Cyber-Angriff auf den Betrieb: So reagieren Sie richtig
Allgemeine Information — keine individuelle Beratung, keine Gewähr.
Auf einen Blick: Nach einem Cyber-Angriff müssen Sie betroffene Systeme sofort vom Netzwerk trennen (nicht abschalten), Ihre Cyber-Versicherung kontaktieren und bei Datenverlust die Datenschutzaufsicht innerhalb von 72 Stunden informieren. Ohne Versicherung kostet ein typischer KMU-Vorfall 50.000 bis 250.000 Euro — eine Cyber-Police dagegen 500 bis 2.000 Euro im Jahr.
Die ersten Stunden entscheiden
Ein Cyber-Angriff trifft die meisten Unternehmen unvorbereitet. Plötzlich sind Bildschirme schwarz, Dateien verschlüsselt oder Kundendaten im Darknet aufgetaucht. Was Sie in den ersten Stunden tun — und was Sie unterlassen — entscheidet darüber, wie groß der Schaden wird.
Dieser Leitfaden gibt Ihnen einen klaren Handlungsplan für den Ernstfall und zeigt, warum eine Cyber-Versicherung weit mehr ist als nur eine Kostenübernahme.
Sofortmaßnahmen: Die ersten 60 Minuten
1. Systeme isolieren, nicht abschalten
Trennen Sie betroffene Geräte sofort vom Netzwerk — aber schalten Sie sie nicht aus. Im flüchtigen Arbeitsspeicher können forensische Spuren liegen, die nach einem Neustart verloren gehen. Ziehen Sie stattdessen das Netzwerkkabel und deaktivieren Sie WLAN.
2. Cyber-Versicherung kontaktieren
Wenn Sie eine Cyber-Versicherung haben, ist der erste Anruf bei der 24/7-Hotline Ihres Versicherers. Innerhalb von Stunden stellt der Versicherer ein Krisenteam bereit:
- IT-Forensiker, die den Angriffsvektor identifizieren und die Ausbreitung stoppen
- Rechtsanwälte, die die DSGVO-Meldepflichten prüfen
- Kommunikationsberater, die bei der Krisenkommunikation helfen
- Verhandlungsspezialisten, falls Lösegeld gefordert wird
Ohne Versicherung müssen Sie diese Experten selbst finden und bezahlen — unter extremem Zeitdruck und zu Premium-Stundensätzen.
3. Beweissicherung
Dokumentieren Sie alles: Screenshots von Lösegeldforderungen, Zeitpunkte, betroffene Systeme, E-Mails. Diese Dokumentation ist für die Forensik, die Versicherung und eine mögliche Strafanzeige unverzichtbar.
4. Meldepflichten beachten
Bei Verlust personenbezogener Daten müssen Sie nach DSGVO Art. 33 innerhalb von 72 Stunden die zuständige Datenschutzaufsichtsbehörde informieren. Bei hohem Risiko für Betroffene (Art. 34) müssen auch die betroffenen Personen benachrichtigt werden. Versäumnisse können Bußgelder von bis zu 20 Millionen Euro oder 4 % des Jahresumsatzes nach sich ziehen.
Typische Angriffsszenarien
Ransomware
Die häufigste Angriffsform. Schadsoftware verschlüsselt Ihre Daten und fordert Lösegeld (meist in Bitcoin). Ohne funktionierendes Backup stehen Sie vor der Wahl: zahlen und hoffen — oder alles verlieren.
Was die Cyber-Versicherung übernimmt: Forensik, Entschlüsselungsversuche, Datenwiederherstellung, Betriebsunterbrechungskosten, in manchen Tarifen auch das Lösegeld (umstritten, prüfen Sie die Bedingungen).
Phishing und Business E-Mail Compromise
Ein Mitarbeiter klickt auf einen präparierten Link oder überweist Geld an eine gefälschte Geschäftsführer-E-Mail. Social Engineering ist der Einstiegsvektor für über 80 % aller Angriffe.
Was die Cyber-Versicherung übernimmt: Finanzielle Schäden durch Betrug (je nach Tarif), Kosten der Aufklärung, Schulungsmaßnahmen.
Datenleck
Kundendaten, Gesundheitsdaten oder Geschäftsgeheimnisse gelangen in falsche Hände — durch Hackerangriff, verlorene Hardware oder Fehlkonfiguration. Die Folgen: Bußgelder, Schadensersatzansprüche, Reputationsverlust.
Was die Cyber-Versicherung übernimmt: Benachrichtigungskosten (oft mehrere Euro pro betroffenem Datensatz), Kreditüberwachung für Betroffene, Rechtsverteidigung, PR-Krisenmanagement.
