„Unternehmen werden erheblich in ihre IT Sicherheit investieren müssen“
Es gibt kaum ein Unternehmen, das Cyberkriminelle nicht hacken können, wenn sie sich nur entsprechend anstrengen und Spezialisten darauf ansetzen, weiß Jörg Wälder, CEO des Cyberexperten COGITANDA. Im Interview mit Versicherungsbote erklärt er, welche Cyberrisiken in Zukunft auf deutsche Unternehmen zukommen, warum „Cyber“ noch immer häufig unterschätzt wird und wie sich Unternehmen besser vor Angriffen schützen können.
- „Unternehmen werden erheblich in ihre IT Sicherheit investieren müssen“
- „Unternehmen werden erheblich in ihre IT Sicherheit investieren müssen“
Versicherungsbote: Ob mittelständische Unternehmen, Kommunen oder ganze Staaten: Von Hackerangriffen ist niemand gefeit, scheint es. Wie bedrohlich ist die Entwicklung?
Anzeige
Jörg Wälder: Wir erleben eine starke Zunahme von Cyberkriminalität – sowohl bei der Durchschlagskraft der Angriffe als auch bei ihrem wirtschaftlichen Schaden. Dahinter steckt eine Mischung aus Staatsterrorismus und zivilen Kriminellen. Die Instrumente, die die Cyberkriminellen einsetzen, stammen häufig aus staatlicher Entwicklung, sind, wenn Sie so wollen, oft militärische Abfallprodukte. Das war schon vor Jahren so und hat sich bis heute kaum geändert. Mittlerweile laufen Cyberangriffe aber deutlich gezielter ab als in der Vergangenheit. Großunternehmen und Mittelständler werden sorgfältig ausgewählt und mit den individuell passenden Instrumenten angegriffen.
Wie hoch waren die Schadenssummen im vergangenen Jahr, wie dynamisch die Entwicklung?
Man muss unterscheiden zwischen dem, was von Kriminellen an Lösegeldern verlangt wird und dem, was ansonsten an wirtschaftlichem Schaden angerichtet wurde. Die erpressten Gelder sind nur in den spektakulären Fällen wirklich hoch, beispielsweise bei dem US-Pipeline-Betreiber Colonial Pipeline (4,4 Millionen Dollar, d. Red.). Bei üblichen Schäden sind das eher ein paar Hunderttausend Dollar. Doch das Lösegeld ist nicht das eigentliche Problem. Das Problem ist der Stillstand der Unternehmen. Wenn Hacker erst einmal eingedrungen sind und die Systeme verschlüsseln, haben die geschädigten Unternehmen keinen Zugriff mehr – nicht auf ihre Daten, nicht auf ihre Produktionssysteme, nicht auf ihre Abrechnungssysteme. Sie können schlicht keine Aufträge mehr abwickeln. Ob Unternehmen zahlen oder nicht: Ein erfolgreicher Angriff führt zu einer Unterbrechung des Betriebes, die dann einen in der Regel sehr großen wirtschaftlichen Schaden verursacht. Schätzungen zufolge belief sich die Schadensumme 2020 durch Cyberkriminalität allein in Deutschland auf 223 Milliarden Euro – ein deutlicher Anstieg gegenüber dem Vorjahr.
Ist das Bewusstsein für die Gefahr für Cyberkriminalität groß genug? Oder wird es noch immer unterschätzt in Deutschland, vor allem im Mittelstand?
Um das zu beurteilen, muss man die Historie betrachten: Die ersten, die sich damit ernsthaft auseinandergesetzt haben, waren die großen börsennotierten Unternehmen. Da waren es vor allem Aufsichtsräte, die bei ihren Managern das Bewusstsein für das Problem der Cyberkriminalität geschärft und auch auf entsprechende Versicherungen gedrängt haben. Denn es geht dabei auch um Haftungsrisiken der Vorstände – auch um die der Aufsichtsräte selbst übrigens. Und deswegen ist es auch nicht verwunderlich, dass Großkonzerne in der Regel heute entsprechend versichert sind. Im Mittelstand steigt das Bewusstsein zwar, aber ich schätze, dass außerhalb der Blue Chips bisher nur etwa 10 Prozent der Unternehmen in Deutschland gegen Cyberrisiken versichert sind. Dabei fragen inzwischen auch erste Banken vor der Finanzierung schon danach.
