AssCompact suche
Home
Assekuranz
2. Juli 2026
Prävention oder Versicherung: Die richtige Mischung bei Cyberrisiken
Prävention oder Versicherung: Die richtige Mischung bei Cyberrisiken

Prävention oder Versicherung: Die richtige Mischung bei Cyberrisiken

Kommt es zu einem Cybervorfall, werden plötzlich Budgets freigegeben und Versicherungsfragen werden dringend. Genau das ist das Problem: Denn wer erst nach dem Schaden anfängt zu handeln, hat den wichtigsten Moment bereits verpasst.

Ein Artikel von Peter Pillath, Director Cyber bei Howden Deutschland und hendricks GmbH

Unternehmen stehen heute vor erheblichen Cyberrisiken. Digitalisierung und Industrie 4.0 bedeuten, dass Produktionsanlagen zunehmend mit IT-Netzen und dem Internet verbunden sind. Die Angriffsfläche vergrößert sich: Alte Maschinensteuerungen, die nicht für ständige Vernetzung entwickelt wurden, treffen auf hochautomatisierte, digitale Prozesse. Produktionsabläufe sind auf digitale Systeme angewiesen und in Lieferketten eng vernetzt. Ein erfolgreicher Cyberangriff kann schnell Fertigungsstraßen lahmlegen und zu Betriebsunterbrechungen führen, mit potenziell hoher finanzieller und reputativer Belastung.

Ransomware-Angriffe gelten derzeit als größte Gefahr: Sie verschlüsseln Daten und blockieren Systeme – Lösegeldforderungen in Millionenhöhe und wochenlange Produktionsstopps sind realistische Worst-Case-Szenarien. Auch Angriffe in der Lieferkette, z. B. bei einem wichtigen Zulieferer, können verheerend sein. Die regulatorischen Anforderungen steigen ebenfalls: So weitet die NIS2-Richtlinie die Pflichten rund um Cybersicherheit auch auf viele mittelständische Betriebe aus. Die Ausgangssituation ist geprägt von neuen Bedrohungen und einem wachsenden Handlungsdruck.

Prävention ist die Grundlage der Handlungsfähigkeit

Mit vorbeugenden Sicherheitsmaßnahmen und einer ganzheit- lichen Cybersicherheitsstrategie gilt es, potenzielle Schäden zu mindern. Dazu gehören Governance und Organisation (z. B. Verankerung der Informationssicherheit in der Geschäftsführung) sowie technische und organisatorische Schutzmaßnahmen (z. B. Firewalls, Netzsegmentierung zwischen IT und OT, Multifaktor-Authentifizierung).

Speziell im Produktionsumfeld sind OT-Security-Maßnahmen unverzichtbar: Maschinensteuerungskonzepte, physische Schutzmaßnahmen und Netzwerk-segmentierung müssen sicher in die IT-Landschaft integriert werden, um Fehlbedienungen, Sabotage und die Nutzung als Einfallstor zu verhindern. Außerdem ist ein Incident-Response-Management nötig: Ein definierter Notfallplan, eingeübte Reaktionsprozesse und regelmäßige Notfallübungen helfen, im Krisenfall schnell zu handeln. Backups und ein Business Continuity Management sorgen dafür, dass bei eingetretenen Schäden die Datenwiederherstellung und Weiterführung des Betriebs schneller gelingen.

Der Vorteil all dieser Maßnahmen: Sie senken signifikant die Eintrittswahrscheinlichkeit und das Schadenausmaß. Ein weiterer Nutzen guter Prävention ist mehr Kontrolle über die Risiken: Man baut gezielt Resilienz auf und reduziert Abhängigkeiten, was langfristig kosteneffizienter ist, als die Schäden nach einem Angriff zu tragen. Allerdings gibt es auch Grenzen der Prävention. Kein Schutz ist absolut – moderne Angriffe und menschliche Fehler können trotz Hightech-Sicherheit zum Schaden führen. Zudem fordert eine wirksame Sicherheitsorganisation kontinuierliche Investitionen und spezialisiertes Know-how, mitunter eine Herausforderung für knappe Ressourcen im Mittelstand.