Was eine Cyber-Versicherung konkret leistet
Eigenschäden
- Wiederherstellung von Daten und Systemen
- Betriebsunterbrechung: Ersatz des entgangenen Betriebsgewinns und fortlaufender Kosten
- Forensik: Ursachenanalyse und Beseitigung der Schwachstelle
- Krisenmanagement: PR, Rechtsberatung, Callcenter für betroffene Kunden
Drittschäden
- Schadensersatzansprüche betroffener Kunden oder Partner
- DSGVO-Bußgelder (soweit versicherbar)
- Rechtsverteidigung bei Haftungsansprüchen
Typische Kosten ohne Versicherung
| Schadenart | Kosten (KMU) |
|---|---|
| IT-Forensik | 10.000–50.000 € |
| Datenwiederherstellung | 5.000–30.000 € |
| DSGVO-Benachrichtigung | 5–15 € pro Datensatz |
| Betriebsunterbrechung (1 Woche) | 10.000–100.000 € |
| Rechtsberatung | 5.000–20.000 € |
| Krisenkommunikation | 5.000–15.000 € |
| Gesamt (typischer KMU-Vorfall) | 50.000–250.000 € |
Eine Cyber-Versicherung für einen kleinen Betrieb kostet dagegen oft zwischen 500 und 2.000 Euro im Jahr.
Prävention: Was Sie vorher tun können
Eine Cyber-Versicherung ersetzt keine IT-Sicherheit — sie ergänzt sie. Die wichtigsten Basismaßnahmen:
- Regelmäßige Backups nach der 3-2-1-Regel (3 Kopien, 2 Medien, 1 extern)
- Updates und Patches zeitnah einspielen
- Mitarbeiterschulungen gegen Phishing (der häufigste Einstiegsvektor)
- Zwei-Faktor-Authentifizierung für alle kritischen Systeme
- Notfallplan schriftlich dokumentieren und regelmäßig testen
Viele Cyber-Versicherer bieten diese Präventionsmaßnahmen als inkludierte Zusatzleistung an — zum Beispiel Phishing-Simulationen, Schwachstellenscans oder Online-Schulungsplattformen.
Schadenszenarien aus der Praxis
Die folgenden Beispiele zeigen, wie schnell ein Cyber-Angriff existenzbedrohend werden kann — und welchen Unterschied eine Cyber-Versicherung macht.
Handwerksbetrieb: Ransomware legt Auftragsabwicklung lahm
Ein Elektrobetrieb mit 12 Mitarbeitern öffnet eine vermeintliche Rechnungs-PDF per E-Mail. Innerhalb von Minuten verschlüsselt Ransomware den Fileserver mit sämtlichen Projektunterlagen, Angeboten und Rechnungen. Die Lösegeldforderung: 45.000 Euro in Bitcoin. Der Betrieb kann zwei Wochen lang keine neuen Aufträge bearbeiten und keine Rechnungen stellen.
Gesamtschaden ohne Versicherung: rund 95.000 Euro (Forensik 18.000 €, Datenwiederherstellung 12.000 €, Betriebsunterbrechung 55.000 €, neue Sicherheitsinfrastruktur 10.000 €). Mit Cyber-Versicherung zahlte der Betrieb lediglich die vereinbarte Selbstbeteiligung von 1.000 Euro.
Arztpraxis: Patientendaten im Darknet
Eine Arztpraxis mit drei Ärzten und rund 8.000 Patientendatensätzen wird Opfer eines gezielten Angriffs. Die Angreifer exfiltrieren Patientendaten und drohen mit Veröffentlichung. Die Praxis muss die zuständige Landesdatenschutzbehörde benachrichtigen, alle betroffenen Patienten individuell informieren und eine umfangreiche IT-Forensik durchführen lassen.
Gesamtschaden ohne Versicherung: rund 120.000 Euro (Forensik 25.000 €, Benachrichtigung der 8.000 Patienten à 8 € = 64.000 €, Rechtsberatung 15.000 €, Krisenkommunikation und PR 8.000 €, IT-Neuaufbau 8.000 €). Die Cyber-Versicherung übernahm sämtliche Kosten abzüglich 2.500 Euro Selbstbeteiligung.
Online-Händler: Zahlungsdaten kompromittiert
Ein E-Commerce-Unternehmen mit 3 Millionen Euro Jahresumsatz stellt fest, dass Angreifer über eine Schwachstelle im Shopsystem Kreditkartendaten von rund 2.000 Kunden abgegriffen haben. Es folgen: Abschaltung des Shops, PCI-DSS-Forensik durch zertifizierte Gutachter, Benachrichtigung der Kreditkartenunternehmen und der betroffenen Kunden, Schadensersatzforderungen einzelner Kunden.
