Die typischen Einfallstore sind unspektakulär: eine Phishing-Mail, ein schwaches Passwort, ein ungepatchtes System. Was folgt, ist es nicht – bei Ransomware steht der Betrieb im Schnitt Tage bis Wochen still. Für ein mittelständisches Unternehmen ist weniger die geforderte Erpressungssumme das Problem als der Umsatz, der in dieser Zeit nicht stattfindet, und die Kunden, die nicht beliefert werden.
Was eine gute Cyberpolice abdeckt
- Soforthilfe und Krisenmanagement: eine rund um die Uhr erreichbare Hotline, die IT-Forensiker, spezialisierte Juristen und bei Bedarf Krisenkommunikation koordiniert. Im Ernstfall zählt die erste Stunde – und kaum ein Mittelständler hat diese Experten selbst.
- Eigenschäden: Wiederherstellung von Daten und Systemen, Mehrkosten für Notbetrieb und – zentral – die Betriebsunterbrechung durch den Angriff.
- Drittschäden: Haftpflichtansprüche, wenn Kunden- oder Partnerdaten betroffen sind, einschließlich der Kosten aus datenschutzrechtlichen Verfahren.
- Erweiterungen: je nach Tarif Cyber-Erpressung, Zahlungsmittelbetrug (etwa „CEO-Fraud“), Vertrauensschäden durch eigene Mitarbeitende.
Was die Police nicht ist
Eine Cyberversicherung ist das Sicherheitsnetz, nicht das Sicherheitskonzept. Sie ersetzt weder Backups noch Updates noch geschulte Mitarbeitende – im Gegenteil: Sie setzt sie voraus. Versicherer fragen im Antrag konkret nach Mindeststandards, üblicherweise mindestens:
- regelmäßige, vom Netzwerk getrennte Datensicherungen mit getesteter Wiederherstellung,
- zeitnahes Einspielen von Sicherheitsupdates,
- Mehr-Faktor-Authentifizierung, mindestens für Fernzugriffe und Administratorkonten,
- Virenschutz, Firewalls und ein Grundmaß an Mitarbeitersensibilisierung.
Diese Fragen sind keine Formalie: Falsche Angaben im Antrag gefährden den Versicherungsschutz genau dann, wenn er gebraucht wird. Wer die Standards heute nicht erfüllt, sollte sie zuerst herstellen – das senkt nebenbei die Prämie. Auch die regulatorischen Anforderungen an IT-Sicherheit steigen für viele Branchen weiter, Stichwort NIS-2.
Der Weg zum passenden Schutz
Sinnvoll ist ein dreistufiges Vorgehen: Erstens den eigenen Ist-Zustand ehrlich aufnehmen – gern gemeinsam mit dem IT-Dienstleister. Zweitens das Schadenpotenzial beziffern: Was kostet eine Woche Stillstand? Welche Daten wären betroffen? Daraus ergeben sich Deckungssumme und nötige Bausteine. Drittens die Angebote vergleichen – die Bedingungswerke unterscheiden sich erheblich, etwa bei Wartezeiten, Ausschlüssen und der Frage, was als „ein“ Versicherungsfall gilt. Und unabhängig von der Police gehört ein einfacher Notfallplan in jede Schublade: Wer wird angerufen, was wird abgeschaltet, wie erreicht man Kunden ohne E-Mail?