Versicherungsbote: Der aktuelle Hiscox Cyber Readiness Report 2020 berichtet von einer rückläufigen Zahl an Attacken, aber ums Sechsfache gestiegene Kosten je Schadensfall. Was sind die Gründe, dass die einzelnen Schäden immer teurer werden? Und mit welchen Kosten müssen Firmen ungefähr rechnen?

Anzeige

Tobias Tessartz: Die Angriffe werden zwar in ihrer Anzahl weniger, sind jedoch in der Umsetzung besser orchestriert und professioneller geplant. Die Hacker setzen verstärkt darauf, sich längere Zeit unbemerkt im Firmennetz umzusehen und dann zielgerichtet den größtmöglichen Schaden zu verursachen. Gleichzeitig sind eine Vielzahl der deutschen Unternehmen noch immer nicht gut genug vorbereitet und investieren zu wenig Zeit und Ressourcen in ihre IT-Sicherheitsstrategie. In der Folge fehlt es an der nötigen technischen Infrastruktur sowie internen Prozessen. So werden sie zu leichten Opfern.
Die Kosten, die einem Unternehmen durch einen Hackerangriff entstehen, sind nicht nur die des reinen Schadens. Vielmehr geht es auch um die adäquate Reaktion auf eine solche Attacke. Es braucht ein Expertennetzwerk: Angefangen bei den IT-Fachleuten, die die IT-Infrastruktur wiederherstellen und Zugänge für Hacker schließen, über Anwälte, die bei verlorenen Daten und Datenschutzverletzungen beraten und Betroffene informieren bis hin zu PR-Beratern, die helfen, Reputationsverluste für das Unternehmen vorzubeugen. Die Liste ist lang und das Know- how meist nicht im Unternehmen verfügbar. Eine Cyber-Versicherung übernimmt die Bereitstellung und die Kosten für solche Leistungen. Die Summe daraus ergibt die hohen Schadensangaben. Dabei variieren die Kosten je nach Art und Umfang des Angriffs. In Deutschland betrug der Umfang des höchsten Schadensfalls, den Hiscox bearbeitet hat, rund drei Millionen Euro, international sogar rund zehn Millionen Euro.

Beobachten Sie, dass sich deutsche Unternehmen besser gegen Cyber-Attacken schützen? Hat in den letzten Jahren ein Bewusstseinswandel eingesetzt? Das Thema ist ja medial zunehmend präsent. Viele Firmen waren zudem selbst bereits von Angriffen betroffen.

Generell sehen wir eine positive Entwicklung. Vielen Unternehmen ist mittlerweile bewusst, wie wichtig Cyber-Security ist. Die Zahl der Unternehmen mit Expertenstatus in Deutschland ist in unserem diesjährigen Cyber Readiness Report auf 17 Prozent gewachsen. Zum Vergleich: 2019 waren es noch 11 Prozent. Gerade große Firmen nehmen hier eine Vorreiterrolle ein. Kleine und mittelgroße Unternehmen hingegen haben noch Nachholbedarf. Gerade sie unterschätzen nämlich, dass sie sehr attraktive Ziele für Hacker darstellen.

Was sind häufige Einfallstore für Cyber-Kriminelle, gerade bei deutschen Unternehmen? Und haben sich diese in den letzten Jahren geändert?

Der einfachste Weg ins Unternehmensnetzwerk für einen Hacker sind nach wie vor unbedarfte Mitarbeiter. Durch Schadsoftware oder Phishing-Mails ist es unkompliziert und lukrativ, in Unternehmen einzudringen, denn noch immer öffnen Mitarbeiter zu häufig Links und Anhänge fremder Absender.

Durch die Unwissenheit von Mitarbeitern kann es so auch zu komplexeren Angriffen kommen. Wenn sich ein Hacker einmal Zugriff verschafft hat, kann er im schlimmsten Fall die Unternehmens-IT für längere Zeit von innen ausspähen und damit einen noch größeren Schaden anrichten. Mitarbeitersensibilisierung und -schulungen sind daher für die effektive Abwehr von Cyber-Angriffen von besonderer Relevanz. Sie sollten Teil der IT-Sicherheitsstrategie sein und werden auch von Versicherern als präventive Maßnahme angeboten.

66 Prozent der deutschen Firmen zählen laut Ihrem Report zu den Cyber-Anfängern. Was sind typische Defizite dieser Unternehmen?

