Kontakt zu unseren Cyber Experts
030 403 695 29

Worauf Unternehmen bei der Auswahl einer Cyberversicherung achten sollten

Sie wollen Ihr Unternehmen gegen Cyber-Gefahren schützen und wünschen eine kostenlose Beratung?
Kontaktieren Sie uns

Bei der Auswahl einer Cyberversicherung gibt es verschiedene Kriterien zu beachten, um sicherzustellen, dass die Police die spezifischen Bedürfnisse und Risiken des Unternehmens abdeckt. Dieser Artikel bietet einen Überblick, welche Kriterien für die Auswahl einer Cyberversicherung besonders wichtig sind und wie Unternehmen bei der Analyse ihres eigenen Risikoprofils und Versicherungsbedarfs vorgehen können.

Risikoprofil und Versicherungsbedarf bestimmen

Bevor es an die Auswahl einer passenden Cyberversicherung geht, müssen Unternehmen zunächst einmal analysieren, welchen digitalen Risiken sie ausgesetzt sind, wie hoch die Eintrittswahrscheinlichkeit verschiedener Cyber-Angriffsszenarien ist und welche Cyber-Vorfälle auf jeden Fall und in welchem Umfang von der gewählten Versicherung abgedeckt sein sollten.

Nicht jedes Unternehmen braucht den gesamten Deckungsumfang, den eine Cyberversicherung potenziell bieten kann. Deshalb empfiehlt es sich, vorab das individuelle Risiko zu bewerten und zu ermitteln, welche Deckungsbausteine der Versicherung tatsächlich gebraucht werden. Eine sorgfältige, im Voraus durchgeführte Risikobewertung hilft Unternehmen, den Deckungsschutz auf die Schäden und Leistungen zu begrenzen, die für sie wirklich relevant sind, und so Geld bei den Kosten einer Cyberversicherung zu sparen.

Um ihren individuellen Versicherungsbedarf zu bestimmen, sollten Unternehmen die folgenden Aspekte berücksichtigen:
ico

Art der verarbeiteten und gespeicherten Daten:

Welche Arten von Daten (z. B. personenbezogene Daten oder Finanzdaten) ein Unternehmen sammelt, verarbeitet und speichert, ist ein entscheidender Risikofaktor. Sensible Daten wie Kundendaten bergen ein größeres Risiko, dass es infolge eines Datenschutzverstoßes zu hohen Kosten kommt. In diesem Fall ist ein entsprechend umfangreicher Deckungsumfang bei der Cyberversicherung sinnvoll, der auch Aspekte wie mögliche Reputationsschäden abdeckt.

ico

Eintrittswahrscheinlichkeit eines Cyber-Vorfalls:

Wie anfällig ein Unternehmen für einen Cyber-Angriff oder einen Datenschutzverstoß ist, hängt von verschiedenen Faktoren ab. Neben der Unternehmensgröße und der Branche sollten auch die Bekanntheit des Unternehmens, vergangene Sicherheitsvorfälle und das Vorhandensein wertvoller Daten berücksichtigt werden.

ico

Bestehende IT-Sicherheitsmaßnahmen:

Als Voraussetzung für den Abschluss einer Cyberversicherung müssen Unternehmen verschiedene IT-Sicherheitsmaßnahmen ergreifen. Obwohl die Anforderungen je nach Anbieter variieren, verlangen die meisten Versicherer von Organisationen, dass sie eine Firewall, einen Virenschutz, klar definierte Berechtigungen für den Zugriff auf Daten, Dateien und Anwendungen und eine regelmäßig ausgeführte Datensicherung haben. Unternehmen sind allerdings gut beraten, nicht nur die Mindestanforderungen zu erfüllen. Denn je besser die IT-Sicherheit, desto besser die Konditionen, die beim Versicherer ausgehandelt werden können.

Versicherungsbedingungen und Leistungen

Nach der Analyse des Risikoprofils des Unternehmens können weitere Kriterien für die Auswahl einer Cyberversicherung herangezogen werden. Hier ist eine Übersicht der verschiedenen Auswahlkriterien, die Unternehmen hinsichtlich Leistungen, Versicherungsumfang und Preis-Leistungs-Verhältnis anlegen sollten.

