Kaum greifbar und doch real: Cyberangriffe werden immer häufiger zum Problem für Unternehmen. Doch was bedeutet ein Cyberangriff eigentlich? Unter dem Begriff versteht man den gezielten Angriff auf ein oder mehrere Informationssysteme mit dem Ziel, die IT-Systeme zu beeinträchtigen. Was den Cyberangriff so gefährlich macht, ist die Unvorhersehbarkeit und Unkontrollierbarkeit des Angriffs. Denn dieser findet ausschliesslich im virtuellen Raum statt und schleicht sich durch Schad- oder Spähsoftware via Trojaner, Viren oder Würmer in Unternehmen ein. Zum einen bleiben die Angriffe so häufig über einen längeren Zeitraum unbemerkt, zum anderen sind die Abwehr- und Rückverfolgungsmöglichkeiten sehr begrenzt – häufig sogar überhaupt nicht vorhanden. Regelmässig wurde in den letzten Jahren von Cyberkriminalität berichtet: Accounts und Systeme werden gehackt, Passwörter gestohlen und Login-Daten beim Online-Banking abgefangen. Durch diese immer weiter fortschreitende Kriminalität im Internet entsteht den Betroffenen häufig ein grosser Schaden. Doch wen betrifft solch ein Angriff und wie häufig kommt das überhaupt vor? Können und sollten sich Unternehmen vor Cyberattacken schützen?
Das Ausmass der Cyberkriminalität
In der Theorie kann jeder Computer, der mit einem Netzwerk verbunden ist, zum Opfer einer Cyberattacke werden. Privatpersonen sind davon jedoch weniger häufig betroffen als Unternehmen, was schlichtweg daran liegt, dass Cyberkriminalität bei Privatpersonen weniger lukrativ ist. Ein Cyberangriff auf Unternehmen liefert deutlich mehr Informationsgehalt, denn KPIs, Kundendaten, Mitarbeiterdaten, Finanzdaten und weitere sensible Unternehmensdaten werden heutzutage digital abgelegt – und sind damit bei einem Cyberangriff ungeschützt für Kriminelle zugänglich und einsehbar. Für Unternehmen kann ein Cyberangriff daher schnell zum Wettbewerbsnachteil werden und die Funktionsweise des kompletten Unternehmens lahmlegen – wodurch ein unvorhergesehener wirtschaftlicher Schaden für die Organisationen entsteht. Um das mit Zahlen zu untermauern: Ein erfolgreicher Hacker-Angriff auf ein Grossunternehmen verursacht einen durchschnittlichen wirtschaftlichen Schaden von rund 1,98 Millionen Franken. Bei KMU liegt der Durchschnittswert immerhin bei 73’000 Franken.
Auch wenn Cyberkriminalität bereits allseits bekannt ist, wird das Ausmass der Angriffe viel zu oft unterschätzt. Denn Cyberbedrohungen gehören zu den grössten Sicherheitsrisiken des 21. Jahrhunderts. Ein Grund dafür: Die Cyberkriminalität geht mit der steigenden Digitalisierung der Geschäftsprozesse einher. Und genau hier liegt auch das Problem. Um wettbewerbsfähig zu sein oder zu bleiben, stellen viele Unternehmen auf digitale Prozesse um und sind damit bereits derart ausgelastet, dass die Angreifbarkeit dieses Wandels in Vergessenheit gerät und schlichtweg unterschätzt wird. Doch eins kann heute schon prognostiziert werden: Cyberkriminalität ist kein Trend, sondern ein ernstzunehmendes Risiko, das zum digitalen Zeitalter heute und morgen dazugehören wird. Besonders für KMU stellt in der Schweiz die Cyberkriminalität ein erhöhtes Risiko dar. Doch warum ist das so? Und wie können die Präventivmassnahmen aussehen?
