Ein Cyberangriff trifft Ihr Unternehmen. Die Systeme stehen still, Daten sind verschlüsselt, die Produktion steht. In den ersten Stunden geht es um Schadensbegrenzung und Wiederherstellung. Aber parallel dazu muss an die Versicherung gedacht werden. Denn eine Cyberversicherung zahlt nur, wenn der Schaden nachvollziehbar dokumentiert ist. Was ein IT-Sachverständiger in dieser Situation leistet und welche Dokumentation die Versicherung erwartet, erklärt dieser Beitrag.
Warum die Versicherung ein Gutachten braucht
Cyberversicherungen sind modular aufgebaut. Sie decken typischerweise Eigenschäden wie Betriebsunterbrechung und Datenwiederherstellung, Drittschäden wie Datenschutzverletzungen gegenüber Kunden, und Krisenmanagement-Kosten wie IT-Forensik, Rechtsberatung und Krisenkommunikation. Die Deckungssummen können erheblich sein: Bei mittelständischen Unternehmen sind Policen mit einer Deckung von 500.000 bis mehreren Millionen Euro keine Seltenheit.
Damit die Versicherung reguliert, muss der Versicherungsnehmer den Schaden nicht nur melden, sondern auch nachweisen. Und zwar in einer Form, die für die Schadensabteilung der Versicherung nachvollziehbar und überprüfbar ist. Ein Anruf mit dem Satz „Wir wurden gehackt, es ist alles weg“ reicht dafür nicht aus.
Die Versicherung will wissen, was genau passiert ist, wann es passiert ist, wie es passieren konnte, welcher Schaden entstanden ist und ob der Versicherungsnehmer seine Obliegenheiten erfüllt hat. Für die Beantwortung dieser Fragen braucht es eine strukturierte technische Analyse. Genau das ist die Aufgabe eines IT-Sachverständigen.
Die sechs Bereiche der Dokumentation
Ein IT-Gutachten für die Versicherung nach einem Cyberangriff umfasst typischerweise sechs Bereiche, die zusammen ein vollständiges Bild des Vorfalls und seiner Folgen ergeben.
1. Der Angriffsvektor: Wie ist der Angreifer eingedrungen?
Die Versicherung muss verstehen, auf welchem Weg der Angriff erfolgt ist. Das ist aus zwei Gründen wichtig: Erstens, um zu prüfen, ob ein versichertes Ereignis vorliegt. Zweitens, um zu beurteilen, ob der Versicherungsnehmer seine Sicherheitspflichten eingehalten hat.
Der Sachverständige rekonstruiert den Angriffsweg anhand der verfügbaren Spuren: Logfiles der Firewall, des E-Mail-Servers, der Endpoint-Protection, der Active-Directory-Protokolle und gegebenenfalls der Cloud-Dienste. Typische Eintrittspunkte sind Phishing-E-Mails mit schadhaften Anhängen oder Links, kompromittierte Zugangsdaten (etwa durch Credential Stuffing oder Brute-Force-Angriffe), ausgenutzte Schwachstellen in ungepatchter Software, offene RDP-Zugänge (Remote Desktop Protocol) ohne Multi-Faktor-Authentifizierung sowie kompromittierte Lieferanten oder Dienstleister (Supply-Chain-Angriff).
Die Dokumentation hält fest, welcher Angriffstyp vorliegt, welche Systeme zuerst betroffen waren, wie sich der Angreifer im Netzwerk ausgebreitet hat (Lateral Movement) und wann die verschiedenen Phasen des Angriffs stattgefunden haben.
2. Der Zeitverlauf: Die Timeline des Angriffs
Für die Versicherung ist der zeitliche Ablauf aus mehreren Gründen relevant. Er bestimmt den Beginn der Betriebsunterbrechung, er zeigt, wie schnell das Unternehmen reagiert hat, und er kann Hinweise darauf geben, ob der Angriff hätte früher erkannt werden können.
Der Sachverständige erstellt eine forensische Timeline, die die einzelnen Phasen des Angriffs chronologisch darstellt: den initialen Zugriff, die Ausbreitung im Netzwerk, die Eskalation von Berechtigungen, die Exfiltration von Daten (falls erfolgt) und die eigentliche Schadensaktion, etwa die Verschlüsselung durch Ransomware. Diese Timeline basiert auf der Korrelation von Zeitstempeln aus verschiedenen Quellen: Systemlogs, Netzwerkprotokolle, Dateisystem-Metadaten und Sicherheitssoftware-Meldungen.
