Cyber-Versicherung als zusätzliche IT-Sicherheitsmassnahme
Quelle: iStock Photo

Cyber-Versicherung als zusätzliche IT-Sicherheitsmassnahme

Von Fulvio Elia

Kaum ein Unternehmen ist heute noch gefeit vor Cyber-­Angriffen. Prävention ist dabei das A und O. Kommt es aber trotzdem zu einer erfolgreichen Attacke, hilft eine Cyber-Versicherung, den Schaden in Grenzen zu halten.

Artikel erschienen in Swiss IT Magazine 2017/04

     

Cyber-Attacken ziehen immer wieder das öffentliche Interesse auf sich. In regelmässigen Abständen berichten die Medien beispielsweise über den Datenverlust gehackter Grossunternehmen oder versuchte Attacken auf Flughäfen, andere öffentliche Institutionen und sogar Staaten. Immer mehr geraten aber auch kleinere und mittlere Firmen ins Visier von Hackern. Doch was sind die Risiken für einen Kleinbetrieb? Kann denn zum Beispiel ein lokaler Schreinereibetrieb in einer ländlichen Region ebenfalls von einem Cyber-Angriff betroffen sein?

Keine Firma ist vor Cyber-­Attacken gefeit

Natürlich sind Firmen, die im Kerngeschäft von der Informatik abhängig sind, besonders stark gefährdet. Zum Beispiel solche, die einen Webshop betreiben. Ein Schreiner fürchtet sich wahrscheinlich eher vor einem Grossbrand als einem Cyber-Angriff. Doch grundsätzlich kann heute jede Firma, die in irgendeiner Form auf IT-Systeme angewiesen ist, zum Ziel von Cyber-Attacken werden. Und IT-Systeme finden sich in praktisch jedem Unternehmen, da kaum jemand auf E-Banking, Online-Bestellungen oder elektronische Buchhaltung und Kundendatenbank verzichten kann. Dieses Risiko wird in kleineren und mittleren Firmen allerdings oftmals unterschätzt. Dass auch ein Schreiner betroffen sein kann, zeigt ein aktuelles Beispiel. Ende Januar 2017 stellte eine Schreinerei im Kanton Bern fest, dass vier Zahlungen über 437’000 Franken von ihrem Firmenkonto ausgelöst worden waren, ohne dass sie einen entsprechenden Auftrag gegeben hatte. Es stellte sich heraus, dass die Schreinerei Opfer eines Hacker-Angriffs geworden war. Ein Trojaner hatte sich zuvor in ihrem IT-System eingenistet und die betrügerischen Zahlungen überhaupt erst möglich gemacht.


Der Zahlungsverkehr ist aber nur ein Beispiel, wie Hacker sich an Firmen bereichern können und ihnen Schaden zufügen. Heutzutage verschmilzt die Produktionssteuerung immer mehr mit der Informatik. Sobald eine Produktionsanlage mit einem Computer gesteuert werden kann, ist es für einen Hacker möglich, diese lahmzulegen oder fehlerhafte Teile zu produzieren, indem er die Befehle in der Software manipuliert.

Trojaner und infizierte ­Schadsoftware

Die Schadenerfahrung zeigt, dass insbesondere Verschlüsselungs-­Software den KMU das Leben schwermacht. Dabei geht es um Viren, die in der Regel als Hintergrundprogramm in ein Computersystem eingeschleust werden und die in der Folge sämtliche Daten verschlüsseln. Als Opfer solcher Cyber-Attacken kann man die eigenen Daten nicht mehr verwenden. Meistens folgt danach ein Erpressungs-E-Mail, das eine Lösegeldforderung stellt. Für viele Firmeninhaber ein Horrorerlebnis, auf das sie nicht vorbereitet sind. Zum einen kann dies existenzielle Ängste hervorrufen, zum anderen ist die geforderte Frist für das Lösegeld oft sehr kurz, so dass der Betroffene kaum mehr in Ruhe überlegen kann, wie er am besten damit umgehen soll. Die Erpresser bieten im Darknet teils auch Support-Hilfe an, wie das Opfer ein Bitcoin-Konto erstellen und die Überweisung vornehmen kann. Obwohl die Lösegeldforderungen häufig noch relativ überschaubar sind – je nach Firma oftmals 2000 bis 5000 Franken – lautet die Empfehlung, dass man Lösegelder keinesfalls bezahlen soll, da dies weitere Angriffe nach sich ziehen kann und sich dadurch das Geschäft, mit Cyber-­Attacken Geld zu verdienen, noch weiter ausbreitet. In einem solchen Fall hilft eine Cyber-Versicherung, da man einen Ansprechpartner hat, der einen bei der Lösung des Problems unterstützt.

