Das Homeoffice ist mehr als ein Jahr nach Beginn der Corona-Pandemie Alltag für viele Menschen und Unternehmen in Deutschland geworden. Rund 60 Prozent der Unternehmen haben ihre Mitarbeiter komplett oder teilweise ins Homeoffice geschickt. Das hat eine Umfrage des Ifo-Instituts unter 800 Personalleitern ergeben. Vor Ausbruch des Corona-Virus lag dieser Anteil bei 39 Prozent. Aber es geht noch mehr: Potenziell könnten 80 Prozent der Belegschaften von zu Hause aus arbeiten, zeigt die im zweiten Quartal 2020 durchgeführte Umfrage im Auftrag des Personaldienstleisters Randstad.
Mit den Möglichkeiten kommen aber auch die Gefahren, genauer: die Cyber-Gefahren. Denn knapp 60 Prozent der Angestellten im Homeoffice erledigen berufliche Aufgaben auch mit privaten Laptops, Tablets oder Smartphones. 10 Prozent verschicken geschäftliche E-Mails von ihrer privaten Adresse, und 22 Prozent nutzen WhatsApp für die berufliche Kommunikation, wie eine Yougov-Umfrage unter rund 2.000 Arbeitnehmern im Auftrag des Gesamtverbandes der Deutschen Versicherungswirtschaft (GDV) verdeutlicht. „Private Geräte und E-Mail-Accounts sind in aller Regel schlechter geschützt als die firmeneigene IT. Dadurch verlieren Unternehmen die Kontrolle über ihre IT‑Sicherheit und damit über die Sicherheit ihrer Daten“, warnt Peter Graß, GDV‑Experte für Cyber-Sicherheit. Auch Betrügern werde damit das Handwerk erleichtert.
Und die nutzen diese Lücken schamlos aus. Wie schnell sich Cyber-Kriminelle auf neue Gegebenheiten einrichten und ihre Attacken daran anpassen, hat uns Miroslav Mitrovic, Leiter Vertrieb DACH-Region beim Cyber-Sicherheitsanbieter Perseus, in einem Interview für Folge 18 unseres Podcasts erzählt. Um über 220 Prozent seien etwa Phishing-Attacken im ersten Lockdown gestiegen. Die Cyber-Kriminellen erstellten unter anderem Fake-Portale für Corona-Soforthilfen, die Unternehmen luden über diese Portale ihre Anträge hoch, die Hacker änderten die Kontoverbindungen in ihre eigenen um und griffen so die Finanzhilfen ab. „Da sieht man, mit welcher Dreistigkeit und welchen Maschen diese Corona-Situation ausgenutzt wurde“, ärgert sich Perseus-Mann Mitrovic.
Die Gangster sind also perfide, die Unternehmer und Mitarbeiter viel zu sorglos – und auf eine Cyber-Attacke nicht vorbereitet. In einer Umfrage des GDV gaben nur 52 Prozent der 300 befragten Mittelständler an, einen Notfallplan oder eine entsprechende Vereinbarung mit einem IT-Dienstleister für den Fall der Fälle zu haben. „Viele Unternehmen reagieren auf einen Cyber-Angriff plan- und kopflos. Das kostet im Ernstfall viel Geld, weil es länger dauert, bis die IT-Systeme gesäubert und die Daten wiederhergestellt sind“, sagt GDV-Cyber-Experte Graß.
In 44 Prozent der befragten Unternehmen ist keiner explizit für die Sicherheit der IT-Systeme verantwortlich. Und weniger als ein Drittel (31 Prozent) sensibilisiert seine Mitarbeiter mit Schulungen für die Gefahren aus dem Internet. Dabei sind die eigenen Mitarbeiter die häufigste Schwachstelle, was Cyber-Gefahren angeht: 58 Prozent der erfolgreichen Angriffe kommen ans Ziel, weil Mitarbeiter etwa verseuchte Anhänge öffnen oder schädliche Links anklicken.
Es besteht also Handlungsbedarf im deutschen Mittelstand. Wie können Vermittler ihre Firmenkunden am ehesten über die Risiken aufklären und das Risikobewusstsein schärfen? „Indem sie ihnen die drohenden Gefahren, aber auch die damit verbundenen Kosten aufzeigen, die sogar existenzbedrohend sein können“, sagt Tobias Tessartz, Technical Underwriter Cyber bei Hiscox Deutschland.
„Während 2019 die durchschnittlichen Cyber-Schadenkosten international noch bei 9.000 Euro lagen, sind sie rapide gestiegen: 2020 lagen sie im Schnitt bei 51.200 Euro, in Deutschland sogar noch rund 20.000 Euro höher – und deutsche Firmen werden noch dazu von den global agierenden Hackern besonders häufig angegriffen“, warnt der Experte. Ein Grund für diese Kostenexplosion sei, dass sich viele Cyber-Kriminelle in gehackten Systemen immer öfter erst unbemerkt möglichst weitreichende Rechte erschlichen, bevor sie den maximalen Schaden anrichteten und sich zu erkennen gäben.
Ein Beispiel hierfür sind etwa Verschlüsselungstrojaner wie „Emotet“. In der ersten Generation haben die Programme, nachdem sie ins System gelangten, gleich alle Daten verschlüsselt und ein Lösegeld gefordert. Die zweite Generation untersucht Netzwerk und Daten, vernichtet die Datensicherungen und verschlüsselt dann alle Daten. Die neueste, dritte Generation analysiert die Netzwerke und kopiert diese – bevor sie verschlüsselt werden – auf den Server der Hacker. Will das Unternehmen nicht zahlen, werden die Daten publik gemacht – mit all den teuren datenschutzrechtlichen Folgen.
