lehnten Cleverbridge als Kunden meist direkt ab. Ein derart digitales Geschäftsmodell sei für sie Neuland, mutmaßt Schwarz.

„Wir haben ein sehr hohes Bewusstsein für Informationssicherheit und Datenschutz“.

Vincent Schwarz, Cleverbridge

Auch Sabine Pawig-Sander kennt die Herausforderung für Unternehmen, eine passende Cyber-Police zu finden. Die Schwierigkeiten potenzieller Versicherungsnehmer würden häufig bereits bei der Wahl der Police beginnen, sagt die geschäftsführende Gesellschafterin der Erichsen GmbH, einem Maklerunternehmen für Cyber-Versicherungen.

Die Vielfalt der Angebote sei unübersichtlich, die Produkte der Versicherer seien sehr verschieden. „Für den Laien sind die Unterschiede nicht so einfach ersichtlich“, sagt Pawig-Sander und warnt davor, sich zu verzetteln.

 

Kosten und Nutzen

Trotz aller Hürden empfiehlt sie Unternehmen aber den Abschluss. Denn vor allem gehe es darum, überhaupt Deckungsschutz einzukaufen. Die Deckung selbst könne später immer noch angepasst werden. „Eine Cyberversicherung ist wichtig für alle Unternehmen, die personenbezogene, sensible sowie elektronisch gespeicherte Daten verarbeiten – oder deren Betrieb von einer reibungslos funktionierenden IT abhängig ist“, sagt Pawig-Sander.

Heutzutage also für fast alle Firmen. Generell decke eine Cyber-Versicherung „die Risiken eines Unternehmens aus unbefugter Nutzung des IT-Systems oder Datenschutzrechtsverletzungen ab“. Das betrifft den Schaden beim Versicherten, etwa durch Ertragsausfall bei einer Betriebsunterbrechung.

Auch sind Schadenersatzansprüche Dritter abgesichert, zum Beispiel von Kunden, deren Daten in falsche Hände geraten. Die Jahresprämie dürfte laut der Expertin bei einem Jahresumsatz von einer Million Euro und einer ebenso hohen Deckungssumme knapp über 1.000 Euro liegen.

Auch Cleverbridge-Manager Schwarz findet eine solche Absicherung unverzichtbar: Sie sei wie der Helm beim Fahrradfahren. „Statistisch gesehen kommen die meisten gut ohne aus. Der Schaden, den ein Unfall anrichtet, ist aber existenzgefährdend, sodass man sich gut überlegen sollte, ob man dieses Risiko wirklich tragen will.“

 

Ein unabhängiger Makler hilft

Keine gute Idee ist es für Schwarz, sich direkt an einen Versicherer zu wenden: Die Gefahr sei zu groß, an ein  Standardprodukt zu geraten, welches im schlimmsten Fall gar nicht die für das Unternehmen relevanten Risiken abdeckt.

Deshalb hält er es für das Wichtigste, einen unabhängigen Makler zu beauftragen, der sich Zeit nimmt, Unternehmen, Geschäftsmodell und spezifische Risikosituation zu verstehen. Cleverbridges Makler sei eine große Hilfe gewesen, habe aber einräumen müssen, dass der Markt nicht viel hergibt.

Schwarz musste einen Umweg in Kauf nehmen, um die für ihn so wichtige Police abzuschließen. Cleverbridge wurde nämlich nicht in Deutschland fündig, besitzt aber inzwischen trotzdem eine Cyber-Versicherung – über eine US-Gesellschaft. Die Deckung für eine bereits bestehende Police einer Tochterfirma wurde einfach ausgeweitet.

Blick ins Kleingedruckte

Welche Risiken versichert sein sollten

Cyber-Versicherungsmaklerin Sabine Pawig-Sander von der Erichsen GmbH rät, beim Abschluss einer Police auf folgende wichtige Punkte zu achten:

  • Sie sollte externe Cyber-Angriffe versichern …
  • … sowie interne Angriffe, also auch Sabotage durch Mitarbeiter. Hier liegt ein häufig unterschätztes Risiko.
  • Die Police sollte nicht nur zielgerichtete Cyber-Angriffe abdecken, also solche, die explizit gegen den Versicherungsnehmer gerichtet sind, …
  • … sondern auch die Folgen von breit angelegten Flächen- und Streuangriffen.