Ein Maschinenbauer aus Südwestdeutschland wurde unlängst Opfer einer neuartigen Erpressungssoftware, die vorher auch den Behörden noch nicht bekannt war. Die IT-Systeme mussten überprüft und gereinigt werden, so dass diese über einen Zeitraum von sechs Wochen nicht zur Verfügung standen. Das Unternehmen stand vor einem Schaden in zweistelliger Millionenhöhe.
Gleich vorweg: die Unternehmensgröße hat keine Relevanz für die Wahrscheinlichkeit Opfer einer Cyberattacke zu werden. Große Unternehmen wie beispielsweise Apple müssen sich genauso mit dem Thema auseinandersetzen wie mittelständische Firmen hierzulande. Und deutlich wird auch: Die kriminelle Energie hat einen neuen Höhepunkt erreicht. Die Wahrscheinlichkeit für Angriffe und die potenzielle Schadenhöhe für Unternehmen steigen exponentiell. Dabei zeigt sich immer wieder, dass viele deutsche Mittelständler teilweise nicht gut genug gegen Cyberrisiken gewappnet sind und cyberkriminelle Gruppen gleichzeitig immer professioneller werden.
Es verwundert daher nicht, dass sich die Cyberversicherung großer Beliebtheit erfreut – und aktuell eines der meistdiskutierten Themen im Versicherungsgeschäft ist. Spektakuläre Schadenfälle mit großer Medienresonanz dynamisieren die Nachfrage nach dem entsprechenden Versicherungsschutz und führen bei Versicherungsunternehmen zu starkem Wachstum in dieser Sparte, aber auch zu zahlreichen Schadenfällen und teilweise hohen Schadenquoten.
Hohe Nachfrage trifft auf eingeschränktes Angebot
Daher haben manche Versicherer ihre Zeichnungskapazitäten eingeschränkt – unter anderem aus Sorge um Kumul-Schäden und dem Betriebsunterbrechungsrisiko. Das führte dazu, dass alle Versicherer ihre Preise und Selbstbehalte erhöht haben, die Mindestanforderungen an die IT-Sicherheit mehr und komplexer geworden sind und einige Versicherer sich sogar komplett aus dem Markt zurückgezogen haben. So ist es aktuell weniger die Frage „Wie teuer ist eine Cyberversicherung für mein Unternehmen?” als vielmehr „Wie bekomme ich eine Cyberversicherung?”.
Eine Cyberversicherung ist heute allerdings genauso wichtig wie eine Feuerversicherung. Und sie hat einen großen Vorteil: Sie reguliert nicht nur den Schaden, sondern hilft bei der Evaluierung der eigenen Cybersecurity. Durch ein Assessment werden in vielen Fällen erst die vorhandenen Lücken in der IT-Sicherheit aufgezeigt. Hier muss ein neues Bewusstsein geschaffen werden, um Unternehmen überhaupt versicherbar zu machen und gegen Cyberangriffe schützen zu können. Dabei beginnt der Beratungsprozess rund um die Absicherung von Cyberrisiken bereits deutlich vor dem Versicherungsabschluss. Manche Kunden schrecken vor der Komplexität und dem Aufwand, der mit einer Cyberversicherung einhergeht, zurück.
Smarte und modulare Angebote helfen hier dem Kunden. Ein sehr wichtiger Deckungsbaustein, der modular angeboten wird, ist die „Cyber-Crime-Deckung", die zum Beispiel das Phishing von Bankdaten oder die täuschende Erlangung von Zahlungstransaktionen decken (Fake-President-Methode). Auch Vertragsstrafen lassen sich individuell absichern.
Beratung macht versicherbar
Durch den Beratungsprozess werden viele Unternehmen erst versicherbar, weil ihnen ihre Risiken bewusst werden und sie aktiv an Lösungen mitarbeiten können. Es steigt die Aufmerksamkeit für die eigene Angreifbarkeit. Ein Schwachstellenprofil, das Experten gemeinsam mit dem Unternehmen machen, zeigt auf, wie sich das Risiko reduzieren lässt.
Darin werden jene IT-Aspekte aufgelistet, die ein hohes Cyberrisiko verursachen. Das sind zum Beispiel Schwächen im Bereich Datensicherung oder Patch-Management (also keine zeitnahe Einspielung von Softwareupdates). Hierbei hilft ein gutes Verständnis über die Zeichnungsrichtlinien der Versicherer, um Cyberdeckungen zu erhalten – zum Beispiel, dass Datensicherungen mindestens wöchentlich und Patch-Einspielungen mindestens alle vierzehn Tage erfolgen müssen.
Denn häufig wird erst durch die Risikoreduktion ein Unternehmen überhaupt versicherbar. Bereits versicherte Unternehmen können zudem durch eine bessere Risikoeinschätzung ihre Versicherungsprämien potenziell verringern.
Die zentralen Fragstellungen
Unternehmen – ganz gleich welcher Größe – stehen vor zentralen Fragestellungen: Was tun im Falle eines Cyberangriffs? Existieren Notfallpläne (nicht nur am Laufwerk abgespeichert)? Wer übernimmt im Unternehmen den Lead? Welche Sofortmaßnahmen werden ergriffen? Liegen alle Adressen und Kontaktdaten der Firmen vor, die informiert werden müssen? Wichtiger Tipp: In der Versicherungspolice steht in der Regel eine Erst-Kontakt-Nummer, die Unternehmen anrufen sollten. Je nach Schaden empfiehlt die Versicherung dann die richtigen IT-Experten, Juristen und Kommunikationsberater, die sofort helfen können.
Wir sehen aus der Schadenerfahrung, wie wichtig es ist, dass die Mitarbeiterinnen und Mitarbeitern Teil des Sicherheitsprozesses sind. Die Schnittstelle zwischen Mensch und Maschine birgt statistisch das höchste Risiko – mehr als 85 Prozent aller Angriffe nehmen laut einer Human Risk Review 2022 von Sosafe ihren Anfang bei den Mitarbeiterinnen und Mitarbeitern.
Hier sehen wir auch die Grenzen der technischen Unterstützung. Denn die Menschen hinter den Bildschirmen reagieren auf Emotion. Phishing-Mails arbeiten in perfider Art genau mit diesem Mechanismus: Sie wecken das Interesse oder die Angst der Mitarbeiter. Kriminelle Gruppen schrecken hier vor nichts zurück, hinter bewegenden Spendenaufrufen verstecken sich tückische Einfallstore. Die Mehrzahl der Versicherer verlangt daher, dass die Firmen regelmäßig Awareness-Schulungen im Bereich Cyber durchführen, denn das unbedachte Öffnen von Mails und Anklicken von eigentlich verdächtigen Anhängen sind eine der großen „Einfallstore“ für Cyberattacken.
Das Umdenken, das hier stattfindet, ist: Für die Sicherheit ist nicht (nur) das Versicherungsunternehmen zuständig, sondern auch jeder einzelne Mitarbeitende.
Sven Erichsen ist non-executive Director bei Finlex, einer Online-Versicherungsplattform für Gewerbe- und Industriekunden, darunter D&O-, Cyber-, Strafrechtsschutz-, Vertrauensschaden-, Vermögensschaden-Haftpflicht- und Kapitalmarkttransaktions-Versicherungen.
