Attacken durch Schadsoftware, Verletzungen der Datenschutzrichtlinien oder IT-Ausfälle: Cyber-Gefahren stellen in diesem Jahr die größte Sorge von Firmen weltweit dar. Das zeigt die im Januar veröffentlichte Studie „Allianz Risk Barometer 2022“ von Allianz Global Corporate & Specialty (AGCS). So geben 44 Prozent der befragten Unternehmer, Risikomanager, Makler und Versicherungsexperten Cyber-Risiken als größte Gefahr an.
Im Gegensatz zu den Ergebnissen der weltweiten Befragung liegen Betriebsunterbrechungen in Deutschland mit 55 Prozent ganz vorne bei den Bedrohungen. Dennoch bewertet die Hälfte der Befragten hierzulande Cyber-Vorfälle als zweitgrößte Bedrohung. Insbesondere von Ransomware, also Erpressersoftware, sehen die Umfrageteilnehmer eine immense Gefahr ausgehen. 57 Prozent geben das an.
„Ransomware ist zu einem großen Geschäft für Cyber-Kriminelle geworden, die ihre Taktiken verfeinern und die Einstiegshürden senken – der Einsatz der Verschlüsselungs-software kostet nur wenige Euro und erfordert geringe technische Kenntnisse“, sagt Jens Krickhahn, Practice Leader Cyber bei der AGCS in Zentral- und Osteuropa. Die Kommerzialisierung der Internetkriminalität erleichtere es, Schwachstellen in großem Stil auszunutzen. „Wir werden mehr Angriffe auf Lieferketten und kritische Infrastrukturen erleben“, prognostiziert Krickhahn.
Immer mehr Unternehmen, vor allem auch kleine und mittelständische, erkennen mittlerweile, dass sie ebenso wie Konzerne ins Visier von Cyber-Kriminellen geraten können. Den Befragten ist bewusst, dass die Sicherheitsvorkehrungen verbessert und künftige Ausfälle geplant werden müssen. Anderenfalls können Konsequenzen seitens der Regulierungsbehörden, von Investoren und anderen Interessengruppen drohen.
Nicht zuletzt hat die Corona-Pandemie mit ihrem Trend zum Homeoffice dazu beigetragen, die Risiken zu verdeutlichen. Daher steht die technische Infrastruktur in der Regel gut geschützt da. Firewall, Antivirensoftware auf den Computern und regelmäßige Back-ups der Unternehmensdaten gehören zum Standard vor allem bei größeren Unternehmen.
„Die Mitarbeiter jedoch sind oft noch weniger sensibilisiert“, macht der Cyber- und Gewerbe-Experte Nikolaus Stapels, von der gleichnamigen Consultingfirma, klar. „Unter dem Begriff Social Engineering werden dabei alle Maßnahmen zusammengefasst, die auf die Angestellten eines Unternehmens abzielen. Nicht umsonst gibt es den Spruch ‘Dumme Hacker hacken Maschinen, kluge Hacker hacken Menschen’“, so Stapels.
Cyber-Versicherungen können zwar nicht direkt vor einer Attacke schützen, doch viel zur Sicherheit des Unternehmens beitragen. Und vor allem können sie im Fall eines Schadens helfen. „Insbesondere die Assistanceleistungen genießen einen immer größeren Stellenwert. So sichern die Produkte neben den Risiken aus Cyber-Angriffen eine Unterstützung bei Betriebsunterbrechung, Krisenberatung, Datenwiederherstellung oder die Absicherung von gesamten IT-Systemen ab.“
>>Seite 2: Versicherungsvermittler können sich hier positionieren
In diesem Umfeld können sich Versicherungsvermittler als Ansprechpartner der Unternehmen zum Thema Cyber-Versicherung und für alle anderen Gewerbeversicherungen etablieren. Vor allem weil laut Stapels rund 84 Prozent der Unternehmen aktuell noch gar keine Cyber-Versicherung besitzen. „Die häufigsten Gegenargumente seitens der Kunden lauten: ‚Ich bin zu klein‘ und ‚Meine Daten sind in der Cloud gesichert.‘ Beide können sofort widerlegt werden“, sagt Stapels.
Zum einen suchten sich Hacker nicht gezielt Unternehmen aus, sondern ein Programm durchforste automatisch das Internet nach Schwachstellen – und werde fündig, egal ob bei großen oder kleinen Firmen. Zum anderen sollte geklärt werden, wie die Back-up Strategie des Cloud-Dienstleisters aussieht, denn häufig passt diese nicht zum Unternehmen. „Und selbst wenn, können auch Clouds gehackt werden. Oder, und das sehen wir in der Praxis aktuell immer häufiger, die Hacker besorgen sich aus dem Unternehmen das Passwort für die Cloud und kommen so an die dort gesicherten Daten heran.“
Unternehmen müssen auf die Risiken eines Cyber-Angriffs hingewiesen werden. „Bei der konkreten Produktauswahl unterstützen dann Programme und Plattformen. „Außerdem muss ein Versicherungsvermittler kein IT-Spezialist sein, um seine Kunden auf die Gefahren aufmerksam zu machen. Er ist doch auch kein Architekt und vermittelt trotzdem Gebäudeversicherungen“, sagt Stapels.
„Wenn all die bisher genannten Argumente den Unternehmer noch immer nicht von seinem hohen Risiko überzeugen, kann das Problem mit der Haftungsfrage noch angesprochen werden“, rät der Cyber-Spezialist. „Denn die neue Generation der Verschlüsselungssoftware erpresst nicht nur Geld für das Entschlüsseln, sondern zusätzlich noch für das Löschen der vorher kopierten Daten. Mit dem Kopieren von Kundendaten entsteht zum Beispiel eine Verletzung gemäß dem Datenschutz. Und das kann im schlimmsten Fall für den Chef eines Unternehmens mit einer Haftung mit seinem Privatvermögen einhergehen.“