 

Deckungsumfang

Der Umfang der abgedeckten Risiken ist ein zentraler Faktor für die Auswahl einer passenden Versicherung. Eine umfassende Cyberversicherung sollte sowohl Eigenschäden (z. B. IT-Wiederherstellungskosten und Kosten für Betriebsunterbrechungen) als auch Drittschäden (z. B. Schadensersatzforderungen wegen Datenschutzverletzungen oder Schäden, die durch Infektion anderer Systeme mit Schadsoftware entstanden sind) abdecken.

In jedem Fall sollte die Versicherung Schutz gegen die im Rahmen der internen Risikoprüfung ermittelten Hauptrisikofaktoren bieten. Für Unternehmen, die für Ransomware-Angriffe und Erpressungsversuche besonders gefährdet sind, ist es beispielsweise wichtig, dass Lösegeldzahlungen im Versicherungsschutz enthalten sind.
Preview

Was deckt eine Cyberversicherung ab?

Welche Schäden deckt eine Cyberversicherung ab und welche Leistungen sind außer Schadensersatzzahlungen noch enthalten?
Mehr erfahren

Höhe der Versicherungssumme

Die Versicherungssumme, auch Deckungssumme genannt, ist ein weiteres wichtiges Auswahlkriterium. Sie sollte hoch genug sein, um die potenziellen finanziellen Auswirkungen eines Cyber-Vorfalls abzudecken. Um eine angemessene Deckungssumme zu definieren, müssen Unternehmen eine realistische Einschätzung der möglichen Schadenssumme vornehmen.

Dabei sollten nicht nur direkte Schäden wie die Wiederherstellungskosten für Daten und Systeme, Umsatzverluste aufgrund von Betriebsunterbrechungen und Schadensersatzansprüche aus DSGVO-Verstößen berücksichtigt werden, sondern auch indirekte Kosten wie PR-Ausgaben, um mögliche Reputationsschäden nach einem Datenschutzvorfall zu minimieren.
CyberDirekt-Tipp:

Manche Versicherer arbeiten bei bestimmten Versicherungsfällen mit sogenannten Sublimits. Dabei handelt es sich um Entschädigungsgrenzen, die unterhalb der Deckungssumme des Versicherungsvertrags liegen. Außerdem sollten Unternehmen darauf achten, ob es eine Einschränkung gibt, für wie viele Versicherungsfälle pro Jahr Deckung besteht.

Selbstbeteiligung und Prämienhöhe

Was bei einer Cyberversicherung als Selbstbeteiligung angemessen ist, hängt davon ab, welche Summe das versicherte Unternehmen bereit und vor allem auch finanziell in der Lage ist, zu tragen. Unternehmen müssen individuell abwägen, ob sie die Selbstbeteiligung so gering wie möglich halten wollen, um den Schutz der Cyberversicherung voll auszunutzen, oder ob sie lieber eine etwas höhere Selbstbeteiligung festlegen und dafür von einer niedrigeren Versicherungsprämie profitieren.

Die Prämienhöhe an sich ist ebenfalls ein wichtiges Entscheidungskriterium bei der Wahl einer Cyberversicherung, da sie neben der Selbstbeteiligung den Hauptteil der Gesamtkosten der Versicherung ausmacht. Unternehmen sollten ein gutes Verhältnis zwischen Prämienhöhe und Selbstbeteiligung finden.

