Cyber-Versicherung Industrie: Anforderungen, Leistungen und Bedeutung

Eine Cyber-Versicherung für Industrieunternehmen deckt finanzielle Schäden ab die durch Cyberangriffe, Datenpannen und IT-Ausfälle entstehen – inklusive der spezifischen Risiken die aus vernetzten Produktionsumgebungen und OT-Systemen (Operational Technology) entstehen. Sie ist für produzierende Unternehmen ein anderes Produkt als für reine IT-Unternehmen: Produktionsausfall, Maschinenmanipulation und Sabotage von Steuerungssystemen sind Risiken die in klassischen Cyber-Policen für Bürounternehmen nicht oder nur unzureichend abgedeckt sind.

In der Fertigungsindustrie ist die Cyber-Versicherung kein Nischenthema mehr. Ransomware-Angriffe auf Produktionsunternehmen haben in den letzten Jahren drastisch zugenommen – mit durchschnittlichen Ausfallzeiten von mehreren Wochen und Gesamtschäden die schnell in den siebenstelligen Bereich gehen. Gleichzeitig stellen Versicherer zunehmend konkrete technische Mindestanforderungen – und lehnen Unternehmen ohne ausreichende Sicherheitsmaßnahmen ab oder verlangen prohibitiv hohe Prämien.

Was eine Cyber-Versicherung für Industrieunternehmen abdeckt

Der Leistungsumfang marktüblicher Cyber-Policen für Produktionsunternehmen umfasst folgende Bausteine.

Eigenschäden sind der Kern der Industriecyberversicherung. Dazu gehören Kosten für IT-Forensik und Incident Response – also die Analyse des Angriffs und die Wiederherstellung der Systeme, Kosten für die Wiederherstellung von Daten und Systemen, Betriebsunterbrechungsschäden durch Produktionsausfall während der Wiederherstellungsphase sowie Krisenmanagement- und PR-Kosten.

Produktionsausfalldeckung ist der für Fertigungsunternehmen entscheidende Baustein. Wenn ein Ransomware-Angriff die Produktions-IT lahmlegt und die Fertigung für zwei Wochen steht, entstehen Deckungsbeitragsausfälle die schnell in den Millionenbereich gehen. Nicht alle Policen decken OT-bedingte Ausfälle – das ist ein kritischer Prüfpunkt beim Vertragsabschluss.

Haftpflichtbausteine decken Schadensersatzansprüche Dritter: Kunden die durch den Cybervorfall Schäden erlitten haben, Datenschutzverletzungen gegenüber Mitarbeitern oder Geschäftspartnern und behördliche Bußgelder im Zusammenhang mit DSGVO-Verstößen.

Erpressungsleistungen decken Kosten im Zusammenhang mit Ransomware-Angriffen – Krisenberatung, Verhandlungsführung und unter Umständen Lösegeldzahlungen. Letzteres ist rechtlich und ethisch komplex – manche Versicherer schließen direkte Lösegeldzahlungen aus.

Cyber-Betrug deckt Schäden durch Social Engineering, CEO-Fraud und manipulierte Zahlungsanweisungen.

OT-Sicherheit: Warum Produktion ein Sonderfall ist

Die klassische IT-Sicherheitsarchitektur – Firewall, Antivirussoftware, regelmäßige Updates, Netzwerksegmentierung – lässt sich in OT-Umgebungen oft nicht direkt übertragen. Produktionsanlagen haben Laufzeiten von zwanzig bis dreißig Jahren, laufen auf Betriebssystemen die keine Updates mehr erhalten, und Sicherheits-Patches können nicht ohne ausgedehnte Testphasen eingespielt werden weil ein Produktionsstillstand vermieden werden muss.

Gleichzeitig sind OT-Systeme zunehmend mit der IT vernetzt – für Produktionsdatenerfassung, ERP-Integration und Remote-Wartung. Diese Verbindung ist die Angriffsfläche die Cyberkriminelle nutzen: Über die IT-Seite in das OT-Netzwerk eindringen und von dort Steuerungssysteme manipulieren oder Ransomware ausrollen.

