Voraussetzungen für den Abschluss einer Cyberversicherung

Die zunehmende Bedrohung durch Cyber-Risiken führt dazu, dass immer mehr Versicherer ihre Mindestanforderungen an Unternehmen, die eine Cyberversicherung abschließen wollen, verschärfen. Das Ziel ist es, sie zu einer Verbesserung ihrer eigenen Cyber-Sicherheit zu bewegen und dadurch die Eintrittswahrscheinlichkeit eines erfolgreichen Cyber-Angriffs zu reduzieren.

Jede Versicherung legt ihre eigenen Kriterien für die Risikoanalyse und die geforderten Mindeststandards an die IT-Sicherheit fest, die sich an der Risikobereitschaft der Versicherungsgesellschaft orientieren. Die Voraussetzungen, die Unternehmen erfüllen müssen, um eine Cyberversicherung zu erhalten, variieren je nach Versicherer.

Welche technischen und organisatorischen Voraussetzungen müssen Unternehmen erfüllen, um eine Cyberversicherung abzuschließen? Dieser Artikel bietet einen Überblick über die Mindestanforderungen für den Abschluss einer Cyberrisikoversicherung.

Ob ein Unternehmen die Anforderungen für den Abschluss einer Cyberversicherung erfüllt, überprüfen Versicherer vor Vertragsabschluss durch eine detaillierte Risikoprüfung. Die von der Versicherungsgesellschaft geforderten IT-Mindeststandards werden dabei in technische und allgemeine Risikofragen eingebettet.

Letztere sind abhängig von der Branche (für Handel und Produktion gibt es meist umfangreichere und detailliertere Mindestanforderungen), der Größe und dem Umsatz des Unternehmens. Zu den häufigsten Anforderungen an die IT-Sicherheitsstandards gehören:

• Grundlegende IT-Sicherheitsmaßnahmen (z. B. Firewall und Virenschutz)
• Datensicherung und Backups
• Einsatz von Tools zur Bedrohungserkennung
• Risikomanagement und Sicherheitsrichtlinien
• Mitarbeiterschulungen
• Incident Response Plan
• Sicherheitsüberprüfungen und -audits
• Einhaltung gesetzlicher Anforderungen
• Transparenz hinsichtlich Schadenshistorie

Schauen wir uns die einzelnen technischen und organisatorischen Anforderungen an die Cyber-Sicherheit im Detail an.

88% der Versicherer stellen eine Risikofrage zum Thema Datensicherung (Quelle: CyberDirekt Marktanalyse 2024), was regelmäßige Backups zu einer Grundvoraussetzung für den Abschluss einer Cyberversicherung macht. Eine kontinuierliche Datensicherung ermöglicht es Unternehmen, im Notfall (z. B. nach einem Ransomware-Angriff) ihre Daten und Systeme schnell wiederherzustellen.

Je nach Versicherer ist in diesem Zusammenhang nicht nur relevant, wie häufig und wo Daten gesichert werden, sondern teilweise auch, wie genau die Backup-Strategie für geschäftskritische Daten aussieht.

Neben technischen Voraussetzungen, die auf das Erfüllen von IT-Mindestsicherheitsstandards abzielen, legen Versicherer bei größeren Betrieben mit komplexen IT-Infrastrukturen häufig auch Wert auf den Einsatz zusätzlicher Tools, die verdächtige Aktivitäten und Anomalien erkennen können.

Dazu gehören zum Beispiel Endpoint-Sicherheitslösungen (Endpoint Detection and Response (EDR) Systeme) und Intrusion Detection und Prevention Systeme (IDPS) zur Überwachung des Netzwerkverkehrs und zur automatisierten Einleitung von Gegenmaßnahmen bei verdächtigen Aktivitäten.

Nicht nur das Ergreifen von Maßnahmen zur technischen Prävention von Cyber-Angriffen, sondern auch organisatorische Präventionsmaßnahmen gehören häufig zu den Anforderungen, die Anbieter von Cyberversicherungen für den Abschluss einer Versicherung stellen. Viele Versicherer erwarten, dass Unternehmen Richtlinien und Prozesse implementiert haben, die die technischen Sicherheitsmaßnahmen ergänzen. Dazu gehören:

• Sicherheitsrichtlinien für Mitarbeitende (z. B. Grundregeln zur Passwortsicherheit)
• Zugangskontrollsystem und Berechtigungskonzept mit abgestuften Zugriffsrechten auf Daten und Systeme je nach Mitarbeiterrolle und separaten Benutzerkonten für administrative Aufgaben
• Sicherheitsaudit-Planung, die regelmäßige Tests vorsieht und deren Durchführung regelt

Die CyberDirekt Marktanalyse 2024 hat gezeigt, dass 41% der Versicherungsanbieter IT-Sicherheitstrainings für Beschäftigte fordern. Der Grund: Cyber-Angriffsarten, die mit Täuschung und Manipulation arbeiten, um Mitarbeitende zur Weitergabe sensibler Daten oder zu sonstigen Handlungen, wie etwa dem Tätigen von nicht legitimen Überweisungen, zu bringen (z. B. Social Engineering, Phishing oder CEO-Fraud), gewinnen immer mehr an Relevanz.

