Die Nachfrage nach Cyberversicherungen steigt bei deutschen Firmen - bleibt aber insgesamt auf einem niedrigen Niveau. So lässt sich eine repräsentative Umfrage des Branchenverbandes Bitkom unter 503 Geschäftsführern und Sicherheitsbeauftragten zusammenfassen. 14 Prozent der deutschen Industrie-Firmen ist demnach mittlerweile in Besitz einer solchen Versicherung, mit der man sich zum Beispiel vor den finanziellen Folgen von Datendiebstahl, IT-bedingtem Betriebsausfall und andere Cyberrisiken schützen kann. Bei der Umfrage vor zwei Jahren waren es noch elf Prozent.

Anzeige

Zugleich zeigt die Umfrage aber auch ein großes Marktpotential in der Sparte. So planen weitere 13 Prozent der Firmen konkret, demnächst eine Cyberversicherung abzuschließen. Fast ein Drittel (30 Prozent) der befragten Unternehmen diskutiert ein solches Vorhaben. Das zeigt: Die deutsche Industrie ist für Cyberrisiken durchaus sensibilisiert, mit steigender Tendenz. Allerdings gibt es auch viele, die keinen solchen Schutz abschließen wollen: Für vier von zehn Unternehmen (38 Prozent) ist eine Cyberversicherung weiterhin kein Thema.

„Eine Cyberversicherung kann eine sinnvolle Ergänzung im Risikomanagement sein, ersetzt aber keine robuste IT-Sicherheit“, sagt Susanne Dehmel, Mitglied der Bitkom-Geschäftsführung. „Nur wer bei der IT-Sicherheit gut aufgestellt ist, kommt auch als Versicherungsnehmer in Frage.“ Eine ernstzunehmende Bedrohung: Kriminelle Cyber-Attacken auf deutsche Industriebetriebe haben laut einer weiteren Bitkom-Studie in den vergangenen beiden Jahren einen Schaden von 43 Milliarden Euro verursacht. Sieben von zehn befragten Firmen klagten über entsprechende Angriffe.

Nur jede zehnte kleine Firma hat eine Cyberversicherung

Besonders kleine und mittlere Unternehmen verzichten aktuell noch auf eine Cyberversicherung, wie die Umfrage weiter zeigt. Bei kleineren Unternehmen mit zehn bis 99 Mitarbeitern haben erst zehn Prozent eine Cyberversicherung abgeschlossen.

Besser sieht es schon bei den größeren Wettbewerbern aus. Mittelgroße Konzerne zwischen 100 und 499 Beschäftigten versichern sich zu 23 Prozent gegen Cyberrisiken und Konzerne mit mehr als 500 Mitarbeitern gar zu 32 Prozent: Bei den „Großen“ ist also fast ein Drittel der Konzerne entsprechend abgesichert.

Anzeige

Darüber hinaus sollte bedacht werden, dass gerade Gewerbelösungen für kleinere Firmen bereits Cyber-Bausteine beinhalten können, auch wenn es sich nicht um einen eigenständigen Cyber-Vertrag handelt: etwa die Gewerbehaftpflicht oder Policen gegen Betriebsunterbrechung. Viele Gewerbeversicherungen werden demnach im Baukasten-System mit verschiedenen Bausteinen angeboten, die auch einen Cyber-Grundschutz beinhalten können.

Warum lohnt es sich oft nicht?

Bei der Frage, ob sich Cyber-Versicherungen gelohnt haben, sind die bereits abgesicherten Betriebe geteilter Meinung. Für drei von zehn Unternehmen (28 Prozent), die in den letzten zwei Jahren von digitalen Angriffen betroffen waren und eine Cyberversicherung abgeschlossen haben, hat sich die Police gelohnt. Über die Gründe, weshalb so viele Firmen die Frage verneinen, berichtet Bitkom nicht.

Indizien bietet eine andere Studie aus dem Analysehaus Franke & Bornberg. Die Tester haben gewerbliche Cyber-Risiken speziell für kleine und mittelständische Firmen untersucht und durchaus Defizite festgestellt. Nicht nur seien die Begriffe in den Bedingungswerken der verschiedenen Versicherer uneinheitlich, so dass Geschäftsführer Michael Franke eine „fast babylonische Sprachverwirrung“ ausmacht. Auch die Leistungen der Verträge seien sehr verschieden definiert. Das kann es im Zweifel erschweren, tatsächlich eine Leistung zu erhalten. Hier ist die Branche gefragt, verbindliche Mindest-Standards zu schaffen (der Versicherungsbote berichtete).

Anzeige

Mindeststandards sind gefragt

Der Gesamtverband der Deutschen Versicherungswirtschaft (GDV) hat das Problem uneinheitlicher Vertragsbedingungen erkannt und im Frühjahr des letzten Jahres Musterbedingungen vorgestellt, an denen sich die Versicherer und Unternehmen orientieren können. Allerdings sind diese unverbindlich.

Laut Empfehlung des GDV sollen die Verträge nicht nur bei Datenklau und Betriebsunterbrechungen eine Leistung erbringen, sondern auch Kosten für IT-Forensiker oder Krisenkommunikation übernehmen. Unter Kosten für IT-Forensiker werden die Aufwendungen gefasst, die notwendig sind, einen Schaden durch externe Computer- und Technikexperten feststellen und einschätzen zu lassen. Unter Krisenkommunikation hingegen fallen jene Maßnahmen, die der Information des Kunden über einen Schaden dienen, etwa Anrufe per Call Center. Auch Maßnahmen zur Wiederherstellung des Images einer Firma können gemeint sein.

„Unternehmen und Versicherungsgeber sollten klar definieren, bei welchen Vorfällen eine Cybersicherung greift und wie mögliche Schadensfälle nachgewiesen werden“, mahnt nun auch Bitkom-Geschäftsführerin Dehmel.

Anzeige

Schwer kalkulierbare Risiken

Auf ein Problem für die Versicherer wies aber bereits Franke und Bornberg in ihrer Studie hin: Weil sich Cyberrisiken dynamisch entwickeln und es bisher wenig Erfahrung damit gibt, entziehen sich Cyberrisiken vielfach einer vorausschauenden Kalkulation. Auch die Versicherer müssen also fürchten, dass sie sich schlecht verrechnen und es mit unerwartet hohen Schäden zu tun bekommen.

Seite 1/2/