Es gibt Entwicklungen im Versicherungsmarkt, die man seit Jahren aufmerksam verfolgt und einen erklärungssuchend zurücklassen. Laut dem aktuellen Hiscox Cyber Readiness Report wurden im Jahr 2023 58 Prozent aller Unternehmen in Deutschland Opfer von Cyberattacken. Zwar stufte die europäische Versicherungsaufsicht Eiopa in ihrer aktuellen Lageeinschätzung die Bedrohung durch Cyberangriffe derzeit als etwas geringer ein, der Ausblick des Risiko Dashboards der Eiopa verspricht hingegen alles andere als eine Entspannung: Die Versicherungsaufsicht erwartet, dass die Gefahren eher zunehmen dürften, als dass sie sinken.
Wie wirtschaftlich relevant die Bedrohung ist, zeigt die Studie des Branchenverbandes der Informations- und Telekommunikationsbranche Bitkom vom September 2023. Nach Angaben von Bitkom entstanden durch Diebstahl von IT-Ausrüstung und Daten sowie digitale und analoge Industriespionage und Sabotage der deutschen Wirtschaft bis September 2023 Schäden von rund 206 Milliarden Euro. Damit lag die Schadensumme zum dritten Mal in Folge über der 200-Milliarden Euro-Grenze.
Was beunruhigen sollte: Cyberattacken verursachten mit 72 Prozent nach Bitkom-Berechnungen inzwischen den Löwenanteil an den Schäden. Den Gesamtschaden beziffert Bitkom auf satte 148,3 Milliarden Euro. Wem Zahlen allein nicht reichen, dem empfiehlt sich ein Blick auf die Seite der Online-Dienste „CSO“ oder „Konbriefing.com“. CSO führt auf seiner Homepage unter anderem eine Liste aller deutschen Unternehmen, die in letzten Jahren von Cyberkriminellen attackiert wurden. So wird aktuell gerade die Telekom erpresst. Attacken gab es in den vergangenen Wochen aber auch auf Forschungseinrichtungen oder die Universitäten Mainz oder Düsseldorf, die SPD. Und auch die Cash. Media Group war im vergangenen Sommer Opfer einer DDoS-Attacke. Die Meldungen zeigen, die Hacker unterscheiden nicht nach Unternehmensgröße.
Angreifer setzen auf KI
Was zudem auffällt ist, dass die Angreifer immer stärker künstliche Intelligenz nutzen. Bei einer Umfrage unter 514 deutschen Entscheidern im Auftrag des IT-Sicherheitsspezialisten Hornetsecurity gab jeder Vierte (24 Prozent) an, dass sich die Angriffssituation durch künstliche Intelligenz (KI) verschlimmert hat. Zu den gefürchtetsten Angriffsmethoden zählen dabei mit 54 Prozent vor allem KI-gestützte Phishing Attacken.
Es folgen Deepfakes mit 39 Prozent und Angriffe, die sich mit KI leichter skalieren lassen. Die Mehrheit der Befragten (75 Prozent) glaubt aber auch, dass KI im Bereich der Cybersicherheit in den nächsten fünf Jahren an Bedeutung gewinnen wird. Aus diesem Grund planen 60 Prozent der Umfrageteilnehmer, Investitionen in KI, um die eigene Cybersicherheit zu stärken, in den kommenden zwei Jahren zu priorisieren.
Anfang April 2024 hat die Gothaer Versicherung ihre neue Cyberstudie vorgestellt. Ein Blick hierhinein zeigt: In einer digital vernetzten und hybrid arbeitenden Welt sind sich die Firmen der Cybergefahren zunehmend bewusst und fürchten diese, sagt Oliver Schulze, Leiter Cyberversicherungen bei der Gothaer Versicherungsgruppe in Köln. So sehen inzwischen 48 Prozent aller klein- und mittelständischen Unternehmen die Gefahren aus dem Netz als größtes Unternehmensrisiko. Damit bleibt die Furcht vor Cyberkriminalität bei der Gothaer KMU-Studie auch im fünften Jahr in Folge auf Platz Eins der größten Gefahren für KMU. Auf Platz zwei und drei der am meisten gefürchteten Risiken folgen dann menschliches Versagen mit 41 Prozent und Betriebsausfälle mit 40 Prozent. Beim Roulette liegt die Wahrscheinlichkeit für Schwarz oder Rot bei 50 Prozent.
Was die Wahrscheinlichkeit von Cyberattacken betrifft, stehen die Chancen, nicht getroffen zu werden, inzwischen deutlich schlechter. Bei einer weltweiten Umfrage des IT-Lösungsanbieters Devolutions unter 217 IT-Entscheider und -Führungskräften aus kleinen und mittleren Unternehmen berichten 69 Prozent der befragten Unternehmen, sie hätten im Jahr 2023 mindestens eine Cyberattacke erlebt – ein Anstieg um neun Prozent gegenüber dem Vorjahr. Insofern ist – trotz des Gefahrenbewusstseins – der Anteil der Firmen, die sich nicht absichern, mit 75 Prozent erschreckend hoch. „Waren es 2023 nur 20 Prozent, die eine Cyberpolice abgeschlossen hatten, sind es heute mit 25 deutlich mehr“, sagt Schulze. Im Vergleich zu 2021 sei das sogar ein Anstieg um neun Prozentpunkte. Alarmierend ist, dass sich 35 Prozent der Unternehmen, die sich die Cyberabsicherung schenken, technisch für gut geschützt halten und 28 Prozent eine Cyberpolice schlicht für zu teurer.
