Cyberversicherungen: So können Sie Ihr Unternehmen schützen

Die Digitalisierung hat einerseits viele Vorteile mit sich gebracht. Andererseits macht sie Unternehmen aber auch angreifbar für Internetkriminalität. Eine Cyberversicherung schützt vor den Folgen von verschiedensten Angriffsformen wie Datendiebstahl, Hackerangriffen oder Cybermobbing.

Cyberversicherung zum Schutz der IT-Infrastruktur

Die Digitalisierung macht uns und unsere Unternehmen schneller und produktiver – aber auch angreifbar für Internetkriminalität. Ein modernes Unternehmen kommt heute nicht ohne IT-Infrastruktur aus – entsprechend wird auch die Cyberversicherung immer wichtiger.

Wie schützt man sich vor den Folgen von Datendiebstahl, Hackerangriffen und Cybermobbing? Teilweise kann die Deckung von Schäden durch Cyberkriminalität in die Sach- oder in die Betriebshaftpflichtversicherung integriert werden. Doch nur eine Cyberversicherung schützt umfassend.

Achtung: Eine Cyberversicherung ersetzt weder sichere Passwörter noch den Virenschutz. Sehen Sie diese Versicherung vielmehr als Bestandteil der gesamten IT-Sicherheit.

Welche Leistungen erbringt eine Cyberversicherung?

Cyberversicherungen gibt es in verschiedensten Ausführungen. Je nach Versicherer sind unterschiedliche Schadenfälle abgedeckt und unterschiedliche Leistungen vorgesehen. Die meisten Policen umfassen eine weite Bandbreite an Risiken, die durch Cyberkriminalität entstehen können.

Überprüfen Sie in Ihrer Cyberversicherung oder einem neuen Angebot, ob die folgenden Risiken inbegriffen sind:

Einsatz von Schadsoftware (Viren, Trojaner etc.)
Hackerangriff und Erpressungsversuche
Datenmissbrauch, -manipulation, -offenlegung und -verlust
Systemausfall und Zweckentfremdung des Systems

Jetzt Cyberversicherung abschliessen

Grunddeckung einer Cyberversicherung

Die Grunddeckung einer umfassenden Cyberversicherung kommt für folgende Schäden auf:

Eigenschäden

Bei Verlust oder Beschädigung von Daten: Kosten für IT-Expertinnen,
Datenwiederherstellung, Entfernung von Schadprogrammen, Schadenminderung
Rechtsverteidigungs- und Benachrichtigungskosten bei Diebstahl und rechtswidriger
Offenlegung personenbezogener Daten
Entschädigung nach Ertragsausfall
Kosten für ein Krisen- und PR-Management
Bei Erpressung: Kosten für die Einschaltung von IT-Sicherheitsdienstleistern oder Cyberexperten, die mit dem Erpresser verhandeln
Entstandene Mehrkosten (zum Beispiel vorübergehende Benützung anderer IT-Systeme)
Kosten für die Benachrichtigung betroffener Personen
Je nach Bedarf kommen weitere Deckungen dazu, zum Beispiel finanzieller Verlust wegen Missbrauch digitaler Zahlungssysteme und Internetbetrug

Fremdschäden

Deckung für Haftpflichtansprüche von Dritten:
Bei Diebstahl und rechtswidriger Offenlegung von Daten inklusive personenbezogener Daten
Bei Verletzung des Datenschutzrechts oder der Geheimhaltungspflicht
Bei Verletzung der Netzwerksicherheit
Bei Veröffentlichung digitaler Medieninhalte
Wenn Ihre digitalen Dienste – zum Beispiel der Webshop oder Online-Services – nicht verfügbar waren
Die Entschädigung für solche für Haftpflichtansprüche beinhaltet die Kosten für:
Prüfung des Anspruchs der Drittpartei
Entschädigung begründeter Ansprüche
Abwehr unbegründeter Ansprüche
Prüfung des Anspruchs der Drittpartei
Oft gehört auch eine Rechtsschutzkomponente dazu:
Persönlichkeitsrechtsschutz
Internetrechtsschutz
Streitigkeiten mit Kreditkartenunternehmen

