Wie deutsche Unternehmen Cyberrisiken unterschätzen

Trugbild Cybersicherheit?

LinkedInRedditWhatsApp

Ransomware in wenigen Stunden, KI-gestützte Phishing-Angriffe, staatsnahe Hacker als Werkzeug hybrider Kriegsführung – die Bedrohungslage für Unternehmen hat sich 2025 fundamental verändert. Während das Bewusstsein für Cyberbedrohungen wächst, steigt paradoxerweise das Gefühl der Vorbereitung – eine gefährliche Lücke zwischen Wahrnehmung und Wirklichkeit.

Carina Mitzschke, Redakteurin it security, sprach mit Gesine Froese, Regional Manager DACH Cyber Risks bei Beazley.

Anzeige

Frau Froese, der aktuelle Beazley-Report zeigt: 80 Prozent (Stand 2026) der deutschen Führungskräfte fühlen sich gut auf Cyberrisiken vorbereitet – gleichzeitig nehmen Angriffe zu. Wie prüfen Versicherer, ob das Sicherheitsniveau in Unternehmen ausreicht?

Gesine Froese: Als Versicherer verlassen wir uns nicht auf Selbsteinschätzungen, sondern gehen selbst in die Prüfung der individuellen Risikosituation. Unsere Erfahrung sowie auch unsere Risk & Resilience Studie zeigen; viele Unternehmen übersch.tzen ihre Cyberresilienz.

Aufgrund dessen setzen wir in unserer Risikoprüfung auf nachweisbare Sicherheitskontrollen, zum Beispiel im Bereich von Identitäts- und Zugriffsmanagement, Backup-Strategien oder die Rechteverteilung privilegierter Accounts. Im Fokus steht ebenfalls die Resilienz im Ernstfall, unter anderem durch getestete Incident-Response-Pläne oder durch den Aufbau einer Business-Continuity- Strategie. Zusätzlichen fließen die Erkenntnisse aus unserem Erfahrungsschatz von über 20.000 bearbeiteten Cyberfällen in die Bewertung ein. Das erlaubt uns, Wahrnehmungen und tatsächliche Risikoqualität sauber voneinander zu unterscheiden und risikobasiert zu underwriten.

Anzeige

Cyberversicherungen werden meist nur als ein Baustein einer mehrschichtigen Sicherheitsstrategie genannt – logischerweise nicht als Lösung. Wie schwer ist es, dieses Verständnis bei Entscheidern zu verankern?

Gesine Froese: Das ist eine der zentralen Herausforderungen. Viele Unternehmensentscheider erwarten immer noch, dass eine Police eine strukturelle Sicherheitslücke stopft. Dem ist natürlich nicht so. Eine klassische Cyberversicherung ist ein monetärer Risikotransfer, kein Ersatz für Security.

Unser Beazley-Ansatz ist bewusst anders: Um unsere Kunden bei dem Aufbau einer höheren Resilienz zu unterstützen, bauen wir auf unsere Lösung Full Spectrum Cyber. Diese verbindet Versicherung, Prävention und Incident Response. Dabei berücksichtigen wir nicht nur aktuelle Risiken, sondern auch zukünftige Entwicklungen der Cyberbedrohungslage. Hier hilft, dass wir Cyber nicht als isoliertes IT-Thema betrachten, sondern als Unternehmensrisiko, das in das strategische Risikomanagement eingebettet sein sollte.

Ransomware-Angriffe treffen nicht nur direkt die Zielunternehmen, sondern laufen zunehmend über kleinere Zulieferer in der digitalen Lieferkette. Wie verändert das Ihre Risikomodelle bei der Versicherungsprüfung? Was leistet eine Cyberversicherung im Ernstfall konkret und was nicht?

Gesine Froese: Angriffe über Zulieferer sind längst kein Randphänomen mehr, sondern ein zunehmend systematisches Risiko, mit dem wir uns befassen. Third-Party-Risiken sind ein eigenständiger Bewertungsfaktor im heutigen Underwriting von Policen. Wir setzen unter anderem seit mehr als fünf Jahren einen verstärkten Fokus auf Resilienz im Zusammenhang mit Business Continuity. Anfangs sahen insbesondere Makler, diese ergänzenden Fragen als kritisch, da angeblich nur wir, zu diesen Aspekten Rückmeldungen vom Kunden wollten, heute begrü.en sie die ganzheitliche Berücksichtigung im Underwriting.

Zu Ihrer Frage, was eine Cyberversicherung umfasst: Eine Cyberversicherung hat drei Komponenten, den Kosten- und Assistance-Part, die Eigenschadendeckung und die Haftpflichtkomponente. Sie reguliert unter anderem Kosten für Incident Response, für Forensik-, Krisen-, oder Wiederherstellungsarbeiten. Auf der Eigenschadenseite übernimmt sie weiterhin, den entgangenen Gewinn aufgrund von Betriebsunterbrechungen. In Bezug auf Drittparteien, die Haftpflicht inklusive der rechtlichen Beratung für Verletzung von Vertraulichkeit.

Laut Report planen 82 Prozent (Stand 2025) der deutschen Unternehmen, ihre Cybersicherheit bei Drittanbietern zu verbessern – aber Verträge mit Dienstleistern schränken deren Haftung oft stark ein. Wer trägt am Ende das finanzielle Risiko?

Gesine Froese: In der Praxis fast immer das beauftragende Unternehmen. Unsere Daten zeigen zwar, dass in 2025 82 Prozent der deutschen Unternehmen ihre Cybersicherheit bei Drittanbietern verbessern wollten, aber Haftungsbeschränkungen in Verträgen bestehen.