Mitarbeitende bleiben weiterhin die größte Schwachstelle in der Cyber-Sicherheit von Unternehmen. Regelmäßige Mitarbeiterschulungen können das Risiko von Cyber-Vorfällen entscheidend verringern und werden von einigen Versicherern sogar mit niedrigeren Selbstbehalten belohnt.

Eine effektive und koordinierte Reaktion auf Cyber-Sicherheitsvorfälle (Incident Response) ist essenziell, um den Schaden durch eine Cyber-Attacke einzudämmen. Daher fragen viele Versicherer im Rahmen ihrer Risikoprüfung auch nach dem Vorhandensein eines Incident Response Plans.

Ein solcher Notfallplan sollte beschreiben, wie das Unternehmen im Falle eines Cyber-Angriffs reagiert und wie Schäden minimiert werden können. Idealerweise gibt es ein Krisenteam, das für die Umsetzung und Einhaltung dieses Plans verantwortlich ist. Manche Versicherer bieten sogar Unterstützung bei der Erstellung einer passenden Notfalldokumentation.

Um sich auf die sich wandelnde Bedrohungslandschaft einzustellen und einen zuverlässigen Schutz gegen Cyber-Bedrohungen zu erhalten, müssen Unternehmen ihre Cyber-Sicherheitsmaßnahmen regelmäßig überprüfen und anpassen. Aus diesem Grund verlangen einige Versicherer regelmäßige IT-Sicherheitsaudits und/oder Vulnerability-Tests, um Schwachstellen zu identifizieren und zu beheben. Diese Tests und Audits helfen dabei, Risiken proaktiv zu minimieren.

Eine weitere Grundvoraussetzung für den Abschluss einer Cyberversicherung ist das Einhalten von geltenden Datenschutzvorschriften und branchenspezifischen IT-Sicherheitsstandards. Unternehmen, die sich gegen Cyber-Risiken versichern wollen, müssen alle für sie geltenden gesetzlichen Anforderungen erfüllen. Dazu gehören typischerweise Gesetze und Vorschriften wie die Datenschutz-Grundverordnung (DSGVO) und die Netz- und Informationssicherheitsrichtlinie 2 (NIS-2).

Vorangegangene Cyber-Vorfälle sind grundsätzlich kein Hindernis für den Abschluss einer Cyberversicherung. Für Unternehmen, die kürzlich Opfer einer Cyber-Attacke geworden sind oder in der Vergangenheit bereits Vorfälle gemeldet haben, kann es allerdings schwerer sein, eine Cyberversicherung zu bekommen.

Bei einer bestehenden Schadenshistorie stellen Versicherer unter Umständen höhere Anforderungen an die IT-Sicherheitsvorkehrungen oder setzen höhere Versicherungsprämien fest. In jedem Fall müssen Unternehmen transparent mit vorangegangenen Schäden umgehen und dem Versicherer alle Informationen zur Verfügung stellen, die gefordert werden.

Die Erfüllung der von den Versicherern gestellten Anforderungen sollte nicht als lästige Notwendigkeit für den Abschluss einer Cyberversicherung gesehen werden. Vielmehr profitieren Unternehmen in mehrfacher Hinsicht, wenn sie entsprechende Vorsichtsmaßnahmen ergreifen, um sich gegen Cyber-Bedrohungen zu schützen.

Grundsätzlich gilt: Unternehmen, die ihre IT-Infrastruktur gut abgesichert haben und auch organisatorisch gut auf mögliche Vorfälle vorbereitet sind, genießen in der Regel bessere Versicherungsbedingungen und können bei den Kosten der Cyberversicherung einiges sparen.

Hinzu kommt, dass es grundsätzlich im Sinne jedes Unternehmens ist, nicht Opfer eines Cyber-Angriffs zu werden - auch wenn Cyberversicherungsschutz besteht. Selbst wenn die abgeschlossene Versicherung für Schäden aufgrund von Betriebsunterbrechungen aufkommt, kann ein solcher Vorfall verheerende Störungen im Geschäftsbetrieb verursachen. Zudem können Cyber-Sicherheitsvorfälle und Datenschutzverletzungen beträchtliche Reputationsschäden nach sich ziehen, die sich häufig langfristig auf die Unternehmensgeschäfte auswirken.