Cybersecurity-Versicherung und Incident Response: Was tun, wenn Ransomware die H
Das Szenario, das niemand für möglich hält
Montagmorgen, 7:45 Uhr. Der Sachbearbeiter schaltet seinen Rechner ein und sieht statt des gewohnten Desktops eine schwarze Bildschirmseite mit roter Schrift: "Your files have been encrypted. Pay 2.5 Bitcoin within 72 hours or your data will be published." Die Verwaltungssoftware startet nicht. Die Dokumentenablage ist gesperrt. Die E-Mails sind nicht erreichbar. Der Server antwortet nicht.
Das ist kein Filmskript. Das ist ein realer Ablauf, der in den letzten drei Jahren mehrere Hausverwaltungen in Deutschland getroffen hat. Keine Großkonzerne, keine Behörden — mittelständische Verwaltungen mit 500 bis 3.000 Einheiten, deren IT-Sicherheit auf dem Niveau "Antivirensoftware ist installiert" lag.
Die Folgen: Wochen ohne funktionierende Software, manueller Notbetrieb mit Papier und Telefon, verlorene Daten, verunsicherte Mieter und Eigentümer, Meldepflichten gegenüber Aufsichtsbehörden, Kosten im sechsstelligen Bereich. Und das Schlimmste: Die meisten waren nicht versichert.
Alle Punkte dieses Abschnitts finden Sie gebuendelt in der PDF-Checkliste weiter unten.
Warum Hausverwaltungen attraktive Ziele sind
Cyberkriminelle wählen ihre Ziele nicht nach Branchenzugehörigkeit, sondern nach Verwundbarkeit und Zahlungsbereitschaft. Hausverwaltungen treffen beide Kriterien:
Die vollständige Checkliste mit allen Prüfpunkten steht Ihnen als kostenloser Download zur Verfügung — siehe Download-Bereich am Ende dieses Artikels.
Verwundbarkeit: Kleine bis mittlere IT-Budgets, kein dediziertes IT-Sicherheitspersonal, veraltete Systeme, häufig keine Netzwerksegmentierung, Mitarbeiter ohne Sicherheitsschulung. Viele Verwaltungen arbeiten mit Remote-Desktop-Zugängen ohne Zwei-Faktor-Authentifizierung — ein offenes Tor für Angreifer.
Zahlungsbereitschaft: Hausverwaltungen sind auf ihre Software angewiesen. Ohne System stehen Mietzahlungen, Abrechnungen und die gesamte Kommunikation still. Der wirtschaftliche Druck, schnell wieder arbeitsfähig zu sein, ist enorm. Und die Daten sind sensibel: Mieterdaten, Bankverbindungen, Bonitätsauskünfte, Eigentümerversammlungsprotokolle. Die Drohung, solche Daten zu veröffentlichen, erhöht den Druck zusätzlich.
Einstiegsvektoren: In den dokumentierten Fällen waren die häufigsten Angriffswege: Phishing-E-Mails mit manipulierten Anhängen (getarnt als Rechnung oder Mahnung), kompromittierte RDP-Zugänge (Remote Desktop Protocol) mit schwachen Passwörtern und ungepatchte Sicherheitslücken in veralteter Software.
Was eine Cyberversicherung abdeckt — und was nicht
Eine Cyberversicherung ist keine IT-Sicherheit. Sie ist eine Absicherung für den Fall, dass Ihre IT-Sicherheit versagt. Die Unterscheidung ist wichtig: Keine Versicherung ersetzt fehlende Schutzmaßnahmen. Und Versicherer prüfen vor Vertragsschluss, ob Mindeststandards eingehalten werden.
Was typischerweise abgedeckt ist
Forensik-Kosten: Spezialisierte IT-Forensiker analysieren den Angriff, identifizieren den Einstiegsweg und sichern Beweise. Kosten: 10.000 bis 50.000 Euro, je nach Komplexität.
Betriebsunterbrechung: Ertragsausfälle und Mehrkosten während der Ausfallzeit (Notbetrieb, Überstunden, externe Dienstleister). Deckungssummen variieren, üblich sind 500.000 bis 2.000.000 Euro.
Wiederherstellungskosten: Kosten für die Wiederherstellung von Systemen und Daten aus Backups — oder, falls keine verwertbaren Backups existieren, für die Neueingabe.
Benachrichtigungskosten: Sie müssen betroffene Personen informieren (Art. 34 DSGVO). Bei 5.000 Mietern und Eigentümern summieren sich Porto, Druck und Hotline schnell.
Krisenmanagement: Kommunikationsberatung, juristische Beratung, Verhandlung mit Angreifern (ja, manche Versicherer beauftragen Verhandlungsspezialisten).
Haftpflicht: Schadenersatzansprüche Dritter, wenn deren Daten kompromittiert wurden.