Für Cyber-Versicherer ist OT-Sicherheit deshalb ein eigenständiges Risikobewertungsfeld. Versicherer die OT-Risiken in der Fertigungsindustrie nicht differenziert bewerten, unterschätzen das Risiko systematisch – und werden es über steigende Prämien oder Ablehnungen korrigieren.

Was Versicherer als technische Mindestanforderungen stellen

Die Mindestanforderungen für Cyber-Versicherbarkeit haben sich in den letzten drei Jahren drastisch verschärft. Was 2020 noch als Good Practice galt ist heute Bedingung. Folgende Anforderungen sind marktüblicher Standard.

Netzwerksegmentierung zwischen IT und OT: Produktionsnetzwerke müssen vom Büronetzwerk und vom Internet getrennt sein – idealerweise durch eine DMZ (Demilitarized Zone) mit kontrollierten Übergangspunkten. Unternehmen mit flachen, nicht segmentierten Netzwerken haben heute Schwierigkeiten überhaupt eine Cyber-Police zu erhalten.

Multi-Faktor-Authentifizierung (MFA) für alle externen Zugänge und privilegierte interne Accounts: Fernwartungszugänge zu Produktionsanlagen ohne MFA sind ein No-Go für Versicherer.

Backup-Strategie nach 3-2-1-Regel: Drei Kopien der Daten, auf zwei verschiedenen Medientypen, davon eine Kopie offline oder air-gapped. Und – entscheidend – regelmäßig getestete Wiederherstellbarkeit der Backups. Ein Backup das nie wiederhergestellt wurde ist kein Backup.

Patch-Management: Regelmäßige Sicherheitsupdates für alle IT-Systeme. Bei OT-Systemen die keine Patches erhalten können müssen kompensierende Maßnahmen nachgewiesen werden – Netzwerksegmentierung, Application Whitelisting, erweiterte Überwachung.

Incident Response Plan: Ein dokumentierter und geübter Plan wie im Angriffsfall vorgegangen wird – wer wird informiert, welche Systeme werden isoliert, wie wird die Produktion aufrechterhalten oder wiederhergestellt.

Schwachstellenmanagement: Regelmäßige Vulnerability Scans und ein Prozess zur Priorisierung und Behebung identifizierter Schwachstellen.

Security Awareness Training: Nachweisliche Schulung der Mitarbeiter zu Phishing, Social Engineering und sicheres Verhalten.

NIS2 und Cyber-Versicherung: Was zusammenhängt

Die NIS2-Richtlinie verpflichtet wichtige und wesentliche Einrichtungen – darunter viele Fertigungsunternehmen ab 50 Mitarbeitenden oder 10 Millionen Euro Umsatz in kritischen Sektoren – zu konkreten Cybersicherheitsmaßnahmen: Risikoanalyse, Incident Response, Business Continuity, Supply Chain Security, Verschlüsselung und Multi-Faktor-Authentifizierung.

Die Maßnahmen die NIS2 vorschreibt sind weitgehend identisch mit den Mindestanforderungen die Cyber-Versicherer stellen. Das ist kein Zufall – beide orientieren sich an etablierten Cybersicherheits-Frameworks wie ISO 27001 und dem NIST Cybersecurity Framework.

Für Unternehmen die NIS2-Compliance aufbauen gilt: Wer die NIS2-Anforderungen erfüllt, erfüllt damit gleichzeitig die wesentlichen Voraussetzungen für Cyber-Versicherbarkeit. Die Compliance-Investition hat damit einen doppelten Return: regulatorische Pflichterfüllung und verbesserte Versicherbarkeit zu besseren Konditionen.

Wie Produktionssysteme die Versicherungsprämie beeinflussen

Versicherer bewerten nicht nur die IT-Sicherheitsarchitektur sondern zunehmend auch die Qualität der OT-Systeme und der Produktionsdateninfrastruktur.