Die präzise Dokumentation des Zeitverlaufs ist auch deshalb wichtig, weil viele Cyberversicherungen eine Karenzzeit für die Betriebsunterbrechungsdeckung vorsehen. Der Sachverständige muss nachweisen, ab welchem Zeitpunkt der Betrieb tatsächlich beeinträchtigt war.
3. Der technische Schaden: Was wurde beschädigt oder zerstört?
Der technische Schaden umfasst alles, was durch den Angriff an IT-Systemen und Daten beschädigt, zerstört oder kompromittiert wurde. Der Sachverständige dokumentiert, welche Server, Arbeitsplatzrechner und Netzwerkkomponenten betroffen sind, welche Datenbanken und Dateisysteme verschlüsselt, gelöscht oder manipuliert wurden, welche Anwendungen nicht mehr funktionsfähig sind, welche Backups verfügbar und intakt sind und welche Systeme neu aufgesetzt werden müssen.
Diese Bestandsaufnahme ist die Grundlage für die Berechnung der Wiederherstellungskosten. Die Versicherung benötigt eine nachvollziehbare Aufstellung, die zwischen reparablen und irreparablen Schäden unterscheidet.
4. Der wirtschaftliche Schaden: Was kostet der Vorfall?
Die Schadensermittlung ist der Bereich, in dem die Interessen des Versicherungsnehmers und der Versicherung am ehesten auseinandergehen können. Der Sachverständige liefert hier eine objektive, nachvollziehbare Grundlage.
Die direkten Kosten umfassen die IT-Forensik selbst, die Wiederherstellung der Systeme, die Neubeschaffung von Hardware (falls nötig), die Wiedereinspieling von Backups, die Rekonfiguration von Systemen und die zusätzlichen Arbeitsstunden des IT-Personals.
Die Betriebsunterbrechungskosten bemessen sich nach der Dauer des Stillstands und den daraus resultierenden Einnahmeausfällen. Der Sachverständige dokumentiert, welche Geschäftsprozesse ab welchem Zeitpunkt nicht mehr funktioniert haben und wann sie wiederhergestellt wurden. Er beziffert den Ertragsausfall auf Basis der betriebswirtschaftlichen Kennzahlen des Unternehmens.
Die Drittschäden entstehen, wenn durch den Angriff personenbezogene Daten von Kunden oder Mitarbeitern abgeflossen sind. In diesem Fall greifen die Meldepflichten der DSGVO: Meldung an die Datenschutzbehörde innerhalb von 72 Stunden gemäß Art. 33 DSGVO, gegebenenfalls Benachrichtigung der betroffenen Personen gemäß Art. 34 DSGVO. Die Kosten für diese Maßnahmen, einschließlich Rechtsberatung und Krisenkommunikation, fallen unter die Deckung der Cyberversicherung.
5. Die Obliegenheitsprüfung: Hat das Unternehmen seine Pflichten erfüllt?
Hier wird es für viele Unternehmen heikel. Cyberversicherungen stellen in ihren Bedingungen konkrete Anforderungen an die IT-Sicherheit des Versicherungsnehmers. Diese Obliegenheiten sind die Voraussetzung für den Versicherungsschutz. Typische Anforderungen sind regelmäßige und funktionierende Datensicherungen, zeitnahe Installation von Sicherheitsupdates und Patches, Einsatz von Firewall und Antiviren-Software, Zugangsschutz durch Passwortrichtlinien und Multi-Faktor-Authentifizierung, Sensibilisierung der Mitarbeiter für Cyberrisiken sowie Trennung von Administrator- und Benutzerkonten.
Wenn die Versicherung feststellt, dass der Versicherungsnehmer diese Obliegenheiten verletzt hat, kann sie die Leistung kürzen oder im Extremfall verweigern. Der Sachverständige dokumentiert objektiv, welche Sicherheitsmaßnahmen zum Zeitpunkt des Angriffs implementiert waren und welche nicht. Er stellt fest, ob die vorhandenen Maßnahmen dem Stand der Technik entsprochen haben und ob die Obliegenheiten aus dem Versicherungsvertrag erfüllt waren.
Diese Prüfung ist für das Unternehmen ein zweischneidiges Schwert: Ein ehrliches Gutachten kann Schwachstellen aufzeigen, die die Versicherung als Obliegenheitsverletzung wertet. Andererseits stärkt ein Gutachten, das die Einhaltung der Sicherheitsstandards bestätigt, die Position des Versicherungsnehmers erheblich. In jedem Fall ist es besser, wenn diese Prüfung durch einen unabhängigen Sachverständigen erfolgt als durch einen Gutachter, den die Versicherung selbst beauftragt.