Die Checkliste zu diesem Abschnitt finden Sie als druckfertige PDF im Download-Bereich.
Was typischerweise nicht abgedeckt ist
Lösegeldzahlung: Manche Policen schließen Lösegeldzahlungen explizit aus. Andere decken sie unter bestimmten Bedingungen. Klären Sie diesen Punkt vor Vertragsschluss.
Vorsätzliches Handeln: Wenn ein Mitarbeiter die Daten absichtlich kompromittiert, greift die Versicherung nicht.
Vorvertragliche Verstöße: Wenn der Angriff bereits vor Versicherungsbeginn stattfand, besteht kein Versicherungsschutz.
Fehlende Mindeststandards: Wenn Sie grundlegende Sicherheitsmaßnahmen nicht eingehalten haben (z.B. kein Backup, kein Patchmanagement), kann der Versicherer die Leistung kürzen oder verweigern.
Imageschaden: Der Reputationsverlust gegenüber Eigentümern und Mietern ist nicht bezifferbar und nicht versicherbar.
Meldepflichten: Wer muss wann informiert werden
Bei einem Ransomware-Angriff mit Datenkompromittierung haben Sie mehrere Meldepflichten. Versäumte Meldungen können eigenständige Bußgelder nach sich ziehen.
Alle Prüfpunkte als druckbare PDF-Checkliste finden Sie im Download-Bereich unten.
1. Datenschutzbehörde (Art. 33 DSGVO)
Wenn personenbezogene Daten betroffen sind — und bei einer Hausverwaltung ist das fast immer der Fall — müssen Sie die zuständige Landesdatenschutzbehörde innerhalb von 72 Stunden nach Kenntniserlangung informieren. Die Meldung muss enthalten: Art der Verletzung, betroffene Datenkategorien und ungefähre Anzahl der Betroffenen, wahrscheinliche Folgen, ergriffene Gegenmaßnahmen.
Die passenden Arbeitsmaterialien stehen Ihnen im Download-Bereich kostenlos zur Verfuegung.
2. Betroffene Personen (Art. 34 DSGVO)
Wenn die Datenschutzverletzung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten der Betroffenen darstellt, müssen Sie die betroffenen Mieter, Eigentümer und Dienstleister direkt informieren. Bei Ransomware mit Datenabfluss ist das in der Regel der Fall — insbesondere wenn Bankverbindungen, Bonitätsauskünfte oder Gehaltsdaten betroffen sind.
3. BSI (bei kritischer Infrastruktur)
Hausverwaltungen fallen in der Regel nicht unter die KRITIS-Verordnung. Wenn Sie jedoch Energieversorgungseinheiten verwalten oder in andere KRITIS-Sektoren eingebunden sind, prüfen Sie die Meldepflicht gegenüber dem Bundesamt für Sicherheit in der Informationstechnik.
4. Strafanzeige
Eine Strafanzeige bei der Polizei ist nicht verpflichtend, aber dringend empfohlen. Sie dokumentiert den Vorfall offiziell und ist oft Voraussetzung für die Leistung der Cyberversicherung.
Alle Arbeitshilfen zu diesem Artikel finden Sie gebuendelt im Download-Bereich am Ende.
Incident-Response-Plan: Die ersten 60 Minuten
Ein Incident-Response-Plan ist ein dokumentierter Ablauf, der festlegt, wer bei einem Cyberangriff was tut — und zwar bevor der Angriff passiert. Im Ernstfall bleibt keine Zeit, um Zuständigkeiten zu klären.
Minute 0-15: Erkennen und isolieren
Betroffene Systeme sofort vom Netzwerk trennen. Nicht herunterfahren — nur Netzwerkkabel ziehen oder WLAN deaktivieren. Das verhindert die weitere Ausbreitung, ohne Beweise zu vernichten.
Keine Dateien öffnen, umbenennen oder löschen. Jeder Eingriff kann forensische Spuren zerstören.
Krisenstab benachrichtigen: Geschäftsführung, IT-Verantwortlicher (intern oder externer Dienstleister), Datenschutzbeauftragter.
Minute 15-30: Lagebild erstellen
Welche Systeme sind betroffen? Server, Arbeitsplätze, Backup, Cloud-Dienste?
Sind Daten abgeflossen (Erpressermeldung prüfen)?
Gibt es funktionierende Backups? Wann war das letzte Backup? Ist es offline (nicht erreichbar für den Angreifer)?
IT-Forensik-Dienstleister kontaktieren. Wenn Sie eine Cyberversicherung haben: Hotline anrufen — die meisten Policen enthalten eine 24/7-Notrufnummer.
Tipp: Scrollen Sie zum Download-Bereich fuer alle Vorlagen und Checklisten zu diesem Thema.