Ein Cloud-natives MES mit dokumentierter Sicherheitsarchitektur – rollenbasierte Zugriffsrechte, vollständiger Audit-Trail, ISO-27001-konformes Hosting, automatische Updates, keine lokale Serverinfrastruktur – ist aus Versicherungsperspektive deutlich weniger riskant als eine gewachsene On-Premise-Lösung mit veralteten Betriebssystemen, nicht dokumentierten Zugriffsrechten und manuellen Update-Prozessen.

Der Nachweis dass Produktionssysteme nach aktuellen Sicherheitsstandards betrieben werden – mit dokumentiertem Zugriffskonzept, Logging, automatischen Updates und klarer Verantwortlichkeit – kann die Prämienkalkulation konkret positiv beeinflussen.

Was beim Abschluss einer Industrie-Cyber-Police geprüft werden muss

OT-Deckung explizit prüfen: Nicht jede Cyber-Police deckt OT-bedingte Produktionsausfälle. Die Police muss explizit OT-Systeme, industrielle Steuerungsanlagen und produktionsbedingte Betriebsunterbrechungen einschließen.

Betriebsunterbrechungsdefinition: Wie wird der Schaden bei Produktionsausfall berechnet? Entgangener Deckungsbeitrag, entgangener Umsatz oder tatsächliche Mehrkosten? Und ab welcher Ausfallzeit greift die Deckung – die Karenzzeit entscheidet bei kurzen Vorfällen darüber ob die Versicherung überhaupt relevant ist.

Sublimits für kritische Bausteine: Forensik, Krisenmanagement und Betriebsunterbrechung sind oft mit Sublimits begrenzt. Im Schadensfall sind das genau die teuersten Positionen.

Obliegenheiten: Welche Maßnahmen muss das Unternehmen dauerhaft aufrechterhalten um den Versicherungsschutz nicht zu verlieren? Wenn Sicherheitsmaßnahmen nach Vertragsabschluss wegfallen, kann der Versicherer im Schadensfall die Leistung kürzen oder verweigern.

FAQ

Ab welcher Unternehmensgröße ist eine Cyber-Versicherung für Fertigungsunternehmen sinnvoll? Ab dem Moment wo ein Cyberangriff die Produktion lahmlegen könnte und dieser Ausfall existenzbedrohend wäre. Das ist für die meisten mittelständischen Fertigungsunternehmen ab zehn bis fünfzehn Millionen Euro Umsatz der Fall. Die Frage ist nicht ob ein Angriff passieren kann – sondern ob das Unternehmen einen zweiwöchigen Produktionsausfall aus eigener Kraft überstehen würde.

Was kostet eine Cyber-Versicherung für ein mittelständisches Fertigungsunternehmen? Die Prämie hängt stark von Umsatz, Branche, Sicherheitsmaßnahmen und Deckungsumfang ab. Als Orientierung: Für ein Fertigungsunternehmen mit 30 bis 100 Millionen Euro Umsatz und angemessenen Sicherheitsmaßnahmen sind Jahresprämien zwischen 15.000 und 80.000 Euro für eine Deckungssumme von fünf bis zehn Millionen Euro realistisch. Unternehmen mit schlechtem Sicherheitsniveau zahlen deutlich mehr – oder erhalten keine Police.

Deckt die Cyber-Versicherung auch Schäden durch Mitarbeiterfehler? Ja – unbeabsichtigte Mitarbeiterfehler wie das Öffnen einer Phishing-Mail oder die versehentliche Weitergabe von Zugangsdaten sind typischerweise mitversichert. Vorsätzliche Handlungen von Mitarbeitern können je nach Policengestaltung ausgeschlossen sein oder gesondert abgesichert werden.

Was ist der Unterschied zwischen Cyber-Versicherung und allgemeiner Betriebsunterbrechungsversicherung? Eine klassische Betriebsunterbrechungsversicherung deckt Ausfälle durch physische Ereignisse – Feuer, Wasserschaden, Maschinenbruch. Cyber-bedingte Ausfälle sind in klassischen BU-Policen typischerweise ausgeschlossen oder stark limitiert. Die Cyber-Versicherung schließt diese Lücke explizit für digitale Schadensereignisse. Beide Versicherungen ergänzen sich und sollten gemeinsam auf Überschneidungen und Lücken geprüft werden.