Gesamtschaden ohne Versicherung: rund 180.000 Euro (PCI-Forensik 35.000 €, Betriebsunterbrechung bei 3 Wochen Shop-Ausfall 65.000 €, Schadensersatz und Vergleiche 40.000 €, Rechtsberatung 20.000 €, technische Nachbesserung 20.000 €). Mit Cyber-Versicherung: 5.000 Euro Selbstbeteiligung.
Steuerkanzlei: CEO-Fraud per gefälschter E-Mail
Eine Steuerkanzlei erhält eine täuschend echte E-Mail vom vermeintlichen Kanzleiinhaber mit der Anweisung, 38.000 Euro an ein angebliches Beratungsunternehmen zu überweisen. Die Buchhalterin führt die Überweisung aus. Als der Betrug auffällt, ist das Geld bereits auf einem ausländischen Konto und nicht rückholbar.
Gesamtschaden ohne Versicherung: 38.000 Euro Überweisungsbetrag plus 6.000 Euro Rechtsberatung und Strafanzeige. Die Cyber-Versicherung erstattete den Überweisungsbetrag abzüglich 1.500 Euro Selbstbeteiligung — vorausgesetzt, der Tarif eine Deckung für Social-Engineering-Betrug beinhaltete.
Kostenbeispiele: Cyber-Versicherungsprämien nach Branche
Die Jahresprämie einer Cyber-Versicherung hängt von Branche, Umsatz, Mitarbeiterzahl und IT-Sicherheitsstandard ab. Die folgende Tabelle gibt Richtwerte für KMU mit grundlegendem IT-Schutz:
| Branche / Betriebsart | Jahresumsatz | Deckungssumme | Jahresprämie (ca.) |
|---|---|---|---|
| Handwerksbetrieb (10 MA) | 1 Mio. € | 500.000 € | 600–1.200 € |
| Arztpraxis / Heilberuf | 500.000 € | 500.000 € | 900–1.800 € |
| Online-Handel | 2 Mio. € | 1 Mio. € | 1.500–3.500 € |
| IT-Dienstleister | 1,5 Mio. € | 1 Mio. € | 1.800–4.000 € |
| Steuerkanzlei / Rechtsanwalt | 800.000 € | 500.000 € | 800–1.600 € |
| Architekturbüro (5 MA) | 600.000 € | 250.000 € | 400–900 € |
| Gastronomie mit Online-Reservierung | 400.000 € | 250.000 € | 350–700 € |
Wichtig: Günstige Tarife sparen oft an der Deckung für Betriebsunterbrechung oder Social-Engineering-Betrug. Ein Maklervergleich sollte nicht nur Preise, sondern auch die Bedingungswerke berücksichtigen — denn im Schadenfall zählt der Leistungsumfang, nicht die Prämie.
Häufige Fehler nach einem Cyber-Angriff
In der Panik nach einem Angriff passieren regelmäßig Fehler, die den Schaden vergrößern oder den Versicherungsschutz gefährden.
-
Systeme sofort herunterfahren: Ein harter Shutdown zerstört flüchtige forensische Daten im Arbeitsspeicher. Stattdessen sollten Sie Netzwerkverbindungen trennen, die Systeme aber laufen lassen, bis die Forensiker eintreffen.
-
Lösegeld vorschnell zahlen: Rund 80 % der Unternehmen, die Lösegeld zahlen, werden erneut angegriffen — die Angreifer wissen nun, dass Sie zahlungsbereit sind. Zudem gibt es keine Garantie, dass die Entschlüsselung funktioniert. Sprechen Sie immer zuerst mit Ihrem Versicherer und den Forensikern.
-
DSGVO-Meldung verpassen oder hinauszögern: Die 72-Stunden-Frist nach Art. 33 DSGVO läuft ab dem Zeitpunkt, an dem Sie den Vorfall bemerken — nicht ab dem Zeitpunkt, an dem die Forensik abgeschlossen ist. Eine verspätete Meldung wird von Aufsichtsbehörden als eigenständiger Verstoß gewertet und kann zu zusätzlichen Bußgeldern führen.
-
Intern „still” aufräumen und niemanden informieren: Manche Betriebe versuchen, den Vorfall unter den Teppich zu kehren. Das ist gefährlich: Werden personenbezogene Daten später doch öffentlich, drohen neben dem DSGVO-Bußgeld auch Schadensersatzklagen betroffener Personen — und der Versicherer kann die Leistung wegen Obliegenheitsverletzung kürzen.
-
Keine professionelle Forensik beauftragen: Eigene IT-Abteilungen oder der „Computermann um die Ecke” können die Schwachstelle oft nicht vollständig identifizieren. Ohne professionelle Forensik bleibt das Einfallstor offen, und der nächste Angriff kommt in Wochen statt Monaten.