Warum so wenig? Unternehmen sind gegen alles abgesichert, aber gegen eine moderne Bedrohung, die ständig in den Medien auftaucht, nicht…
Anzeige
Das Bewusstsein für die Risiken und das Interesse an entsprechenden Versicherungen steigt zwar. Das Thema ist aber zu komplex, als dass es ohne qualifizierte Beratung durch einen Kunden eingedeckt werden könnte. Sprich: Es läuft über die Makler. Und die Makler brauchen entsprechende Unterstützung bei dem Thema, eine gute Ausbildung und geeignete Instrumente. So lange Unsicherheit bezüglich des Produktes besteht, wird es ein Makler eher nicht anbieten. Daher haben wir eine Plattform gebaut, die unsere 3.500 angeschlossenen Makler beim Thema Cyber unterstützt. Dort ist der gesamte Prozess der Beratung elektronisch hinterlegt. Dazu kommen unsere Spezialisten vor Ort, die den Maklern helfen. Hilfe zur Selbsthilfe quasi, damit die Makler das Thema schnell selbst in den Griff bekommen.
„Unternehmen werden erheblich in ihre IT Sicherheit investieren müssen“
Wie können sich Unternehmen schützen? Was sind ihre größten Schwachstellen?
Alles beginnt damit, den Status Quo zu erfassen. Da erleben viele Unternehmen handfeste Überraschungen. Die glauben, sie seien ordentlich aufgestellt, sind aber häufig nicht auf dem technischen und organisatorischen Stand der Angreifer. Sie denken oft auch nur an ihre technischen Systeme – aber nicht an die Mitarbeitenden in ihren Unternehmen. Dabei ist der Mensch die absolute Schwachstelle im Unternehmen, die von Cyberkriminellen als Einfallstor genutzt wird. Mitarbeitende, die unbedacht auf einen Link oder Anhang klicken. Die in Gesprächen fahrlässig Dinge preisgeben. Die auf Parkplätzen verstreute USB-Sticks ungeprüft in ihre Rechner stecken. Die viel Geld irgendwohin überweisen, weil sie meinen, vom Topmanagement dazu beauftragt worden zu sein. All das gibt es wirklich, und das passiert Tag für Tag.
Anzeige
Man denkt bei Cyberkriminalität immer an Angriffe auf bombastische Firewalls. Aber es geht ja viel simpler…
Ja, es ist viel einfacher als man gemeinhin glaubt. Natürlich kommen Hacker auch durch eine moderne Firewall. Es gibt kaum ein Unternehmen, das Cyberkriminelle nicht hacken können, wenn sie sich nur entsprechend anstrengen und Spezialisten darauf ansetzen. Das Durchdringen technischer Abwehrmechanismen, wie man das in einem Thriller sehen würde, ist aber viel aufwändiger als einen Mitarbeiter dazu zu bewegen, irgendetwas herunterzuladen zum Beispiel. Die Technik muss auf den neuesten Stand gebracht werden, so dass sie Angriffe erkennt und verteidigt, das ist eine Selbstverständlichkeit. Aber vor allem auch die Mitarbeiter müssen geschult werden, ohne das geht es nicht.
Und dafür sorgt Cogitanda. Wie gehen Sie da vor?
Wir gehen die ganze Bandbreite der Risikopräventionsthemen mit unseren Maklern und Kunden durch. Wir greifen die Systeme auf Wunsch auch selbst an, in verschiedenen Ausprägungen, und kontaktieren Mitarbeiter persönlich. Wir schicken denen E-Mails, die sehr geschickt gemacht sind. Wir rufen sie an, und ja: Wir haben auch schon Sticks auf Parkplätzen verteilt. Wir führen diesen Mitarbeitenden die Probleme und Schwachpunkte drastisch vor Augen, und zwar so, dass es die Betreffenden nicht vergessen. Einem unvorsichtigen Mitarbeiter gefriert das Blut in den Adern in dem Moment, in dem er mitgeteilt bekommt: Das wäre es gewesen, ihr Unternehmen wäre jetzt gehackt und hätte ein enormes Problem.