Minute 30-60: Erste Maßnahmen
Passwörter ändern: Alle Administratorkennwörter, E-Mail-Passwörter, Remote-Zugänge — von einem sauberen Gerät aus.
Kommunikation einrichten: Alternatives E-Mail-System (z.B. kostenloser Webmail-Account), Telefonliste der Mitarbeiter, Notfall-Kommunikationskanal (z.B. Messenger-Gruppe auf Privatgeräten).
Meldepflichten prüfen: 72-Stunden-Frist für die Datenschutzbehörde beginnt jetzt.
Krisenkommunikation: Was sagen Sie Mietern und Eigentümern?
Die größte Versuchung: nichts sagen und hoffen, dass es niemand merkt. Das funktioniert nicht. Wenn Ihre Verwaltung tagelang nicht erreichbar ist, keine E-Mails beantwortet und keine Überweisungen tätigt, merken es alle.
Tipp: Laden Sie sich die Checkliste herunter und haken Sie jeden Punkt bei der nächsten Umsetzung ab.
Gegenüber Mietern
Sachlich und transparent: "Unsere IT-Systeme sind von einem Cyberangriff betroffen. Wir arbeiten an der Wiederherstellung. Ihre Mietverträge und Zahlungen sind davon nicht betroffen — laufende Lastschriften werden weiterhin ausgeführt [wenn das stimmt]. Wir informieren Sie, sobald wir mehr wissen." Wenn personenbezogene Daten betroffen sind, müssen Sie das ohnehin mitteilen (Art. 34 DSGVO). Machen Sie es proaktiv, nicht auf Nachfrage.
Gegenüber Eigentümern
Eigentümer wollen drei Dinge wissen: Sind ihre Finanzdaten sicher? Sind die Abrechnungen gefährdet? Wann ist die Verwaltung wieder voll arbeitsfähig? Geben Sie ehrliche Zeitschätzungen. Lieber "Wir rechnen mit zwei Wochen eingeschränktem Betrieb" als "Wird morgen alles wieder laufen" — und dann wird es doch drei Wochen.
Gegenüber Handwerkern und Dienstleistern
Informieren Sie Ihre wichtigsten Dienstleister, dass Rechnungen und Aufträge sich verzögern können. Geben Sie eine alternative Kontaktmöglichkeit an (Mobilnummer, Privatadresse für dringende Post).
Praxisbeispiel: 18 Tage ohne System
Eine Verwaltung in Süddeutschland mit 1.800 Einheiten wurde an einem Freitagnachmittag von Ransomware getroffen. Die Verschlüsselung betraf den Hauptserver und die angeschlossene NAS-Speicherlösung — inklusive der Backups, die auf derselben NAS lagen. Ein klassischer Fehler: Das Backup war nicht vom Produktivsystem getrennt.
Die Wiederherstellung dauerte 18 Arbeitstage. Die Stammdaten konnten aus einem monatlichen Offline-Backup rekonstruiert werden, das sechs Wochen alt war. Alle Buchungen der letzten sechs Wochen mussten aus Kontoauszügen und Papierbelegen nacherfasst werden. Dokumente, die nur digital existierten, waren teilweise verloren. Die Gesamtkosten — Forensik, Wiederherstellung, Überstunden, externe Beratung — beliefen sich auf rund 120.000 Euro. Eine Cyberversicherung bestand nicht.
Fazit: Vorbereitung schlägt Reaktion
Ein Ransomware-Angriff ist keine Frage des Ob, sondern des Wann — zumindest wenn Sie keine aktiven Schutzmaßnahmen ergreifen. Die Kombination aus technischer Prävention, dokumentiertem Notfallplan und finanzieller Absicherung durch eine Cyberversicherung ist der beste Schutz. Nicht jeder dieser Bausteine verhindert den Angriff. Aber zusammen entscheiden sie darüber, ob ein Vorfall ein lösbares Problem bleibt oder zur existenziellen Krise wird.
Die passende Vorlage können Sie als Word-Dokument herunterladen — mit allen Platzhaltern zum Ausfüllen. Siehe Downloads am Ende.
Für den Abschluss einer passenden Cyberversicherung empfehlen wir einen Versicherungsmakler mit IT-Spezialisierung. Die Anforderungen und Deckungssummen variieren stark — eine individuelle Beratung ist hier unverzichtbar. Sprechen Sie uns an, wir vermitteln gern.
Ihre Downloads zu diesem Artikel
Cybersecurity-Versicherung und Incident Response (PDF)
Alle Downloads sind kostenlos. Wir bitten Sie lediglich um Ihre E-Mail-Adresse, damit wir Sie ueber neue Inhalte informieren koennen.
→ [Kostenlos herunterladen](#download)
Ihre Downloads
Alle Downloads sind kostenlos. Bei E-Mail-geschützten Dateien erhalten Sie den Download nach Eingabe Ihrer E-Mail-Adresse.