Häufige Einwände gegen eine Cyberversicherung

Ein häufiger Einwand, der in Verkaufsgesprächen mit Kunden aufkommt, ist, dass eine Cyberversicherung viel zu teuer sei. Die Prämienhöhe kann für kleine und mittelständische Unternehmen abschreckend wirken und damit eine echte Herausforderung im Vertrieb von Cyberversicherungen darstellen.

Darüber hinaus sind viele Unternehmen oft skeptisch, ob der Leistungsumfang der Versicherung die Ausgaben rechtfertigt. Hier können Makler mit einem konkreten Kosten-Nutzen-Vergleich gegenargumentieren. Denn die Kosten für eine Cyberversicherung sind deutlich geringer als der finanzielle Schaden, der einem Unternehmen durch einen Cyber-Angriff entstehen kann.

Dem Digitalverband Bitkom zufolge verursachten Cyber-Angriffe 2024 in Deutschland einen Gesamtschaden von insgesamt 178,6 Milliarden Euro (Quelle: Wirtschaftsschutz 2024). Nach einem Forschungsbericht des Bundeskriminalamts beläuft sich der durchschnittliche Schaden durch einen Cyber-Angriff für ein Unternehmen auf 16.900 Euro. 

Viele Unternehmen unterschätzen die tatsächliche Bedrohung durch Cyber-Kriminalität. Nach wie vor sind zu wenige Organisationen ausreichend für die Gefahren sensibilisiert, die durch Hacker-Attacken und andere Arten von Cyber-Angriffen ausgehen. Makler können dem entgegenwirken, indem sie mit aussagekräftigen Statistiken arbeiten. Der Bericht “Wirtschaftsschutz 2024” des Bitkom-Verbandes zeigt zum Beispiel, dass 74% der Unternehmen im Referenzjahr Opfer eines Datendiebstahls geworden sind.

Aussagen wie “Wir sind nur ein kleiner Betrieb, uns passiert das nicht” oder “Wir haben keine wertvollen Daten, die für Hacker interessant sein könnten” zeigen, dass viele Unternehmen ihr eigenes Risiko unterschätzen. Das macht es für Makler schwer, ihre Kunden davon zu überzeugen, dass eine Cyberversicherung für Unternehmen jeder Art und Größe sinnvoll ist - sofern sie elektronische Systeme zur Datenverarbeitung und Kommunikation einsetzen.

Die Realität liefert Maklern gezielte Gegenargumente, um diese Einwände zu entkräften. Zum einen zeigen die aktuellen Entwicklungen und Trends am Cyberversicherungsmarkt, dass kleine und mittelständische Unternehmen zunehmend in den Fokus von Cyber-Kriminellen rücken. Zum anderen erfolgen die meisten Cyber-Angriffe nicht gezielt auf ein bestimmtes Unternehmen, sondern werden ohne konkretes Ziel über eine Vielzahl von Empfängern gestreut.

Um Unternehmen ihr tatsächliches Risiko zu verdeutlichen, können Makler auf eine individuelle Risikoanalyse setzen, die genau aufzeigt, welchen spezifischen Cyber-Bedrohungen das Unternehmen ausgesetzt ist und wie es sich am besten absichern kann. Auch das Aufzeigen von konkreten Beispielen für Cyber-Angriffe und deren Auswirkungen auf ähnliche Unternehmen ist eine hilfreiche Strategie.

Während die Gefahr durch Cyber-Bedrohungen häufig unterschätzt wird, ist hinsichtlich der eigenen Cyber-Sicherheit häufig das Gegenteil der Fall. So sehen sich Makler in Gesprächen mit Kunden häufig mit Aussagen konfrontiert wie “Unsere IT-Abteilung hat alles im Griff” oder “Wir haben viel Geld in unsere IT-Sicherheit investiert und Hacker haben keine Chance”.

Viele Unternehmen sind überzeugt, dass technische Präventionsmaßnahmen wie Firewalls, Antivirenprogramme und regelmäßige Backups einen ausreichenden Schutz vor möglichen Angriffen bieten würden. Die Realität sieht allerdings anders aus. Die größte Schwachstelle in der Cyber-Sicherheit von Unternehmen sind nicht Sicherheitslücken in Systemen, sondern der Faktor Mensch.

Das Risiko, dass Mitarbeitende auf Cyber-Betrugsmaschen wie Phishing oder andere Social-Engineering-Methoden wie CEO-Fraud hereinfallen, ist deutlich größer als das Risiko eines direkten Hackerangriffs. Zudem finden Cyber-Kriminelle immer neue Wege, sich Zugang zu Daten und Systemen zu verschaffen. Vor allem durch den Einsatz von KI für die Planung und Durchführung von Cyber-Angriffen werden die Attacken immer raffinierter, schneller und gezielter.

IT-Sicherheitsmaßnahmen können das Risiko von Angriffen senken, aber nicht vollständig vermeiden. Eine Cyberversicherung hilft Unternehmen, das Restrisiko abzudecken. Eine Zusammenarbeit mit IT-Experten ermöglicht Maklern, ihren Kunden zu vermitteln, dass Cyberversicherung und IT-Sicherheit sich gegenseitig ergänzen – und aufzuzeigen, wie beide Elemente zu einer ganzheitlichen Cyber-Sicherheitsstrategie vereint werden können.

“Unsere Daten sind bei einem Cloud-Anbieter gespeichert, der die Verantwortung für die Datensicherheit trägt” ist ein Irrglaube, dem viele Entscheidungsträger unterliegen und der im Ernstfall verheerende Konsequenzen nach sich ziehen kann. Unter dieser Annahme gehen Unternehmen davon aus, dass der Dienstleister, in dessen Cloud ihre Daten gelagert sind, bei einer Datenschutzverletzung die Verantwortung für den Vorfall übernimmt. Hierbei handelt es sich allerdings um einen Trugschluss.