Anzeige

Wir erkennen Defizite häufig in kleineren und mittelgroßen Unternehmen. Während Cyber-Sicherheit in 63 Prozent der befragten Großkonzerne Chefsache ist, geben bei kleinen Firmen gerade einmal 23 Prozent an, das Thema im C-Level anzusiedeln. Auch sehen wir in den Ergebnissen unseres Cyber Readiness Reports, dass noch immer 49 Prozent der befragten KMU keine Mitarbeiter haben, die für Cyber-Sicherheit verantwortlich sind. In großen Unternehmen liegt dieser Wert inzwischen nur noch bei zwei Prozent.

KMU verzichten auf Cyber-Prävention

Gerade kleine und mittlere Unternehmen verzichten noch auf Cyber-Prävention und Vorsorgemaßnahmen. Was sind die Gründe, dass gerade hier die Abdeckung noch so gering ist? Vielleicht auch die hohen Kosten von Cyber-Prävention?

Viele kleine und mittlere Unternehmen sehen zwar die Vorteile der Digitalisierung und wie sie diese für sich nutzen können, haben aber noch ein mangelndes Bewusstsein für die damit einhergehenden Risiken. Das ist ein normales und bekanntes Verhalten bei der Einführung neuer Technologien. Da Cyber-Risiken schnell existenzbedrohende Ausmaße annehmen können, muss hier ein schneller Lernprozess stattfinden. Darüber hinaus gehen KMU – wie bereits beschrieben – oft davon aus, dass sie für Cyber-Kriminelle keine interessanten Ziele darstellen. Das ist jedoch leider falsch, denn auch Cyber-Kriminelle denken ökonomisch. Und häufig ist es lukrativer, mehrere weniger gut gesicherte und kleinere Unternehmen anzugreifen, als einen internationalen Großkonzern zu infiltrieren. Oft ist also das geringe Risikobewusstsein der Unternehmen ein Grund für den Verzicht auf Vorsorgemaßnahmen. Hingegen sind die Kosten für die Cyber-Prävention häufig kein Grund – denn es gibt bereits eine große und günstige Angebotsvielfalt. In unseren Hiscox-Cyberversicherungen sind zum Beispiel Trainings für alle Mitarbeiter und weitere Präventionsleistungen kostenlos integriert.

Anzeige

Auch Cyber-Kriminelle rüsten auf und werden professioneller. Wie stark haben wir es bei den Tätern mit professionellen Strukturen zu tun?

Wir stellen bei den uns gemeldeten Schadenfällen einen Anstieg der Professionalität fest – diese Ergebnisse bestätigt der Cyber Readiness Report auch auf internationaler Ebene. Insbesondere bei breit gestreuten Angriffswellen – beispielsweise mit Schadsoftware, die die Daten der Opfer verschlüsselt und für die Freigabe der Daten ein Lösegeld verlangt – muss man häufig von organisierter Kriminalität sprechen. Das Bild des im Keller sitzenden Hacker im Kapuzenpulli ist da lange überholt. Es geht um Organisationen mit hohen Millionenumsätzen. Dementsprechend professionell ist ihr Vorgehen.

Können Sie häufige Gründe nennen, weshalb die Hacker aktiv werden? Oder ganz banal gefragt: Warum wird ein so immenser Aufwand betrieben, um Firmen zu schädigen?

Die Motivationen von Hackern sind vielfältig. Ein großer Teil verfolgt vor allem monetäre Interessen. Diese Angreifer verdienen ihr Geld damit, Unternehmensdaten zu verschlüsseln und für die Freigabe ein Lösegeld zu fordern, Daten (insbesondere Kreditkarten- sowie Gesundheitsdaten) zu stehlen und zu verkaufen oder auch im Auftrag Dritter sensible Geschäftsgeheimnisse zu entwenden. Wir erleben zudem immer wieder Schäden durch persönlich motivierte Cyber-Angriffe – sei es durch den entlassenen Mitarbeiter der IT-Abteilung oder durch den eifersüchtigen Ex-Mann, der die Arztpraxis seiner Ex-Frau hackt. Darüber hinaus gibt es noch politisch motivierte Angreifer, staatliche Akteure sowie Hacker, die einfach ihre Neugierde befriedigen und ihr Können beweisen wollen.

Ich vermute, Cyberversicherungen müssen auf die individuellen Anforderungen und Orga-Strukturen einer Firma zugeschnitten sein. Die Hiscox bietet Spezialversicherungen für Freelancer und Unternehmen. Wie hoch ist der Beratungsbedarf in diesem Bereich? Werden wir künftig auch vermehrt standardisierte Versicherungs-Produkte sehen, die online abschließbar sind?