„Der Wiederanlauf des IT-Systems ist eine sehr komplexe Herausforderung. Es dauert sechs bis acht Wochen, um wieder in den Regelbetrieb zu kommen.“
Ole Sieverding, Cyberdirekt
Den Preis für eine Cyberpolice für kleine gewerbliche Risiken beginnt nach Aussagen von Alexander Schudra, Abteilungsleiter Cyberversicherungen bei der Ergo Versicherung bei unter 200 Euro Jahresbeitrag. Bei Hiscox beginnen die Prämien bei Unternehmen mit bis zu 25 Millionen Euro Umsatz bei netto 310 Euro pro Jahr. Eigentlich ein überschaubarer Betrag, denn kommt es zu einem IT-Sicherheitsvorfall, verfügen KMUs im Gegensatz zu Großunternehmen in den allermeisten Fällen damit nicht über die organisatorischen und finanziellen Ressourcen, um den Impact ausreichend abzufedern.
Die Durchschnittschäden steigen seit Jahren
Laut Hiscox steigen die Durchschnittschäden seit Jahren. So beliefen sich die Kosten eines Cyberangriff 2023 im Schnitt auf rund 14.800 Euro. Allerdings musste jede achte Firma Kosten von etwa 250.000 Euro stemmen. Jedes fünfte angegriffene Unternehmen gab an, dass die Auswirkungen durch die Attacke so gravierend waren, dass es wirtschaftlich in seiner Existenz bedroht war. „Der Wiederanlauf des IT-Systems ist eine sehr komplexe Herausforderung. In der Regel dauerte es sechs bis acht Wochen, um wieder in den Regelbetrieb zu kommen. Wobei wirklich kritische Anwendungen natürlich schneller wiederhergestellt werden und einzelne nicht priorisierte Spezialanwendungen auch nach einem halben Jahr noch nicht wieder zum Laufen gebracht wurden“, erklärt Ole Sieverding, Geschäftsführer von Cyberdirekt.
Wichtigste Unterstützung in der frühen Phase eines Schadens sind nach Aussage von Schudra Forensiker, die das Einfallstor ermitteln und in Abhängigkeit der konkreten Situation auch Krisenmanager zum Koordinieren der verschiedenen Aufgabenbereiche sind. Zur Minimierung des Schadens sollte zudem frühzeitig ein Sachverständiger einbezogen werden. „Denn durch ein frühes Weichenstellen können hohe Folgeschäden vermieden werden“, sagt Schudra.
Doch warum schafft man es nicht, angesichts der massiven negativen Folgen die Sensibilität für die Absicherung deutlich zu erhöhen? „Das Risiko, dass ein Cyberangriff passiert, wird real immer noch unterschätzt“, sagt Karsten John, Managing Direktor beim Meinungsforschungsinstitut Infas Quo. Natürlich würden sich Unternehmer und Firmen um ihre Kernthemen kümmern. „Viel glauben, wenn sie sich einen guten Rechner und ein Virenprogramm gekauft haben, wird es schon ausreichen. Die Gefahr ist aber, das Unternehmen heute über digitale Prozesse komplett geführt werden. Ohne Digitalisierung funktioniert gar nichts mehr.“
Zwar gibt es eine steigendende Awareness der Unternehmen bei Thema Cybersicherheit, bestätigt auch Gisa Kimmerle, Head of Cyber bei Hiscox Deutschland. Die Herausforderung sieht die Expertin aber insbesondere im KMU-Segment: „Insbesondere bei kleinen und mittleren Unternehmen sehen wir an vielen Stellen Nachholbedarf, was die eigene Cyberresilienz angeht, aber auch beim allgemeinen Bewusstsein für das Thema“, sagt Kimmerle.
Der Cybermarkt ist gerade einmal zehn Jahre alt. Aktuell bieten rund 70 Versicherer Cyberpolicen an. Gerade weil die Dynamik sehr groß ist, schauen die Cyberversicherer inzwischen sehr genau hin. „Insbesondere bei unzureichenden IT-Sicherheitsmaßnahmen ist der Verhandlungsspielraum inzwischen begrenzt. Daher ist eine gründliche Risikoprüfung gemäß den Richtlinien der Versicherer vor der Antragstellung entscheidend“, betont Christine Schönteich, Geschäftsführerin des Maklerpools Fonds Finanz. Laut Schönteich gibt es am Markt für Cyberversicherungen inzwischen eine breite Palette von Anbietern, deren Konzepte überwiegend ausgereift seien.