Checkliste: Vorbereitung auf den Ernstfall
Drucken Sie diese Checkliste aus und legen Sie sie griffbereit ab. Im Ernstfall zählt jede Minute.
- ☐ Notfallkontakte dokumentiert: Versicherer-Hotline, IT-Dienstleister, Datenschutzbeauftragter, Rechtsanwalt
- ☐ Cyber-Versicherungspolice griffbereit (Policennummer, Deckungssummen, Selbstbeteiligung)
- ☐ Netzwerkplan vorhanden: Welche Systeme hängen an welchem Netzwerk?
- ☐ Backup-Strategie dokumentiert und regelmäßig getestet (letzter erfolgreicher Restore-Test: ______)
- ☐ Mitarbeiter geschult: Wer darf was im Ernstfall? Wer informiert wen?
- ☐ Kommunikationsvorlagen erstellt: Vorlage für Kundenkommunikation, Behördenmeldung, Pressemitteilung
- ☐ Offline-Kommunikationsweg definiert (Firmen-E-Mail ist im Ernstfall möglicherweise kompromittiert)
- ☐ Regelmäßige Überprüfung: Checkliste mindestens halbjährlich aktualisieren
Häufig gestellte Fragen
Braucht mein kleiner Betrieb wirklich eine Cyber-Versicherung? Ja — gerade kleine Betriebe sind überproportional häufig betroffen, weil Angreifer wissen, dass die IT-Sicherheit dort oft schwächer ist. Laut BSI-Lagebericht richten sich rund 46 % aller Ransomware-Angriffe gegen kleine und mittlere Unternehmen. Ein einziger Vorfall kann für einen Betrieb mit 500.000 Euro Jahresumsatz existenzbedrohend sein, wenn Kosten von 50.000 bis 100.000 Euro entstehen.
Zahlt die Cyber-Versicherung auch, wenn ein Mitarbeiter den Angriff durch Fahrlässigkeit ermöglicht hat? In den meisten Tarifen ja. Menschliches Versagen — etwa das Klicken auf einen Phishing-Link — ist der häufigste Schadenfall und in guten Tarifen explizit mitversichert. Ausnahmen gelten bei grober Fahrlässigkeit oder Vorsatz. Wichtig: Manche Versicherer setzen voraus, dass Sie regelmäßige Mitarbeiterschulungen durchführen. Fehlen diese, kann die Leistung gekürzt werden.
Deckt meine bestehende Betriebshaftpflicht nicht bereits Cyber-Schäden ab? In der Regel nicht ausreichend. Die klassische Betriebshaftpflicht schließt Cyber-Risiken entweder ganz aus oder deckt nur einen kleinen Teil ab — typischerweise fehlen Betriebsunterbrechung, Forensikkosten, Benachrichtigungskosten und Krisenkommunikation. Eine separate Cyber-Versicherung ist daher unverzichtbar.
Wie schnell reagiert der Versicherer im Ernstfall? Die meisten Cyber-Versicherer betreiben eine 24/7-Notfallhotline. Nach Ihrer Meldung wird in der Regel innerhalb von zwei bis vier Stunden ein Krisenteam (IT-Forensik, Rechtsanwalt, Krisenkommunikation) zusammengestellt. Einige Versicherer bieten zudem eine „Incident Response Guarantee” mit garantierten Reaktionszeiten.
Was passiert, wenn ich keine Cyber-Versicherung habe und angegriffen werde? Sie müssen alle Kosten selbst tragen — und passende Dienstleister unter extremem Zeitdruck finden. IT-Forensiker, die kurzfristig verfügbar sind, berechnen Premium-Stundensätze von 250 bis 400 Euro. Dazu kommen Rechtsanwaltskosten, mögliche Bußgelder und der Umsatzausfall. Erfahrungsgemäß übersteigen die Gesamtkosten eines mittleren Vorfalls die Jahresprämie einer Cyber-Versicherung um das 50- bis 100-Fache.
Quellen
- Art. 33 DSGVO — Meldung von Verletzungen an die Aufsichtsbehörde — 72-Stunden-Meldefrist bei Datenschutzverletzungen
- Art. 34 DSGVO — Benachrichtigung der betroffenen Person — Pflicht zur Benachrichtigung bei hohem Risiko
- Art. 83 DSGVO — Allgemeine Bedingungen für die Verhängung von Geldbußen — bis 20 Mio. Euro oder 4 % des Jahresumsatzes
- BSI: Die Lage der IT-Sicherheit in Deutschland — aktuelle Bedrohungslage, Angriffsstatistiken
Weiterlesen
- Datenschutzverstoß: Welche Versicherung zahlt?
- Betriebsunterbrechung: So schützen Sie Ihren Umsatz
- Cyber-Versicherung