6. Die Ursache-Wirkungs-Kette: Kausalität zwischen Angriff und Schaden
Die Versicherung deckt nur Schäden, die kausal auf das versicherte Ereignis zurückzuführen sind. Der Sachverständige muss daher die Kausalitätskette nachweisen: Der Angriff führte zur Verschlüsselung der Systeme, die Verschlüsselung führte zum Betriebsstillstand, der Betriebsstillstand führte zum dokumentierten Ertragsausfall.
Was einfach klingt, kann in der Praxis komplex werden. Wenn ein Unternehmen bereits vor dem Angriff mit IT-Problemen zu kämpfen hatte, wird die Versicherung argumentieren, dass ein Teil des Schadens nicht auf den Angriff zurückzuführen ist. Wenn die Wiederherstellung länger dauert als nötig, weil interne Ressourcen fehlen, stellt sich die Frage, ob die gesamte Dauer der Betriebsunterbrechung als versicherter Schaden gilt. Der Sachverständige muss diese Abgrenzungen nachvollziehbar treffen.
Der Zeitfaktor: Warum die Dokumentation sofort beginnen muss
Die forensische Dokumentation eines Cyberangriffs muss parallel zur Incident Response beginnen, nicht erst nach der Wiederherstellung. Dafür gibt es zwei Gründe.
Erstens sind digitale Spuren flüchtig. Die Logfiles, die den Angriffsverlauf zeigen, werden durch den laufenden Betrieb oder durch die Wiederherstellungsmaßnahmen selbst überschrieben. Arbeitsspeicherinhalte gehen bei einem Neustart verloren. Cloud-Logs haben begrenzte Aufbewahrungsfristen. Was in den ersten Stunden nicht gesichert wird, ist möglicherweise unwiederbringlich verloren.
Zweitens verlangen die meisten Cyberversicherungen eine unverzügliche Schadensmeldung, häufig innerhalb von 24 bis 72 Stunden. Diese Meldung muss bereits eine erste Einschätzung des Vorfalls enthalten. Ein Sachverständiger, der von Anfang an eingebunden ist, kann diese Ersteinschätzung fundiert liefern.
Die Versicherung selbst hat in der Regel ebenfalls ein Netzwerk aus IT-Forensikern, die sie im Schadensfall einsetzt. Es ist jedoch im Interesse des Versicherungsnehmers, auch einen eigenen Sachverständigen einzuschalten. Denn der Forensiker der Versicherung arbeitet im Auftrag der Versicherung, nicht im Auftrag des Versicherungsnehmers. Ein unabhängiger Sachverständiger stellt sicher, dass die Dokumentation die Interessen des Unternehmens angemessen berücksichtigt.
Was Sie jetzt tun sollten – auch ohne akuten Vorfall
Wenn Ihr Unternehmen eine Cyberversicherung hat oder eine abschließen möchte, sollten Sie drei Dinge prüfen.
Kennen Sie die Obliegenheiten Ihrer Police? Viele Unternehmen schließen eine Cyberversicherung ab, ohne die konkreten Sicherheitsanforderungen der Versicherungsbedingungen zu kennen. Im Schadensfall kann das zur Leistungskürzung führen. Lassen Sie die Anforderungen durch einen IT-Fachmann gegen Ihren tatsächlichen Sicherheitsstand abgleichen.
Haben Sie einen Incident-Response-Plan? Ein dokumentierter Ablaufplan für den Fall eines Cyberangriffs beschleunigt nicht nur die Reaktion, sondern zeigt der Versicherung auch, dass Sie vorbereitet waren. Dieser Plan sollte die Kontaktdaten eines IT-Sachverständigen enthalten, der im Ernstfall innerhalb kurzer Zeit verfügbar ist.
Ist Ihre IT-Dokumentation aktuell? Eine aktuelle Dokumentation der IT-Infrastruktur, der Netzwerkarchitektur, der Backup-Strategie und der Sicherheitsmaßnahmen ist nicht nur für die Prävention wichtig. Sie ist auch die Grundlage, auf der ein Sachverständiger im Schadensfall arbeitet. Ohne diese Dokumentation dauert die Befundaufnahme deutlich länger und wird entsprechend teurer.
Als allgemein beeideter und gerichtlich zertifizierter IT-Sachverständiger unterstütze ich Unternehmen sowohl bei der forensischen Dokumentation nach einem Cyberangriff als auch bei der Vorbereitung auf den Ernstfall. Kontaktieren Sie mich für ein unverbindliches Erstgespräch.