Die Webseite Security Insider ist für mich immer ein wichtiger Input-Geber im Bereich Cybersecurity. Einer der letzten Artikel hat sich mit dem Thema Incident Response und 2 möglichen Wegen zur Auswahl beschäftigt. (Hier der Link zum Artikel: https://www.security-insider.de/cyberversicherung-incident-response-retainer-vergleich-a-8ed464968a07482e136e355dca7d5dd3/?cmp=nl-ede617ce-bb32-418b-8967-bc79e3a81876&uuid=2C6276EF-0C2C-48CE-B99D-B6BA393C5D59)
Viele meiner Kunden frage ich aktiv nach Ihrem Mittel der Wahl. Tatsächlich haben circa 60% eine Cyberversicherung. In der Regel, um genau dieses Thema abzudecken: die richtige Incident Response.
In den Gesprächen weise ich dann auch immer auf die im Artikel besprochene Thematik hin: 2 Wege, 2 Auswirkungen.
Hier nochmal zusammengefasst:
| Funktion | Cyberversicherung | Retainer |
| Finanzielle Schadenübernahme (z. B. Umsatzausfall, Kosten) | ✅ | ❌ |
| Schnelle operative Reaktion im Incident | ⚠️ (nur über externe Partner) | ✅ |
| SLA / garantierte Reaktionszeiten | ❌ | ✅ |
| Zugriff auf Incident-Response-Experten | ⚠️(indirect, meist über Versicherung gesteuert) | ✅ |
| Freie Auswahl des Dienstleisters | ⚠️ (sehr oft nicht möglich) | ✅ |
| 24/7 Bereitschaft / Hotline | ⚠️ (Abhängig vom Vertrag) | ✅ |
| Proaktive Vorbereitung (Workshops, Übungen) | ❌ | ✅ |
| Integration in Unternehmensprozesse vor Incident | ❌ | ✅ |
| Forensik & Ursachenanalyse | ⚠️ (meist über Partner, der von der Versicherung vorgegeben ist) | ✅ |
| Krisenmanagement & operative Unterstützung | ⚠️ (nur im Rahmen der Incident Response des Partners, wenn überhaupt) | ✅ |
| Prävention / Verbesserung Resilienz | ❌ | ✅ |
| Planbare Kosten | ⚠️ (Versicherungen sind sehr gefinkelt, wenn es darum geht, die Erfüllung an Bedingungen zu knüpfen) | ⚠️ (Vorab-Verbesserungs-kosten können anfallen) |
| Absicherung rechtlicher / Haftungsrisiken | ✅ | ❌ |
| Übernahme externer Kosten (Anwälte etc.) | ✅ | ❌ |
| Sofortige Einsatzfähigkeit durch Onboarding | ❌ | ✅ |
| Langfristige Begleitung | ❌ (nicht auf technischer Ebene – Versicherungsschutz ist aber langfristig vorgesehen) | ✅ |
Zusammenfassung
- Cyberversicherung
Die Cyberversicherung fungiert primär als finanzieller Schutzmechanismus. Sie greift meist erst nach Eintritt des Schadens und ist oft an Bedingungen und Prüfprozesse gebunden. Bei Abschluss gibt es meist nur einen Fragebogen oder eine “einfache” Prüfung ihrer IT-Umgebung, aber keine laufende Betreuung.
Ihr Hauptaugenmerk ist, dass sie möglichst wenig Geld zahlen muss. Sie hat aber klarerweise selbst keine Security-Experten, die im Notfall eingreifen können. Deshalb bietet sie hier über spezialisierte Partner im Bedarfsfall Hilfe an.
Aber das hat auch 3 Nebeneffekte:
1. die Versicherung bestimmt, wen sie zur Seite gestellt bekommen.
2. die Partner machen nur das, was die Versicherung ihnen zahlt und freigibt
3. die Partner suchen im Rahmen der Unterstützung auch nach Punkten, die es der Versicherung ermöglichen, die Haftung/Zahlung auszuschließen oder zu reduzieren.
Cyberversicherungen sind klar kalkulierbar in ihren Kosten anhand des Vertrages. Allerdings sagen sie nichts über die mögliche Verwundbarkeit ihres Unternehmens aus. Sie zahlen in der Regel das Lösegeld und die Kosten des Betriebsstillstandes. - Incident Response Retainer
Dieser hingegen wird schon vor dem Vorfall aktiv und gibt Tipps bzw. Implementiert Sicherheitsmaßnahmen, die eine Verwundbarkeit reduzieren. Im Angriffsfall stellt ein Retainer durch klare vereinbarte Reaktionszeiten schnellen Zugriff auf Experten. Diese arbeiten rein im Interesse ihres Unternehmens und stellen meist auch Krisenmanagement-Dienste zur Verfügung. Sie stellen Verhandler zur Verfügung, ersetzen aber nicht die Kosten für Lösegeldzahlungen oder Betriebsstillstände.
Bei Abschluss eines Incident Response Retainers können durch Beratungen vorab weitere Kosten entstehen, allerdings sind sie dann auch besser geschützt und weniger verwundbar.
Empfehlung aus BCM-Sicht
Kurz gesagt: Der Retainer verhindert Schäden – die Versicherung bezahlt sie. Die beiden Ansätze sind eigentlich komplementär zu sehen und auch implementierbar:
1. Ein Retainer reduziert Eintrittswahrscheinlichkeit und Schadenhöhe. Eine Investition, die sich jedenfalls lohnt
2. Eine Cyberversicherung deckt verbleibende finanzielle Risiken. Hier könnte man das Thema Incident Response Experten und Forensik ausnehmen und nur die finanziellen Schäden abdecken lassen. Es gibt aber wenige Versicherungen, die sich darauf einlassen.
Thomas Laszlo ist DER Experte für Notfallpläne. Schon seit Beginn seiner Karriere beschäftigt er sich mit dem Thema. Egal ob in der Hotellerie, als auch in der IT, wo er als IT-Leiter immer gleichzeitig Krisenmanager war. Seit 2019 begleitet er Unternehmen bei der Erstellung eigener Notfallpläne. Er ist Vortragender zum Thema Business Continuity bei diversen Wirtschaftsverbänden und IT-Kongressen.