Zusatzdeckungen einer Cyberversicherung

Manche Cyberversicherer bieten auch präventive Leistungen an und unterstützen Sie beispielsweise beim Aufbau eines sicheren IT-Systems. Weiter gibt es spezifische Zusatzversicherungen, dazu zählen:

Cybererpressung: Dieser Baustein deckt die Kosten, die bei einer Erpressung bezahlt werden.
Human Hacking und Betrug: Sogenannte Social Engineers machen sich die Schwachstelle Mensch zunutze und suchen den Kontakt zu Ihnen oder zu Ihren Mitarbeitenden via Telefon, E-Mail oder Social Media. Wenn sich ein Betrüger beispielsweise bei Ihrer Administration als Sie ausgibt und die Zahlung einer grossen Summe fordert, bezahlt diese Zusatzversicherung den Schaden.
E-Banking: Nutzt ein Hacker Schwachstellen im E-Banking oder in Ihrem digitalen Zahlungssystem aus und verursacht einen Schaden, kommt die Versicherung für die Kosten auf.

Gut zu wissen: In der Regel gewähren Versicherer nur Deckung, wenn Sie gewisse Voraussetzungen erfüllen. Beispielsweise ist es Ihre Pflicht, ein vollständiges und regelmässiges Backup der Daten zu erstellen und dieses vom Quellsystem entkoppelt aufzubewahren. Auch gehört dazu, dass stets die aktuellsten Updates Ihrer Programme sowie eine professionelle Antivirensoftware installiert sind und dass alle Internetzugangspunkte durch eine Firewall geschützt sind.

Was Ihrem Unternehmen nach einem Cyberschaden blühen kann

Die Zahl der Cyberschäden steigt exponentiell. Schäden, die auf externe Vorfälle wie Phishingmails oder Trojaner zurückzuführen sind, machen dabei den Grossteil der Schadensumme aus. Mit E-Mail-Anhängen versuchen Hacker beispielsweise, eine schädliche Software in Ihr Netzwerk einzuschleusen und damit an vertrauliche Daten zu kommen.

Wenn die Angreifer einmal über Ihre Passwörter verfügen, können sie Ihre Betriebssysteme manipulieren und Kundendaten missbrauchen. Sie können Ihre Betriebsabläufe ausspionieren und lange erarbeitetes Know-how für eigene Zwecke verwenden. Oder in Ihrem Namen werden E-Mails mit schädigendem Inhalt verschickt, was Ihrem Ruf schadet.

Das sind die häufigsten Schäden

Schäden durch den Ausfall kritischer Infrastruktur: Plötzlich ist die Auftragsdatenbank weg, die Buchhaltung ist offline, Daten wurden gelöscht. Solche Vorfälle stehen oft im Zusammenhang mit Ransomware und Verschlüsselungstrojanern respektive Erpressungsversuchen. Oft ist danach der Betriebsablauf stark eingeschränkt, manche Unternehmen sind sogar komplett handlungsunfähig. Diese Betriebsunterbrechung stellt meist den Hauptkostenpunkt dar. Hinzu kommen die Kosten für Reparatur und Instandsetzung der Hard- und Software.
Schäden durch Weitergabe geheimer Informationen: Moderne Erpresser beschränken sich schon lange nicht mehr auf die Installation einer Ransomware oder eines Verschlüsselungstrojaners, sondern infiltrieren gezielt Firmennetzwerke und stehlen geheime Informationen, zum Beispiel geistiges Eigentum des Unternehmens (Intellectual Property), um dann mit deren Veröffentlichung zu drohen.
Schäden durch Schadenersatzforderungen und Klagen von Dritten: Mit solchen Schäden sehen sich Unternehmen etwa konfrontiert, wenn Kreditkartendaten entwendet und missbraucht wurden oder wenn in ihrem Namen Geschäftspartner betrogen wurden (zum Beispiel durch den Versand ungerechtfertigter Rechnungen und Mahnungen).
Schäden durch Strafen bei Verstoss gegen Datenschutzgesetze: Werden Personendaten vorsätzlich oder aus Versehen veröffentlicht, drohen hohe Geldstrafen – im Fall der DSGVO der EU für das Unternehmen, beim revidierten Schweizer DSG auch für natürliche Personen, also auch für den Datenschutzverantwortlichen persönlich.
Schäden durch Betrug, zum Beispiel CEO Fraud: Dabei werden E-Mails verschickt, die denen, die etwa der CEO Ihres Lieferanten versenden würde, verblüffend ähnlich sehen. Oft wird die Überweisung eines Geldbetrags verlangt, da sich der CEO in einer Notsituation befinde. Einer solchen E-Mail geht häufig ein langes Social Engineering voraus, bei dem das Verhalten des CEO ausspioniert wurde. Prüfen Sie darum die Absenderadresse einer E-Mail immer sorgfältig und halten Sie bei jedem noch so kleinen Zweifel telefonische Rücksprache mit dem angeblichen Verfasser.
Reputationsschäden: Diese sind oft nicht direkt quantifizierbar, erweisen sich jedoch von Fall zu Fall als kleiner bis grosser finanzieller Schaden. Vor allem wenn bekannt wird, dass ein Unternehmen gehackt wurde, kann bei bestehenden und potenziellen Kunden viel Vertrauen verloren gehen.