Was wird denn alles von Ihnen versichert?
Alles, was vernetzt ist, was digital ist, was zentral gesteuert wird, darum kümmern wir uns. Und das geht über das hinaus, was der Markt klassisch als Cyber bezeichnet. Bei uns werden auf Wunsch beispielsweise auch elektronische Geräte sowie Maschinen und Anlagen komplett mitversichert, alles, was in der heutigen Welt Daten verarbeitet und zentral gesteuert wird. Wir beschäftigen uns letztendlich mit den Risiken, die aus der Digitalisierung entstehen, mit ihrer Kehrseite sozusagen.
Bleibt es ein Markt der gewerblichen Kunden?
Nein, wir arbeiten schon länger daran, auch private Haushalte zu versichern. Denn natürlich sind auch diese Opfer von Cyberkriminellen und werden immer stärker digitalisiert und vernetzt – Stichwort Smart Home zum Beispiel. Wir wollen das vernünftig lösen, daher braucht das Thema Zeit. Anfang 2023 wollen wir aber so weit sein, eine entsprechende Versicherung auch für Privathaushalte anzubieten.
Wie hat sich das Geschäft von Cogitanda zuletzt entwickelt, wie stark wächst Ihr Prämienvolumen?
Wir verdoppeln das Volumen jährlich und sind inzwischen auf dem Weg zu 20 Millionen Euro Netto-Prämienbestand. Das in einem deutschen Markt in einer Größenordnung von etwa 400 Millionen Euro – unser Marktanteil in Deutschland sollte also aktuell bei ca. 5 % liegen. Wobei das Wachstum deutlich stärker sein könnte, denn wir müssen die meisten Anfragen heute noch ablehnen.
Warum das?
Wir entdecken meist schnell organisatorische und technische Unzulänglichkeiten. Viele Unternehmen machen nicht einmal funktionierende Backups. Und die Angreifer haben ein technisch hohes Niveau erreicht, sie entwickeln sich meist schneller weiter als die Verteidiger. Die zu versichernden Risiken sind ernst zu nehmen, da ist kein Platz für einen faulen Kompromiss auf der IT-Sicherheitsseite.
Kommen wir zu Ihren Plänen. Die internationale Expansion ist ein wichtiges Vorhaben für die kommenden Jahre…
Ja. In Österreich sind wir schon seit einem Jahr tätig und der Start in Frankreich steht unmittelbar bevor, danach folgen die Benelux-Länder, dann sind Spanien und Portugal an der Reihe. In den kommenden vier bis fünf Jahren wollen wir in insgesamt 14 europäischen Ländern unsere Dienstleistungen anbieten. Großbritannien würden wir auch lieber heute als morgen als Markt adressieren, aber der Brexit macht die Dinge komplex und teilweise undurchsichtig, wir warten also noch ab. Aber London ist der Markt mit den größten Cyber-Kapazitäten weltweit, deswegen befassen wir uns natürlich auch heute schon damit.
Und es soll ein neues Programm für industrielle Großkunden geben…
Anzeige
In der zweiten Hälfte dieses Jahres. Wir betätigen uns jetzt vor allem in einem Markt von Unternehmen bis 500 Millionen Euro Jahresumsatz. Nördlich davon fängt für uns das Industrie-Segment an. Der Markt ist deutlich anders, es sind andere Risiken, teilweise auch andere Makler. Diesen Kunden wollen wir professionelle Angebote machen und bereiten das gerade vor. Ob es anschließend auch in Dax-Gefilde geht und wir die Volkswagens oder Daimlers dieser Welt versichern? Warum nicht, in vier oder fünf Jahren möglicherweise. Aber wir müssen ihre Risiken schon zu hundert Prozent verstehen, sonst passt das nicht zu unserem Selbstverständnis. Ablehnen auch für diese spannenden Unternehmen zu arbeiten, würden wir wohl kaum.
- „Unternehmen werden erheblich in ihre IT Sicherheit investieren müssen“
- „Unternehmen werden erheblich in ihre IT Sicherheit investieren müssen“