Da die Cyber-Versicherung noch immer eine relativ junge Sparte ist, in der Kunden und Makler teilweise wenig Erfahrung haben, ist der Beratungs- sowie Aufklärungsbedarf sicherlich höher als bei einem etablierten Produkt. Wir begegnen dem mit einer Vielzahl von Produktinformationen und Vertriebshilfen, die frei zugänglich auf unserer Homepage oder im Hiscox Maklerportal heruntergeladen werden können. Darüber hinaus haben wir zahlreiche Cyber-Underwriter, die offene Fragen jederzeit schnell und professionell beantworten. Wir bieten bereits standardisierte Cyber-Versicherungslösungen für unsere Kunden bis zehn Millionen Euro Jahresumsatz an, die sich auch online abschließen lassen.

Homeoffice vergrößert Angriffsfläche

Auf welche Leistungen sollten gerade kleine und mittlere Firmen beim Abschluss einer Cyber-Police achten? Gibt es vielleicht Leistungsbausteine, die wichtig sind, aber vernachlässigt werden?

Unsere Erfahrung hat gezeigt, dass gerade kleine und mittlere Unternehmen bei einem Cyber-Schaden schnell überfordert sind. Deshalb sollten sie bei der Wahl einer Cyber-Police unbedingt auf die Unterstützung im Schadensfall achten. Hier spielt auch die Erfahrung des Versicherers eine wichtige Rolle. Ein professionelles und effizientes Schadenmanagement kann den Verlauf eines Cyber-Vorfalls maßgeblich positiv beeinflussen. Außerdem sollten Unternehmen darauf achten, ob Cyber-Bedingungen die Leistungen im Schadensfall an technische Obliegenheiten (wie z. B. eine „Stand-der-Technik-Klausel“) knüpfen. Hier ist Vorsicht geboten. Abschließend lohnt es sich, darauf zu achten, welche Präventiv-Leistungen der Versicherer unabhängig vom Eintritt eines Versicherungsfalls anbietet. Dazu zählen auch die genannten Mitarbeiterschulungen.

Viele Firmen sind aufgrund der Corona-Krise ins Home-office gewechselt und werden auch danach verstärkt daran festhalten. Was sind im Homeoffice typische Cyber-Gefahren? Wie unterscheiden sie sich von den Risiken, wenn alle im Büro auf ihrem Arbeitsplatz arbeiten?

Das Homeoffice vergrößert für Cyber-Kriminelle sowohl die technische als auch die menschliche Angriffsfläche. Um von Zuhause aus arbeiten zu können, müssen sich Mitarbeiter in der Regel aus der Ferne mit dem IT-System ihres Arbeitgebers verbinden. Diese Schnittstelle können Angreifer ausnutzen. Deshalb ist es besonders wichtig, dass diese Stellen adäquat abgesichert werden. Wir empfehlen hierbei eine verschlüsselte VPN-Verbindung mit 2-Faktor-Authentifizierung. Hinzu kommt, dass viele Unternehmen in der Corona-Krise die Entscheidung, ins Homeoffice zu gehen, unvorbereitet und in Eile treffen mussten. Dabei wurden den Themen technische Sicherheit und Schulung von Mitarbeitern nicht immer die nötige Aufmerksamkeit geschenkt. Im Homeoffice kommunizieren Arbeitnehmer zudem deutlich mehr per E-Mail. Da diese sich leichter fälschen lassen als persönliche Gespräche, ist die Wahrscheinlichkeit höher, dass Mitarbeiter auf einen Täuschungsversuch hereinfallen. Zudem ist es am heimischen Rechner schwieriger, einen Kollegen bei einer dubios erscheinenden E-Mail nach einer zweiten Meinung zu fragen oder ihn persönlich auf seine vermeintliche E-Mail anzusprechen.

Sie arbeiten viel mit Versicherungsmaklern zusammen. Ihr Eindruck: Ist bei Maklern das Thema Cybergefahren angekommen? Bedeutet es sogar ein Haftungsrisiko, wenn Gewerbekunden nicht darüber aufgeklärt werden?

Anzeige

Mittlerweile ja. Die meisten Makler mit Gewerbekunden haben die Relevanz des Themas erkannt. Und das müssen sie auch! Cyber-Gefahren können für Unternehmen existenzbedrohend werden. Makler müssen ihre Kunden zu möglichen Absicherungen dieser Risiken beraten, sonst setzen sie sich einem Haftungsrisiko aus. Darüber hinaus besteht natürlich die Gefahr, dass bestehende Kunden vom Wettbewerber übernommen werden, der über digitale Risiken aufklärt.

Hinweis: Der Text erschien zuerst im Versicherungsbote Fachmagazin

Seite 1/2/3/