NIS2 ist Hürde für Cyberversicherungen

Versicherer lehnen bereits heute jedes zweite größere Unternehmen ab, das sich gegen Hackerangriffe versichern will. Grund: Unzureichende IT-Sicherheit. Mit der gesetzlichen Verschärfung ab kommenden Herbst (NIS2) könnten die Hürden noch höher werden.

NIS2 ist Hürde für Cyberversicherungen

Wollen würden Versicherer schon gerne, das Geschäft mit Cyberversicherungen aus-zubauen. Doch es steht und fällt damit, ob die Schadensquote deutlich unter 100 Prozent liegt, sprich: Die Prämieneinnahmen die Ausgaben für Schäden übersteigen. 2021 hatte die Schadensquote 124 Prozent der Kosten betragen. Die Versicherer reagierten, wurden restriktiver und konnten 2022 schließlich mit einer Quote von 78 Prozent wieder Geld mit Cyberversicherungen verdienen. Zum einen wurden weniger Schäden gemeldet (hierzulande zum 2.900), aber die Schäden gingen im Schnitt von 37.000 auf 42.000 Euro hoch. Zum anderen wurde eine Cyberversicherung deutlich teurer: Die Versicherer nahmen mit 249 Millionen Euro etwa 56 Prozent mehr ein als 2021, berichtet der Gesamtverbandes der Deutschen Versicherungswirtschaft (GDV). Und sie wurden deutlich vorsichtiger.

Bei Unternehmen mit über 10 Millionen Euro Umsatz wird mittlerweile rund jeder zweite Antrag wegen unzureichender IT-Sicherheit abgelehnt, sagt Payam Rezvanian an, Mitglied der Geschäftsleitung beim Makler Finanzchef24. Er rechnet damit, dass ab Oktober 2024 der Abschluss einer Cyberversicherung für Unternehmen möglicherweise noch schwieriger wird, weil dann die zweite Richtlinie zur Netzwerk- und Informationssicherheit (NIS-2-Richtlinie) in Kraft tritt.

Die Anforderungen an die IT-Sicherheit wird für Unternehmen, die unter NIS2 fallen, deutlich steigen. Wer sie erfüllt, idealerweise mit Hilfe eines auf Security spezialisierten IT-Dienstleisters, wird dies einer Versicherung nachweisen können und hat weiterhin gute Chancen, eine Police zu erhalten, sollte es doch zum Hackerangriff und Schäden kommen.

Kleine Unternehmen, die meist nicht unter NIS2 fallen werden, hätten grundsätzlich bessere Chancen, überhaupt eine Police zu erhalten, sagt Rezvanian. Auch wenn sie nicht den Abschluss einer solchen Versicherung erwägen, sollten sie Vorkehrungen gegen Hackerangriffe ergreifen: "Jedes Unternehmen sollte regelmäßig Stresstests durchführen und einen Notfallplan aufstellen", rät Rezvanian. Informationssicherheit ist Chefsache, denn "CEO und IT-Leiter können persönlich haftbar gemacht werden, wenn es zu ernsthaften Schäden kommt - und wenn das Unternehmen weder eine Cyberversicherung abgeschlossen noch sich adäquat geschützt hat."

Ein erster Schritt für mehr IT-Sicherheit könnte sein, sich im Vorfeld mit einer Cyberversicherung auseinanderzusetzen. Einige Versicherer bieten sogenannte Antragsmodelle an: Dort können Unternehmer Angaben zur eigenen IT-Sicherheit machen und prüfen, ob sie eine Versicherung erhalten würden. So wird einerseits verhindert, dass Anträge abgelehnt werden und andererseits erhält das Unternehmen Hinweise auf wesentliche IT-Schwachstellen. Das ebne den Weg für einen neuen Antrag mit verbesserter IT-Sicherheit, sagt Rezvanian.

Mindestvoraussetzung, die zu erfüllen sind: Regelmäßige Datensicherung, Sicherheitstrainings für Mitarbeiter, 2-Faktor-Authentifizierung und ein angemessenes Konzept der Rechtevergabe. "Im Prinzip geht es beim Thema Cybersicherheit darum, den Schadenfall durch technische und organisatorische Lösungen so weit wie möglich in die Zukunft zu verschieben und das Restrisiko an eine Cyberversicherung abzugeben", erklärt Frank Gottheil, Senior Firmenkundenberater bei Finanzchef24.

Cybersicherheit kein einmaliges Projekt, sondern fortlaufender Prozess

Versicherer setzen wegen der steigenden Schadenfälle Firewalls ebenso voraus wie einen aktuellen Stand der IT-Technik. Darüber hinaus passen Versicherer fortlaufend ihre Konditionen an. Neben oft steigenden Prämien, und niedrigeren Deckungssummen erhöhen sie sukzessive die generellen Anforderungen an die IT-Sicherheit. Spätestens ab Oktober 2024 ist mit einer weiteren Verschärfung zu rechnen. Dann tritt in Deutschland die NIS-2-Richtlinie in Kraft.

Bei Verstößen drohen Bußgelder bis zu 10 Millionen Euro oder zwei Prozent des Jahresumsatzes. "Zwar gilt die Richtlinie nur für Unternehmen, die mehr als 50 Mitarbeiter beschäftigen, mehr als 10 Millionen Euro Umsatz erwirtschaften und in kritischen Wirtschaftsbereichen tätig sind. Allerdings kommen gesetzliche Vorgaben früher oder später in den Verträgen an", weiß Gottheil.

Kosten durch Betriebsunterbrechung sind nicht zu unterschätzen

Eine Cyberversicherung zu prüfen, lohnt laut Finanzchef24 nicht nur als erster Stresstest, sondern vor allem in Ernstfall. Sie übernimmt im anerkannten Schadenfall die Kosten für die IT-Wiederherstellung, die Kundenkommunikation, Benachrichtigung der Kunden, Interessenten und Zulieferer sowie die Betriebsunterbrechung. "Im Schnitt dauert eine Betriebsunterbrechung nach einem schweren Hackerangriff drei bis sechs Wochen. In dieser Zeit fällt einerseits das Geschäft aus, anderseits laufen weiterhin die Fixkosten etwa für die Gehälter", sagt Gottheil.

Die Wiederherstellung der IT-Daten wird in der Regel mit 30 bis 50 Prozent des IT-Wertes angesetzt. Nicht zu unterschätzen sind die Benachrichtigungskosten: Laut DSGVO sind Unternehmen nach einem Cyberangriff verpflichtet, alle betroffenen Personen zu benachrichtigen. Die Kosten dafür liegen bei 20 bis 40 Euro je personenbezogenem Datensatz. Hinzu kommen Kosten für die weitere Kommunikation wie Öffentlichkeitsarbeit, um mögliche Reputationsschäden zu minimieren. Immer weniger Versicherer sind indes bereit, für Lösegeldforderungen aufzukommen.

Grundsätzlich rät Finanzchef24 zur eigenen Cyberversicherung, in der sich Risiken modular versichern lassen. Deutlich günstiger und ebenfalls eine einfache Option können Schutzbriefe darstellen, die im Ernstfall vor allem beratend unterstützen. Weniger ratsam seien an die Betriebshaftplicht gekoppelte Zusatzverträge.