Optionale Deckungsbausteine

Einige Risiken, die Unternehmen hinsichtlich ihrer Cyber-Sicherheit berücksichtigen sollten, werden nicht von allen Anbietern versichert - oder nur als Zusatzoptionen angeboten. Je nach Risikoprofil kann es für Unternehmen sinnvoll sein, eine Police zu wählen, die die folgenden Versicherungsfälle und Leistungen entweder standardmäßig oder in Form von optionalen Zusatzleistungen abdeckt:

  • Deckung für Lösegeldzahlungen: Die Abdeckung von Lösegeldzahlungen bei Ransomware-Angriffen oder Cyber-Erpressung ist besonders für Unternehmen mit hohem Erpressungsrisiko (z. B. weil sie große Mengen an sensiblen Daten verarbeiten) wichtig.
  • Bedienfehler durch Mitarbeitende: Schäden durch Cyber-Vorfälle, zu denen es aufgrund von Bedienfehlern kommt, sind nicht in allen Versicherungen abgedeckt. Je nach Geschäftsfeld des Unternehmens kann dieser Baustein in der Versicherungsdeckung aber relevant sein.
  • Betriebsunterbrechung durch Cloud-Ausfall: Die finanzielle Deckung von Betriebsunterbrechungen schließt je nach Police keine Unterbrechungen ein, die durch den Ausfall von externen Dienstleistern entstehen. Je nach Abhängigkeit von Drittanbietern kann eine zusätzliche Deckung für dienstleisterbedingte Ausfälle sinnvoll sein.
  • Systemausfall und technische Probleme: Auch Systemfehler oder technische Störungen können unabhängig von einem Cyber-Vorfall zu Datenschutzverletzungen führen. Je nach Komplexität der IT-Infrastruktur sollten Unternehmen eine Deckung dieses Zusatzrisikos in Erwägung ziehen.
  • Cyber-Diebstahl von Waren, Geldern oder Wertpapieren: Finanzmarkttransaktionen und der Abfluss von Vermögenswerten gehören zu den allgemeinen Ausschlüssen in der Cyberversicherung, wie sie in den Musterbedingungen des GDV (Gesamtverband der Versicherer) dokumentiert sind. Je nach Branche und Geschäftsbetrieb kann eine Absicherung gegen Cyber-Diebstahl ein sinnvoller Zusatz sein.

Zusätzliche Dienstleistungen

Viele Versicherer bieten neben der Abdeckung von Eigen- und Drittschäden auch zusätzliche Dienstleistungen an. Dazu können sowohl präventive Unterstützungsangebote wie IT-Sicherheitsberatungen, regelmäßige Risikoanalysen und Mitarbeiterschulungen als auch Unterstützungsmaßnahmen bei der Incident Response (z. B. Zugang zu IT-Forensikern, Krisenmanagern und PR-Experten) gehören. 

Da eine schnelle und effektive Reaktion auf Vorfälle den Schaden reduzieren und die Wiederherstellung von Daten und Systemen beschleunigen kann, sollten Unternehmen bei der Auswahl einer Cyberversicherung auch darauf achten, dass der Anbieter Unterstützung bei der Bewältigung von Cyber-Vorfällen bietet.

Obliegenheiten und Meldepflichten

Zu guter Letzt ist es für Unternehmen bei der Auswahl einer Cyberversicherung wichtig, auf das Kleingedruckte zu achten. Um Probleme bei der Schadensabwicklung zu vermeiden, sollten Unternehmen die geltenden Meldepflichten und Obliegenheiten im Detail prüfen. Kommt es zu einem Schaden, könnten Verstöße oder Versäumnisse durch den Versicherten die Auszahlung der Versicherungssumme gefährden. 

Bei den Obliegenheiten handelt es sich um vorwiegend technische Anforderungen, die die versicherte Organisation während der Vertragslaufzeit dauerhaft einhalten muss. Aktuell gibt es bei den technischen Obliegenheiten keinen einheitlichen Standard zwischen den Versicherern. Manche Versicherer verlangen beispielsweise regelmäßige Sicherheitsaudits oder Mitarbeiterschulungen, um die Deckung der Cyberversicherung aufrechtzuerhalten.

Vor Vertragsabschluss sollten Unternehmen die Obliegenheiten sorgfältig hinsichtlich Umfang und Transparenz prüfen.