Reales Risiko: KMU im Fokus der Cyberattacken
Als KMU gelten hierzulande Unternehmen mit bis zu 250 Arbeitnehmenden – diese Grösse trifft auf zirka 99 Prozent der Schweizer Firmen zu. KMU machen in der Schweiz rund zwei Drittel aller Arbeitsplätze aus und gelten daher als wichtiger Wirtschaftstreiber. Und genau diese Unternehmen sind von Cyberangriffen stark betroffen: So wurde rund ein Drittel bereits Opfer von Cyberangriffen und vier Prozent wurden infolge dieser Angriffe erpresst. Der Vorgang von Cyberattacken lief dabei meist gleich ab und begann mit Phishing-Angriffen: Hier nutzen Kriminelle die Fehler oder Versehen seitens der Mitarbeitenden im Unternehmen aus, um Zugang zum IT-System zu gewinnen. Phishing ist eine der ältesten Methoden von Hacker-Attacken: Kriminelle versuchen mit einer vorgetäuschten Seriosität über E-Mails oder Webseiten, sensible Daten von Benutzern zu erfahren. Sensible Daten können diverse Passwörter, Kontodaten und persönliche Informationen sein.
Doch warum werden gerade KMU immer wieder zur Zielscheibe der Cyberkriminalität? Sind es nicht die Daten der Big Player, die eigentlich im Interesse Krimineller stehen? Tatsächlich geht es bei den Cyberattacken auf KMU nicht in erster Linie um die Daten – Cyberkriminelle greifen KMU aus zwei Hauptgründen an: Um einerseits Lösegeld zu erpressen und andererseits die grösseren Unternehmen, mit denen die KMU zusammenarbeiten, zu erreichen. Doch trotz dieser Cybervorfälle und der steigenden Zahl der betroffenen Unternehmen werden selten Versicherungen für diesen Fall abgeschlossen. Die KMU werden meist unvorbereitet mit den Cyberangriffen konfrontiert – was schnell zum wirtschaftlichen Problem für die Organisationen werden kann. Derweil gäbe es für diesen Notfall eine Lösung: eine Cyberversicherung. Stellt sich nur noch die Frage – was macht solch eine Versicherung und worauf sollte man als Unternehmen achten? Und: Lohnt sich diese Versicherung wirklich?
Mit der Cyberversicherung vorausgedacht
Cyberversicherungen schützen Unternehmen, Selbstständige und Einzelpersonen vor den finanziellen Folgen von Cyberangriffen. Sie schützen dabei nicht nur vor Cyberkriminalität, sondern decken auch Schäden ab, die durch unterschiedliche IT-Sicherheitsvorfälle entstehen können. Insbesondere für Unternehmen, die wichtige, sensible Firmen- und Kundendaten digital verwalten, ist das sinnvoll. Da dies mittlerweile auf fast jedes Unternehmen zutrifft oder in Zukunft zutreffen wird, ist der Abschluss einer Cyberversicherung mittlerweile für die meisten Unternehmen unumgänglich, und sogar für Selbständige eine Form der Versicherung, über die es sich zumindest lohnt nachzudenken.
Wie bei anderen Versicherungen auch variiert das Leistungsspektrum der Cyberversicherung je nach Versicherungsanbieter und Umfang des Versicherungspakets. Hier ein kurzer Überblick, was bei Cyberangriffen zu tun ist und welche Schutzmassnahmen von Cyberversicherungen abgedeckt werden können:
Zahlung und Entschädigung bei Betriebsausfall und -unterbrechungen: Cyberangriffe können zum Stillstand von Computern und Maschinen führen und so zu einem hohen Umsatzverlust führen. Die Versicherung entschädigt in diesem Fall den Umsatzverlust.
Übernahme von Kosten bei Eigenschaden: Eine Cyberversicherung übernimmt die Kosten für die Schäden, die im Unternehmen selbst entstehen.