Auch Clouds oder Ihre Website sind anfällig für Hackerangriffe. Gerade wenn Ihre Angestellten im Homeoffice arbeiten, haben Angreifer oft leichtes Spiel, sich Zugang zu sensiblen Daten oder Netzwerken zu verschaffen. Die grösste Schwachstelle ist dabei immer der Mensch. Oft braucht es nur einen falschen Klick, um eine folgenschwere Cyberattacke auszulösen.

Beispiel für einen Cyberschaden

Eine Hausarztpraxis hat die Krankheitsverläufe und Medikationen der Patienten digital abgelegt. Die Praxisassistentin klickt auf den Anhang einer E-Mail mit unbekanntem Absender – und schon kann sie nicht mehr auf die Informationen zugreifen. Ein IT-Experte entfernt die eingeschleuste Schadsoftware und stellt die Daten wieder her. In der Zwischenzeit sind aber bereits sensible Gesundheitsdaten der Patienten an die Öffentlichkeit gelangt. Die Lokalzeitung berichtet über den Vorfall. Eine PR-Agentur kümmert sich um die Krisenkommunikation und eine Juristin handelt mit den Geschädigten eine Genugtuung aus.

Pflichten im Umgang mit anvertrauten Daten

Nachdem die EU ihre Datenschutzregelung (DSGVO) revidiert hat, hat auch die Schweiz ihr Datenschutzrecht überarbeitet. Das neue Datenschutzgesetz ist seit dem 1. September 2023 in Kraft und sieht beispielsweise vor, dass Firmen einen Datenverlust melden müssen.

Achtung: Im Zusammenhang mit dem Datenschutz werden die Pflichten von Unternehmen immer umfassender. Informieren Sie sich darüber, damit Sie nicht plötzlich mit hohen Bussen konfrontiert sind.

Cyberversicherung abschliessen

Um eine Cyberversicherung abschliessen zu können, muss Ihr Unternehmen ein Mindestmass an IT-Schutz vorweisen. Dazu gehören ein aktueller Virenschutz, individualisierte Zugänge für Mitarbeitende und regelmässige Datensicherung. Es lohnt sich, diese Themen seriös und standardisiert zu bearbeiten.

Die Produkte der einzelnen Versicherer sind noch relativ neu und individuell. Da das Schadenausmass sehr gross sein kann, sind die Versicherer vorsichtig im Umgang mit diesen neuartigen Risiken. Jede Gesellschaft hat eigene Fragebögen und Prozesse. Deshalb können Sie keine Standardausschreibung verwenden. Am besten fragen Sie ein paar ausgewählte Versicherer direkt an.

Achtung: Ihre Pflichten als Versicherungsnehmer sind zwar je nach Versicherer unterschiedlich, aber in jedem Fall nicht zu unterschätzen. Wenn Sie sie nicht einhalten, laufen Sie Gefahr, dass Ihre Police wertlos ist.

Wie unterscheiden sich die Produkte auf dem Markt?