 

Überschneidungen mit bestehenden Versicherungen

Trotz einer klaren Abgrenzung der Cyberversicherung von anderen Versicherungen kann es punktuell zu Überschneidungen im Versicherungsschutz kommen. Um eine teure Überversicherung zu vermeiden, sollten Unternehmen vor Abschluss einer Cyberversicherung genau prüfen, ob bestimmte Risiken nicht schon durch bereits vorhandene Versicherungen abgedeckt sind.

Risikofragen zu den IT-Mindeststandards

Bei fast allen Versicherern müssen Unternehmen bei Antragstellung verschiedene Risikofragen beantworten, die das Vorhandensein erforderlicher IT-Mindeststandards abfragen. Wie die CyberDirekt Marktanalyse 2024 zeigt, unterscheiden sich die Risikofragen der verschiedenen Versicherungsanbieter deutlich in Bezug auf drei Kriterien:

  • Anzahl der Risikofragen: Während ein Versicherer nur eine einzige Frage stellt, müssen Antragsteller bei einem anderen Anbieter über 20 Fragen beantworten.
  • Art der Risikofragen: Einige Versicherer konzentrieren sich ausschließlich auf technische Risikofragen (z. B. zur Art des vorhandenen Virenschutzes), während andere den Fokus eher auf allgemeine Fragen (z. B. zum Umgang mit sensiblen Daten) legen.
  • Formulierung der Risikofragen: Die Art und Weise, wie die Risikofragen formuliert sind, reicht von sehr vage bis sehr präzise. Während spezifische Fragen eine genaue Risikobewertung ermöglichen und Missverständnisse und Unklarheiten vermeiden, bieten vagere Fragen mehr Raum für eine flexiblere Auslegung der Anforderung und sind für den Versicherungsnehmer schneller und leichter zu beantworten.

 

Aufgrund der großen Abweichungen in den gestellten Risikofragen ist es ratsam, bei der Auswahl einer Cyberversicherung nicht nur Leistungsumfang und Kosten zu berücksichtigen, sondern auch die Risikofragen als zusätzliches Auswahlkriterium in Betracht zu ziehen.

 

 

Allgemeine Auswahlkriterien für Versicherungsdienstleister

Neben dem Leistungsumfang und den gestellten Risikofragen sollten Organisationen bei der Auswahl einer Cyberversicherung auch allgemeine Dienstleisterauswahlkriterien in Betracht ziehen. Hierzu gehören unter anderem:

  • Erfahrung und Fachkompetenz: Hierunter fällt, wie lange der Dienstleister bereits am Markt tätig ist und ob er über spezifische Erfahrung in der Branche des Unternehmens verfügt.
  • Solvenz: Vor allem bei Versicherungen ist es wichtig, dass die Versicherungsgesellschaft finanziell stabil ist, damit die Zahlung der vereinbarten Versicherungssumme im Schadensfall gewährleistet ist.
  • Referenzen und Kundenbewertungen: Der Ruf des Versicherers und die Zufriedenheit anderer Kunden sind ebenfalls wichtige Indikatoren. Bewertungen und Erfahrungsberichte anderer Unternehmen können zeigen, wie schnell und zuverlässig ein Versicherer im Schadensfall reagiert.
  • Kundenservice und Erreichbarkeit: Gerade bei wichtigen Dienstleistungen wie Versicherungen ist es wichtig zu wissen, dass der Kundenservice bei Fragen schnell erreichbar ist und Anliegen rasch bearbeitet werden.
  • Flexibilität des Versicherungsvertrags: Unternehmenswachstum und andere interne Veränderungen können dazu führen, dass sich die Anforderungen an den Versicherungsschutz verändern. In solchen Fällen ist bei der Auswahl einer Cyberversicherung darauf zu achten, dass der Anbieter in der Lage ist, auf geänderte Anforderungen einzugehen. Einige Versicherer bieten Anpassungsmöglichkeiten für bestimmte Deckungsbereiche oder Schadensszenarien an, sodass die Police optimal auf das Risikoprofil des Unternehmens zugeschnitten werden kann.
  • Preis-Leistungs-Verhältnis: Eine Cyberversicherung ist grundsätzlich eine sinnvolle Investition für Unternehmen. Trotzdem lohnt es sich für Unternehmen auch hier, einen Anbieter zu wählen, der ein gutes Preis-Leistungs-Verhältnis bietet.
  • Laufzeit und Verlängerungsoptionen: Die Laufzeit und die Konditionen für eine Verlängerung des Versicherungsvertrags sollten ebenfalls berücksichtigt werden, da langfristige Verträge unter Umständen günstiger sind. Bei den Verlängerungsoptionen sollte überprüft werden, ob eine regelmäßige Anpassung des Versicherungsschutzes möglich ist.