Eine Cyberversicherung kann hier Risiken abfedern, ersetzt aber keine saubere Vertragsgestaltung. Unternehmen müssen sich bewusst sein, dass das Restrisiko oft bei ihnen bleibt – versichert oder nicht.

Größe schützt nicht vor Cyberrisiken, sie verändert nur den Charakter.

Gesine Froese, Beazley Group

KI macht Cyberkriminelle schneller und überzeugender – Deepfakes, automatisierte Angriffe, perfektioniertes Phishing. Schlägt sich diese neue Qualität der Bedrohung bereits in den Versicherungspolicen nieder?

Gesine Froese: Ja, aber weniger über Schlagworte als über Risikologik. KI macht Angriffe schneller, skalierbarer und schwerer zu erkennen. Für uns heißt das höhere Eintrittswahrscheinlichkeiten, insbesondere bei Phishing und Identitätsmissbrauch.

Angriffe, die mit Hilfe von KI konzipiert sind, sind im Deckungsumfang unserer Police mitversichert. Im Underwriting reagieren wir darauf mit klareren Mindestanforderungen und einer kontinuierlichen Gewichtung menschlicher und technischer Kontrollmechanismen.

Zwar verändert KI das Cyberrisiko im negativen, kann aber bei richtiger Konfiguration auch eine enorme Chance in der Cybersicherheitsstrategie sein. KI wird ebenfalls in der Abwehr und Prävention von Unternehmen eingesetzt. Anomalieerkennung, Monitoring und Blockierung von böswilligen Aktionen ist durch den Einsatz von KI schneller und unterstützt menschlich geführte SOCs erheblich.

Großunternehmen stufen Cyberrisiken mit 36 Prozent (Stand 2926) deutlich höher ein als der Mittelstand. Investieren große Unternehmen deshalb auch realistischer in ihre Absicherung – oder gibt es dort andere blinde Flecken?

Gesine Froese: In Bezug auf das strukturierte Management von Cyberrisiken, sind größere Unternehmen häufig weiterentwickelt. Sie weisen größere Teams für Cybersicherheit auf und haben weitgehende Governance-Regeln. Ressourcen für IT- und Cybersicherheit sind vorhanden, größere Teams und fortschrittliche Technologien im Einsatz. Generell weisen sie auch eine erhöhte Awareness in Bezug auf Cyber auf, das Bewusstsein, ein potenzielles Ziel von Kriminellen zu sein, ist verankert und entsprechend wird sich häufiger auf den Ernstfall vorbereitet.

Ein „Nachteil“ größerer Organisationen kann die Komplexität ihrer Netzwerke sein, oder das Versäumnis einer konsequent gelebten Governance. Die internen Policies weisen „blinde Flecken“ auf und umfassen nicht alle Bereiche des Unternehmens, sodass der ganzheitliche Cyberansatz mitunter an organisatorischen Silos scheitern kann.

Viele große Organisationen haben formell starke Programme, aber Schwächen in der Umsetzung – etwa in internationalen Einheiten oder bei externen Dienstleistern. Größe schützt nicht vor Cyberrisiken, sie verändert nur den Charakter.

Staatliche Akteure nutzen Cyberangriffe als Mittel hybrider Kriegsführung. Ist geopolitisch motivierte Cyberkriminalität versicherbar – und wenn ja, zu welchen Konditionen?

Gesine Froese: Grundsätzlich ja, aber unter klar definierten Bedingungen. Staatlich motivierte oder staatsnahe Angriffe bewegen sich oft an der Grenze zwischen Kriminalität und Kriegshandlung.

Bei Beazley bewerten wir solche Risiken sehr differenziert, unter anderem mithilfe unseres Cyber Threat Council, welches geopolitische Entwicklung fortlaufend analysiert. Versicherbarkeit hängt stark von Attribution, Eskalationsgrad und den Bedingungen des Vertrags ab.

Was ist der häufigste Fehler, den Unternehmen beim Abschluss eine Cyberversicherung machen?

Gesine Froese: Der häufigste Fehler ist, die Cyberversicherung zu spät abzuschließen oder sie als abschließendes Management ihres Cyberrisikos zu betrachten. Viele Unternehmen kommen erst nach einem Vorfall auf die Idee, eine Cyberversicherung abzuschließen und sind zwar kurzfristig sensibilisiert, verbessern ihre Cyberstrategie aber nicht kontinuierlich. Oft wird der monetäre Risikotransfer nicht ordentlich in das strategische Risikomanagement eingebettet oder die IT-Abteilungen nicht vom Einkauf mitgenommen.

Eine gute Cyberdeckung setzt voraus, dass Risiko, Prozesse und Verantwortlichkeiten verstanden werden. Wer die Police als reine Pflichtübung betrachtet, verschenkt einen Großteil ihres strategischen Nutzens. Wer glaubt, durch die Police das Cyberrisiko abschließend gemanagt zu haben, ebenfalls.

Frau Froese, wir danken Ihnen für dieses Gespräch.


Gesine

Froese

Regional Manager Cyber Risks Dach

Beazley Group

Anzeige

Artikel zu diesem Thema

Weitere Artikel

KI als Gamechanger: Struktur statt Chaos
Warum Cybersecurity keine reine IT-Frage mehr ist
Reddit-Debatte: Verborgene Hürden im IT-Security-Alltag
Totale Kontrolle durch Git-Push? Die Sicherheitslücke, die GitHub erschütterte
Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.