Mit geeigneten IT-Sicherheitsmassnahmen ­vorsorgen

Um sich vor schwerwiegenden Folgen einer Cyber-Attacke zu schützen, sollte man möglichst vorher schon Schutzmechanismen aufgesetzt haben. Was es braucht, ist ein wirkungsvolles Backup, das den Schaden im Falle eines Datenverlusts möglichst gering hält. Ebenfalls sollte regelmässig kontrolliert werden, ob das Backup jederzeit wieder auf die Produktions­umgebung zurückgespiegelt werden kann – im Schadenfall ist es dafür zu spät. Die Daten sollten in regelmässigen Abständen, am besten täglich, gesichert werden, damit der Verlust möglichst tief gehalten werden kann. Bei permanentem Backup, das heisst einer permanenten Spiegelung der Daten, verschlüsselt die Hacker-Software das ­Backup oftmals gleich mit, und man kann sie nur noch mit dem entsprechenden Code des Erpressers wieder entschlüsseln. Hier gilt es, zusammen mit einem Experten im Vorfeld die beste Lösung zu finden und die IT-Systeme professionell warten zu lassen.

Ein Restrisiko bleibt immer

Doch auch die bestgewartete IT kann ein Unternehmen nicht vor Cyber-Attacken schützen. Mit einer Cyber-Versicherung kann man sich gegen die Risiken versichern lassen und erhält Unterstützung, sollte man selber in eine entsprechende Situation kommen. Die Versicherung übernimmt dabei eine ganze Reihe von Risiken, damit ein betroffenes Unternehmen möglichst rasch wieder normal arbeiten kann und keinen finanziellen Schaden davonträgt.


Muss man nach einem Cyber-Angriff das Betriebssystem säubern, die Programme neu installieren und das Backup wieder zurückspielen, übernimmt die Versicherung beispielsweise die Kosten für den Informatiker. Daneben übernimmt sie auch etwaige Mehrkosten, beispielsweise wenn infolge der Cyber-Attacke Wochenendarbeit nötig ist oder kurzfristig Ersatzgeräte gemietet werden müssen. Sie zahlt auch Entschädigungsleistungen, um den Gewinnausfall abzudecken, wenn ein Auftrag während des Unterbruchs nicht ausgeführt werden kann. Ebenso kann es vorkommen, dass nach einem Angriff die verunstaltete Homepage neu aufgesetzt werden muss oder infolge einer DDOS-Attacke der Webshop lahmgelegt wird und dadurch ein Umsatzausfall entsteht. Die Versicherung übernimmt auch Geldverluste vom Bankkonto, wie im Fall der Schreinerei. Falls sensible Daten gestohlen werden und durch den Datenverlust andere zu Schaden kommen, setzt sich die Versicherung dafür ein, ungerechtfertigte Forderungen abzulehnen und berechtigte Forderungen zu bezahlen.
Die Cyber-Versicherung übernimmt somit einige Kosten nach einer Cyber-Attacke. Für die Weiterführung des Geschäfts ist dies ein wertvoller Beitrag. Den Ärger, der mit einer Cyber-­Attacke verbunden ist, kann jedoch niemand einem Unternehmen ersparen. Daher empfiehlt es sich, auch in die IT-Sicherheit zu investieren. Die Cyber-Versicherung ist eine Ergänzung zu IT-Sicherheitsmassnahmen. Die Nachfrage hat in den letzten Jahren stark zugenommen, vermutlich auch, weil immer mehr Cyber-Attacken öffentlich bekannt werden.


In der Praxis zeigt sich, dass gerade Unternehmen, die viel Geld in die IT-Sicherheit investieren, oft auch eine Cyber-Versicherung abgeschlossen haben. Wer sich mit den Risiken und potentiellen Gefahren auseinandergesetzt hat, schützt sich demnach auch besser. Daneben gibt es zahlreiche Firmen, die sich der Gefahr nicht bewusst sind und daher auch keine Vorkehrungen treffen. Sie sind dann besonders stark betroffen, wenn es doch zu einer Cyber-Attacke kommen sollte. Die Erfahrung zeigt, dass es bei der Sensibilisierung für das Thema auch regionale Unterschiede gibt. So schliessen Deutschschweizer und Tessiner Unternehmen öfter eine Cyber-Versicherung ab als solche aus der Welschschweiz. Cyber-Risiken kennen aber keine Grenzen. Keine Firma, die von Informatik-Systemen Gebrauch macht, ist davor gefeit.