Tessartz: „Der Mittelstand muss daher schnellstmöglich Know-how aufbauen und sich auch mit einer Cyber-Versicherung absichern, was ein wichtiger Baustein einer ganzheitlichen IT-Sicherheitsstrategie ist.“ Denn: Cyber-Policen schultern im Angriffsfall nicht nur den finanziellen Schaden und stellen etwa IT-Forensiker bereit, die das IT-System schnell wieder auf Vordermann bringen. Sie setzen schon viel früher an. Denn bei vielen Cyber-Versicherungen gehört es zum Angebot, dass ein Notfallplan für den Ernstfall erstellt wird, und die Mitarbeiter regelmäßig Schulungen bekommen, um den sicheren Umgang mit der IT zu erlernen und Schäden zu verhindern.
Trotzdem wird der Nutzen der Policen oft noch nicht erkannt, stellt Ralph Noll, Partner im Bereich Cyber Risk bei Deloitte, fest: „Die Kosten werden als zu hoch angesehen und die Versicherungsabdeckungen als zu gering beurteilt“, zeigten Untersuchungen von Deloitte. Aber nicht nur bei den Unternehmen, auch bei den Vermittlern müsse ein Umdenken stattfinden, meint Noll. „Bereits in unserem ‚Deloitte 2019 Middle Market Cyber Insurance Survey‘ hat sich gezeigt, dass Agenten und Maklern bei der verstärkten Etablierung von Cyber-Versicherungen im Mittelstandsmarkt eine wesentliche Rolle zukommt – hier aber auch noch viel Optimierungspotenzial besteht.“
Vermittler platzierten Cyber-Versicherungen oft nicht proaktiv und konsequent genug im Markt. „Nicht nur die Führungskräfte und Entscheider in den mittelständischen Unternehmen – also die potenziellen Versicherungsnehmer – sollten stärker in Bezug auf die Herausforderungen, Chancen und Risiken von Cyber-Sicherheit und die Sinnhaftigkeit von Versicherungen gegen die Folgen von Cyber-Attacken aufgeklärt und geschult werden, sondern ebenso die Vermittler“, sagt Noll.
Angebote am Markt gibt es schon einige. Die Tarife von elf Anbietern hat sich die Rating-Agentur Assekurata im Herbst 2020 zum ersten Mal genauer angeschaut. Das Problem bei der Bewertung: Die Angebote am Markt sind noch recht jung, einen Marktstandard gibt es daher noch nicht – die Leistungsversprechen der Versicherer sind sehr unterschiedlich. „Aufgrund der großen Vielfalt der Bedingungen und der Intransparenz des tatsächlichen Deckungsumfangs haben wir eine spezielle Tarifanalyse für Cyber-Angebote in der Gewerbeversicherung entwickelt“, erklärt Arndt von Eicken, Managing-Analyst bei Assekurata. „Hierbei untersuchen wir jeden Tarif systematisch anhand seiner versicherungstechnischen Leistungsmerkmale. Um einen möglichst hohen Praxisbezug zu gewährleisten, haben wir unsere Bewertungsanforderungen aus Marktanalysen zu tatsächlichen Bedrohungspotenzialen und Schadenfällen abgeleitet.“
Welche Erkenntnisse konnten die Analysten daraus ziehen? Zum einen, dass die GDV-Musterbedingungen nicht mehr auf der Höhe der Zeit sind. „Auch wenn sie eine schlüssige Struktur mit zum Teil geeigneten Formulierungen aufweisen, zeigt unser Bewertungssystem inhaltliche Defizite auf“, erklärt von Eicken. „Dies mag nicht zuletzt der Tatsache geschuldet sein, dass die GDV-Musterbedingungen bereits vor mehr als drei Jahren veröffentlicht wurden. In der Zwischenzeit haben manche Anbieter ihre Bedingungswerke bereits mehrfach angepasst und neue, aktuell relevante Inhalte, etwa die Zahlung von Lösegeldern, ihrem Deckungsumfang hinzugefügt.“
Aufgefallen seien den Analysten auch die „großen Unterschiede“ im Bereich des Schadenmanagements – und durchaus noch Klärungsbedarf. Beispiel: Wenn Schäden auch dann versichert sind, wenn diese von Mitarbeitern des Versicherungsnehmers oder von anderen mitversicherten Unternehmen vorsätzlich herbeigeführt wurden, stellt sich laut der Analysten die Frage, ob der Versicherer darauf verzichtet, nicht vorsätzlich handelnde Mitarbeiter in Regress zu nehmen. „Hier besteht Klärungsbedarf, da andernfalls zwar gegenüber dem Unternehmer geleistet wird, jedoch eventuell im Nachgang Mitarbeiter belangt werden können“, sagt von Eicken.
Als dritten Punkt wünscht sich Assekurata auch einen transparenteren Umgang mit den Dienstleistern des Versicherers. Diese fänden in den Bedingungen häufig keine Beachtung. Von Eicken: „Da sich Unternehmen bei einem Zwischenfall in der Regel an eine Hotline des Versicherers wenden, wird nicht sichtbar, um wen es sich tatsächlich handelt, der in das geschädigte Unternehmen kommen wird. Unter Umständen hat der Versicherungsnehmer mit diesem Dienstleister bereits Erfahrungen gemacht oder hat Bedenken, gerade diesem Experten Zugang zu seinen sensiblen Systemen zu gewähren.“ Solche Fragen sollten vor Abschluss des Vertrages geklärt werden, betont der Experte. In diesem Zusammenhang sei es auch interessant zu erfahren, ob und über welche Qualitätszertifizierungen der Experte verfüge. „Hierüber gibt jedoch kein Anbieter in den Versicherungsbedingungen Auskunft“, kritisiert von Eicken.