Tipps für den Vergleich von Versicherungsanbietern

Um den besten Schutz zu den besten Konditionen zu erhalten, sollten Organisationen Angebote von verschiedenen Versicherungsanbietern einholen und vergleichen. Hier sind ein paar wertvolle Tipps.
ico

Marktvergleich-Tools nutzen:

Verschiedene Cyberversicherungen zu vergleichen, kann aus mehreren Gründen schnell komplex werden. Neben den allgemeinen grundlegenden Leistungen und Deckungen unterscheiden sich die Versicherer darin, welche Cyber-Vorfälle sie zusätzlich zu den Standardleistungen abdecken und in welchem Umfang bzw. bis zu welcher Entschädigungsgrenze. Um den Überblick zu behalten, empfiehlt sich die Nutzung eines unabhängigen Online-Vergleichstools wie dem Marktvergleich von CyberDirekt.

ico

Ausschlüsse sorgfältig prüfen:

Zu wissen, was eine Cyberversicherung nicht abdeckt, ist genauso wichtig wie den eigentlichen Leistungsumfang zu kennen. Da es sich bei der Cyberversicherung um eine noch recht junge Sparte im Versicherungsmarkt handelt, sind die angebotenen Versicherungsprodukte aktuell sehr unterschiedlich in ihrem Deckungsumfang. Das gilt auch für die Abdeckung gängiger Cyber-Risiken wie Lösegeldforderungen oder Insider-Bedrohungen, wenn Mitarbeitende vorsätzlich Schaden an Daten oder Systemen anrichten. Hier lohnt sich ein genauer Blick auf die Versicherungsbedingungen.

ico

Spezialmakler kontaktieren:

Die Nutzung von Marktvergleich-Tools ist für eine unabhängige Recherche unerlässlich und hilft Organisationen, sich einen Überblick über den Markt und die vorhandenen Optionen zu verschaffen. Wenn es letztendlich an die Auswahl einer passenden Versicherung geht, empfiehlt es sich jedoch, einen Spezialmakler zu kontaktieren, um ein Angebot erstellen zu lassen, das auf die individuellen Bedürfnisse des Unternehmens abgestimmt ist.

Fazit: Eine fachkundige Beratung vor dem Abschluss einer Cyberversicherung lohnt sich

Bei der Auswahl einer Cyberversicherung sollten Unternehmen verschiedene Kriterien in Betracht ziehen. Neben der Höhe der Versicherungsprämie, den geltenden Bedingungen und den abgedeckten Leistungen sollten auch allgemeine Auswahlkriterien für Versicherungsdienstleister sowie der Umfang der Risikoprüfung des Versicherers berücksichtigt werden.

Angesichts der Vielzahl an Auswahlkriterien ist es für Unternehmen nicht einfach, eine Cyberversicherung zu finden, die den individuellen Versicherungsbedarf passgenau abdeckt und ein gutes Preis-Leistungs-Verhältnis bietet. Daher empfiehlt sich eine Beratung durch einen unabhängigen Spezialmakler, der basierend auf dem individuellen Risikoprofil und den finanziellen Möglichkeiten der Organisation mehrere Angebote vergleichen kann.
Vorheriger Artikel Nächster Artikel

Dieser Artikel dient ausschließlich Informationszwecken und ist nicht als Beratung zu verstehen. Die CyberDirekt GmbH lehnt jegliche Haftung für Handlungen ab, die Sie aufgrund der in diesem Artikel enthaltenen Inhalte vornehmen oder unterlassen.

 

 

SOS