Cyberversicherung gibt Struktur und mindert finanzielle Folgen

Die Cyberversicherung als Risiko- transfer hilft, die finanziellen Folgen eines Cyberangriffs zu mildern. Sie übernimmt Kosten für IT-Forensik, Datenwiederherstellung, Betriebsunterbrechungen, Lösegeldzahlungen, rechtliche Beratung sowie PR- und Krisenmanagement. In der akuten Krise können Versicherer zudem Expert*innen vermitteln, die bei der Bewältigung des Incidents unterstützen. Auch kann der Abschluss einer Versicherung bereits im Vorfeld als „Realitätstest“ dienen: Versicherer verlangen oft Mindeststandards der IT-Sicherheit, sodass die Vorbereitung auf den Versicherungsabschluss indirekt die Sicherheitsreife erhöht.

Gleichwohl ist der finanzielle Schutz nur bedingt Ersatz für den Aufwand, entgangene Geschäftschancen und Reputationsverluste. Prämienkosten sind ein weiterer Faktor: Je höher das Risiko, desto höhere Versicherungsprämien werden fällig, und manche Versicherer lehnen Unternehmen mit unzureichender Sicherheit sogar ab.

Die Kunst liegt in der richtigen Balance

Unternehmen müssen einen balancierten Ansatz finden, der Prävention und Versicherung sinnvoll vereint. Eine neutrale Entscheidungsfindung beginnt mit systematischem Risikomanagement: Identifikation relevanter Szenarien – von Ransomware-Angriffen über Lieferkettenrisiken bis hin zu Haftungsrisiken aus Regulierung (z. B. NIS2). Jedes Risiko wird hinsichtlich Eintrittswahrscheinlichkeit und Auswirkung analysiert. Das entstandene Risikoprofil verdeutlicht, welche Szenarien besonders kritisch sind. Anschließend definieren Unternehmen ihren Risikoappetit. Diese Überlegungen bilden die Grundlage für Prioritätensetzungen: Welche Risiken müssen dringend reduziert werden, weil sie das Unternehmen inakzeptabel bedrohen?

Darauf aufbauend lässt sich eine Strategie entwickeln, die präventive Investitionen mit gezieltem Risikotransfer kombiniert. Best Practice ist, sowohl technische und organisatorische Schutzmaßnahmen als auch eine passende Versicherungslösung als integrale Bausteine zu sehen. Die Kunst besteht darin, mit Sicherheitsmaßnahmen den Großteil der Risiken abzudecken und zugleich das unvermeidbare Restrisiko durch Versicherung abzupuffern.

Unternehmen sollten hier eine Wirtschaftlichkeitsbetrachtung an- stellen: Prävention kostet Geld – Kosten fallen etwa für Personal, Infrastruktur und Prozesse an –, doch ein ernsthafter Cybervorfall kann um ein Vielfaches mehr Schaden anrichten und teurer sein. Eine Versicherungspolice wiederum erfordert jährliche Prämien – diese sind aber geringer als der finanzielle Gau und ermöglichen zudem Planungssicherheit. Wichtig ist, dass beide Ansätze aufeinander abgestimmt werden: Präventive Maßnahmen verbessern nicht nur den Schutz, sondern oft auch die Versicherungsfähigkeit und vergünstigen die Prämien. Umgekehrt sollten Versicherungsbedin- gungen (z. B. geforderte Mindeststandards) als Leitplanken für weitere Verbesserungen genutzt werden.

Wer Risikoanalyse, IT-Security-Roadmap, Implementierung und Versicherungsschutz als zusammenhängende Aufgabe und präventiven Prozess versteht, ist klar im Vorteil. Unternehmen, die dabei auf einen erfahrenen Partner vertrauen, der sie in jeder Phase begleitet, sind langfristig besser aufgestellt.

Lesen Sie auch: KI und IT-Sicherheit in der Assekuranz

Interessieren Sie sich für weitere Hintergrundartikel aus der Branche? Dann abonnieren Sie das monatliche Fachmagazin AssCompact – kostenfrei für Versicherungs- und Finanzmakler.

 
Ein Artikel von
Peter Pillath