Übernahme von Kosten bei Fremdschaden: Cyberversicherungen entschädigen betroffene Kunden und wehren zeitgleich unberechtigte Forderungen ab.
Kostenerstattung für Datenwiederherstellung: Cyberattacken könnten dazu führen, dass Daten aufwendig und teuer rekonstruiert werden müssen. Für die Wiederherstellung der IT-Systeme kommt eine Cyberversicherung ebenso auf.
Bezahlung von IT-Experten: Um der Ursache des Cyberangriffs auf den Grund zu gehen, mögliche Folgeschäden zu verhindern und das Ausmass des Schadens abzuschätzen, kommt die Versicherung für die Kosten der IT-Experten auf.
Übernahme der Kosten für Rechtsberatung: Um rechtlich nach solch einem Cyberangriff abgesichert zu sein, werden von der Versicherung Anwälte zur Verfügung gestellt, die sich genau im IT- und Datenschutzrecht auskennen.
Die Schadenfälle und Versicherungsmöglichkeiten sind immer individuell und können vom Erpressungsversuch bis zum Datenklau und Betriebsausfall führen. Doch egal wie der Cyberangriff ausfällt, mit einer Versicherung auf solche Fälle vorbereitet zu sein ist in jedem Fall der richtige Ansatz für KMU.
Prävention wird wichtiger
Die Prävention von Cyberattacken steckt noch in den Kinderschuhen, bei Versicherern wie bei deren Kunden. Was bei vielen anderen Versicherungsprodukten fester Bestandteil der Deckungen ist, ist bei der Cyberversicherung wegen der rasanten Entwicklung noch nicht verbreitet. Die Schadendeckung und -abwicklung sollte immer stärker durch Prävention ergänzt werden. Durch das Einbinden von Cyberchecks, Prüfungen und auch regelmässigen Check-ups könnten die Fälle reduziert werden und Prämien sich über längere Zeit auf einem vernünftigen Niveau stabilisieren. Dies würde auch dazu führen, dass ähnlich wie bei anderen Versicherungsprodukten mehrere Kriterien ausschlaggebend sein könnten, ob ein Unternehmen überhaupt in eine Deckung aufgenommen wird oder bereits im Voraus abgelehnt wird, weil es nicht die notwendigen Vorsichtsmassnahmen getroffen hat, um es kriminellen Hackern schwer zu machen.
Bereits heute gibt es einige wenige Versicherer, die ihren Fokus auf die Prävention legen und von ihren Kunden auch Eigenengagement in der Prävention verlangen, um den Markt auf die Risiken zu sensibilisieren. Dabei könnte das Fehlen folgender Sicherheitsvorkehrungen bereits zu einem Ausschluss aus der Versicherung führen:
- Anti-Virus-Schutz mit aktuellen Virendatenbanken,
- Firewalls an allen Übergängen in das Internet für stationäre IT-Systeme,
- regelmässige Datensicherungen auf separierten Systemen oder Datenträgern,
- schriftliche Arbeitsanweisungen zu den Themen sichere Passwörter, sicherer Umgang mit mobilen Geräten sowie sicherer Umgang personenbezogenen Daten.
Dabei wird aber im besten Fall nicht einfach abgelehnt, sondern ein Vorschlag erstellt, wie der Kunde es schaffen kann, in Zusammenarbeit mit dem Versicherer diese Vorkehrungen zu implementieren. Sollte dann trotzdem ein Schaden passieren, ist der Kunde durch die Versicherung optimal geschützt.
Der Autor
Vedran Pranjic ist Co-Founder des Insurtechs Helvengo, eines neuen digitalen Versicherers für Start-ups und KMU. Helvengo nutzt digitale Risikoanalysen und modulare Deckungen, um Unternehmen Cyberversicherungen anzubieten, die einzigartig auf die Bedürfnisse der Kunden abgestimmt sind.
Vedran Pranjic ist Co-Founder des Insurtechs Helvengo. (Quelle: Helvengo)