Laut Artikel 82 der DSGVO sind Unternehmen jeder Art und Größe für Datenschutzverletzungen haftbar. Daran ändert sich auch nichts, wenn die Datenspeicherung an einen externen Dienstleister ausgelagert wird. Kommt es zu einer Datenschutzverletzung, bei der beispielsweise Kundendaten kompromittiert werden, die in der Cloud ausgelagert gespeichert sind, stellen die Kunden ihre Schadensersatzklagen an das datenverarbeitende Unternehmen - und nicht an den Cloud-Anbieter.

Für Makler ist das ein wichtiges Argument, um Aussagen wie “Der Cloud-Anbieter ist für die Sicherheit der Daten zuständig” zu entkräften. Die Verantwortung für den Schutz der erhobenen Daten kann aus rechtlicher Sicht nicht ausgelagert werden. Was allerdings möglich ist, ist der Abschluss einer Cyberversicherung, deren Haftpflichtkomponente Schadensersatzansprüche aufgrund von Datenschutzverletzungen übernimmt und nicht berechtigte Ansprüche abwehrt.

Eine große Herausforderung im Vertrieb besteht darin, dass die Cyberversicherung als Produkt noch relativ neu ist. Der Bekanntheitsgrad ist bei Weitem nicht derselbe wie bei anderen betrieblichen Versicherungen, die gut etabliert und deren Deckungskonzepte so bekannt sind, dass ihre Notwendigkeit für Unternehmen nicht mehr angezweifelt wird. Tatsächlich liegt die Marktdurchdringung bei Cyber-Policen im KMU-Segment erst bei 25% (vgl. Gothaer KMU-Studie 2024), weshalb Aussagen wie “Wir wussten nicht, dass es diese Art der Absicherung gibt” nicht selten in Beratungsgesprächen fallen.

Hinzu kommt, dass Cyberversicherungen für Unternehmen oft komplex wirken können. Da sie sich mit den technischen und rechtlichen Aspekten der Absicherung von Cyber-Risiken häufig nur sehr marginal auskennen, reagieren Entscheidungsträger nicht selten mit Einwänden wie “Das klingt sehr kompliziert”.

Makler können dem durch mehr Transparenz in der Beratung entgegenwirken. Indem sie den Umfang und die Vorteile einer Cyberversicherung einfach und klar erläutern, können sie dazu beitragen, dass Cyber-Policen für Unternehmen besser verständlich werden.

Punktuell können Überschneidungen zwischen dem Versicherungsschutz der Cyberversicherung und anderen Versicherungen wie der D&O-Versicherung oder der Vertrauensschadenversicherung auftreten. Das führt bei Unternehmen nicht selten zur Annahme, bereits ausreichend gegen Cyber-Schäden versichert zu sein.

Um angemessen auf Einwände wie “Wir sind bereits durch andere Versicherungen umfassend geschützt” reagieren zu können, sollten Makler die Überschneidungen und Unterschiede zwischen den verschiedenen Versicherungsarten im Detail kennen und basierend auf dem vorhandenen Versicherungsschutz speziell angepasste Deckungskonzepte anbieten können.

“Die Versicherung zahlt ohnehin nicht” ist ein weiterer häufiger Einwand, den Unternehmen gegen Cyberversicherungen vorbringen. Negative Erfahrungen mit Versicherern in anderen Sparten und Berichte über abgelehnte Versicherungsansprüche schüren Misstrauen unter Entscheidungsträgern hinsichtlich der Leistungsbereitschaft der Versicherer im Schadenfall. Ein eng damit verbundener Einwand ist der Zweifel am Umfang des Versicherungsschutzes.

Nicht selten sind Unternehmen skeptisch, ob eine Cyber Police wirklich alle wichtigen Risiken abdeckt. Makler sollten auf Aussagen wie “Ist damit wirklich alles abgedeckt?” oder “Es gibt zu viele Ausschlüsse” vorbereitet sein und ein Portfolio an Schadenbeispielen zur Hand haben, die illustrieren, in welchem Umfang und mit welchen Leistungen die Cyberversicherung im jeweiligen Fall unterstützen konnte. Auch eine transparente Kommunikation darüber, was eine Cyberversicherung leistet und welche Ausschlüsse für den Versicherungsschutz gelten, ist in diesem Kontext wichtig.

“Das ist die Aufgabe der IT” - Cyber-Risiken werden von Entscheidungsträgern in Unternehmen häufig als rein technisches Problem und nicht in der Verantwortung der Unternehmesführung gesehen. Aufgrund des fehlenden Risikobewusstseins werden die weitreichenden Konsequenzen und das mögliche Schadensausmaß einer Cyber-Attacke nach wie vor häufig unterschätzt.

In der Praxis führt das nicht selten dazu, dass der Abschluss einer Cyberversicherung nicht mit der notwendigen Priorität behandelt und anderen geschäftlichen Verpflichtungen und Prozessen nachgestellt wird. Für Makler ist es wichtig zu betonen, dass Cyber-Sicherheit im Unternehmen ein Management-Thema sein und ganzheitlich angegangen werden sollte.

Zu einer guten Cyber-Sicherheitsstrategie gehören neben der Absicherung durch eine Cyberversicherung auch Präventionsmaßnahmen wie regelmäßige Mitarbeiterschulungen, die unternehmensweit koordiniert werden müssen und nicht in den Aufgabenbereich der IT fallen.