Cyberversicherungen sind neue Produkte und bisher gibt es kein inhaltliches Standardprogramm, deshalb unterscheidet sich der Leistungsumfang von Versicherer zu Versicherer. Der Vorteil umfangreicher Cyberversicherungen ist, dass Sie mit einer Police gegen alle Eventualitäten von Internetkriminalität abgesichert sind.

Achten Sie darauf, dass Ihre Cyberversicherung wirklich hält, was sie verspricht. Es bringt nichts, wenn Sie nur gegen einen Teil der Eventualitäten versichert sind und dann im Schadenfall vor böse Überraschungen gestellt werden. So ist es beispielsweise sinnvoll, dass auch Cybervorfälle versichert sind, denen kein Verbrechen vorausgegangen ist. Auch ein unachtsamer Mitarbeitender kann einen Schaden verursachen, der hohe IT-Kosten auslöst. Je nachdem, wie Ihr Unternehmen versichert ist, haben Sie diesen Baustein schon in der EDV-Versicherung abgedeckt. In die Betriebshaftpflicht lassen sich zudem in der Regel nicht cyberbedingte Datenschutzverletzungen integrieren.

Tipp: Die Prämie ist von verschiedenen Faktoren abhängig, von Ihrer Tätigkeit, vom Leistungsumfang, vom Jahresumsatz und von der Versicherungssumme. Wenn Sie einen Webshop oder Ähnliches betreiben, hat auch dies eine Mehrprämie zur Folge, da Ihr Betrieb ein erhöhtes Schadenpotenzial aufweist. Vergleichen Sie unbedingt verschiedene Angebote!

So vergleichen Sie Cyberversicherungen

Um unterschiedliche Cyberversicherungen vergleichen zu können, sollten Sie insbesondere einen Blick auf die Ausschlüsse in den AVB werfen. Gerade bei neuartigen Produkten, wie die Cyberversicherung eins ist, weichen diese stärker voneinander ab als bei bewährten Versicherungen. Diese Punkte sollten Sie beachten:

Wenn Sie sich auf digitale Prozesse verlassen oder Online-Services wie einen Webshop anbieten – wie sind diese abgesichert?
Wann gilt eine Handlung von Ihnen oder einem Mitarbeitenden als grobfahrlässig? Was ist die Konsequenz?
Wie müssen Sie Updates, Wartungen und Back-ups organisieren, damit die Versicherung im Schadenfall bezahlt?
Was sieht die Versicherung in Bezug auf Rückwirkungsschäden vor (wenn beispielsweise bei einem Zulieferer ein Schaden passiert, der Auswirkungen auf Ihre Tätigkeit hat)?
Welche Kosten sind mitversichert und welche sind ausgeschlossen? Sind beispielsweise die Kosten für eine professionelle Unterstützung bei einer Erpressung mitversichert, allenfalls sogar inklusive Erpressungsgelder?

Was ist nach einer Cyberattacke wichtig?

Nach einer Cyberattacke beginnt ein Wettlauf gegen die Zeit. Je schneller Sie einen Angriff bemerken und reagieren, desto eher lassen sich die Kosten begrenzen. Durch schnelles Handeln nach einem Hackerangriff können Sie oft verhindern, dass mehr als ein Computer infiziert oder ausgelesen wird. Das reduziert den drohenden finanziellen Schaden stark. Viele Cyberversicherungen führen ein Callcenter mit Krisenhotline, die im Ernstfall berät und erste Massnahmen zur Reduktion des Schadens in die Wege leitet.

Transparenz bei Datenpanne

Nicht nur Ihre Arbeitsprozesse sind von Cyberkriminalität bedroht. In manchen Fällen sind auch Daten Dritter betroffen, für die Ihr Unternehmen verantwortlich ist. Sind Sie Opfer eines Cyberangriffs geworden, stehen Sie in der Pflicht, schnell und richtig zu handeln.

Tipp: Besonders wichtig ist es, dass Sie transparent mit einer Datenpanne umgehen. Professionelle Krisenkommunikation innerhalb Ihres Betriebs sowie gegenüber den Kunden und Lieferanten ist hier das A und O. Die Kosten für Experten, die diesen Service übernehmen, sind in vielen Cyberversicherungen inklusive.

Raiffeisenbank Aare-Langete