Cyber-Versicherung im Überblick

Leistungen der Cyber-Versicherung nach einem Cyber-Angriff
• Gewinnausfallentschädigung bei Betriebs­unterbruch
• Übernahme der Kosten zur Wiederherstellung von Betriebssystemen und Anwenderprogrammen
• Übernahme der Wiederherstellungskosten der Daten
• Bezahlung berechtigter Haftpflichtforderungen oder Abwehr von ungerechtfertigten Ansprüchen
• Prävention: Die Versicherung unterstützt Firmenkunden dabei, geeignete Präventionsmassnahmen zu treffen und umzusetzen

Risiken aus dem Cyberspace, die versichert werden können
• Schadsoftware durch Trojaner und Computerviren (Malware)
• Hackerangriffe
• Datenmissbrauch
• Datenmanipulation
• Datenoffenlegung
• Datenverlust
• Systemausfall
• Zweckentfremdung des Systems


Was kostet eine Cyber-Versicherung?
Die Kosten für eine Cyber-Versicherung sind von der Grösse des Betriebs und dem Umfang der Leistungen abhängig. Kleinunternehmen können eine Cyber-Versicherung ab 250 Franken pro Jahr abschlies­sen. Für mittlere Betriebe können dies 2000 Franken pro Jahr sein. Bei Grossbetrieben sind je nach Risikoprofil Prämien im fünf- oder sechsstelligen Bereich möglich.

Tipps für Unternehmer, um sich vor Cyber-Attacken zu schützen

• Sind Sie und Ihre Mitarbeiter sensibilisiert, wie Sie das Risiko eines Cyber-Angriffs reduzieren können? Hier kann sich die Teilnahme an einer Cyber-Awareness-Schulung lohnen, damit Sie und Ihre Mitarbeitenden potentiell gefährdende E-Mails oder andere Gefahrenquellen rechtzeitig erkennen. Auf Links oder Attachments in Mails, deren Absender man nicht kennt, sollte man gar nicht reagieren und vor allem den Link nicht anklicken und das Attachment auf keinen Fall öffnen. Vermeiden Sie, dass Ihre Mitarbeitenden selbständig Software installieren oder ungeprüfte Dateiformate öffnen.

• Haben Sie Ihren Computer und die Computer Ihrer Mitarbeiter geschützt, so dass neue Programme nur mit Administratorenrechte installiert werden können? Dies kann verhindern, dass eine Malware aus Versehen durch den Benutzer heruntergeladen wird.


• Haben Sie Ihren Betrieb schon mal einem IT-Sicherheitscheck unterzogen? Beispielsweise mittels Fragebogen oder einem Penetrationstest? Solche Checks können Sicherheitslücken aufzeigen, die mit geeigneten Schutzmassnahmen reduziert werden können. Da sich die Bedrohungslage ständig ändert, sollte ein solcher Test in regelmässigen Abständen durchgeführt werden.
• Über welche IT-Sicherheitsmassnahmen verfügt Ihr Betrieb? Eine aktuelle Antivirus-Software und eine Firewall sind mittlerweile Standard. Doch verfügen diese über die neuesten Updates? Arbeiten Sie noch mit Windows XP? Neuere Betriebssysteme sind sicherer als ältere Versionen. Ebenfalls sollte die Software den aktuellsten Updates unterzogen werden. Vorsicht ist bei unsicheren Anwendungen mit Sicherheitslücken geboten, wie zum Beispiel Flash.

• Falls Sie schon einmal angegriffen worden sind: Haben Sie Massnahmen getroffen, damit ein ähnlicher Angriff nicht nochmals vorkommen kann?


• Sind Ihre vertraulichen Daten (z.B. Betriebsgeheimnisse) genügend geschützt? Sind sie beispielsweise entsprechend verschlüsselt, damit sie bei einem Diebstahl von Dritten nicht gelesen werden können?

• Haben Sie einen Notfallplan erstellt und diesen geschult? Ein Notfallplan zeigt auf, wer im Falle eines Cyber-Angriffs welche Massnahmen trifft, damit in der Hitze des Gefechts möglichst alles richtig abläuft.

Der Autor

Fulvio Elia arbeitet seit 20 Jahren in der Produktentwicklung für KMU-Versicherungen bei der AXA Winterthur. Nebst den traditionellen Lösungen wie die Sachversicherung nimmt die überaus spannende und noch junge Cyber-Versicherung aufgrund ihrer Aktualität einen beachtlichen Teil seiner Tätigkeit ein.


Artikel kommentieren
Kommentare werden vor der Freischaltung durch die Redaktion geprüft.

Anti-Spam-Frage: Welche Farbe hatte Rotkäppchens Kappe?
GOLD SPONSOREN
SPONSOREN & PARTNER