Ein weitere Erklärung, warum es bei der Cybersicherheit gerade in Kleinstunternehmen hapert, liefert Ergo-Cyberexperte Schudra. Die Gefahr eines Cyberangriffs vor allem für Kleinstunternehmen sei zu abstrakt.
„Dass vor Ort jemand einbricht und Firmeneigentum entwendet, beim Herstellen eines Produkts oder in der Beratung etwas schiefgeht – das kann sich jeder vorstellen. Aber was sollen die Angreifer mit den Dateien auf meinem Computer anstellen? Die Gefahr ist nicht greifbar und geht Hand in Hand mit dem zweiten Punkt: Bei Weitem nicht alle Gewerbetreibenden haben realisiert, dass sie nicht zielgerichtet angegriffen werden. Sie empfinden sich selbst als ein wenig lohnenswertes Ziel und damit indirekt vor Cyberangriffen geschützt. Beides in Kombination führt dazu, dass die Wirtschaft – vor allem im KMU-Bereich – noch nicht ausreichend für das Thema Cybersicherheit sensibilisiert ist“, so Schudra.
Schaut man sich die Einfallstore für erfolgreiche Cyberangriffe an, wird klar, die größte Schwachstelle ist der Mensch. „Über zwei Drittel aller erfolgreichen Angriffe gelangen per E-Mail in die Unternehmen. Cyberkriminelle bringen Menschen mit immer professionelleren Methoden dazu, die elektronische Post samt Anhängen zu öffnen. Ein falscher Klick auf einen verseuchten E-Mail-Anhang oder Link ebnet den Weg für die Schadsoftware, die dann die IT oder auch den ganzen Betrieb lahmlegen kann“, warnt Alte Leipziger-Vorstand Waldschmidt.
Die entsprechenden Phishing-Mails sind mittlerweile sehr gut gemacht. „Zudem beobachten wir immer ausgefeiltere Methoden des sogenannten ,social engineerings‘: Hier werden gezielt Kontaktinformationen gesammelt und in die gefälschte Kommunikation mit Mitarbeitern eingebracht, um auch in große Konzerne mit entsprechenden E-Mail-Filtern eindringen zu können“, ergänzt Ergo-Mann Schudra.
Laut Hiscox Cyber-Readyness Report liegt der durchschnittliche Schaden, den Cyberangreifer verursachen, bei rund 72.000 Euro. „Die Anzahl der erfolgreichen Cyberattacken steigt nicht mehr so stark wie Summe der durchschnittlichen Kosten“, erklärt Hiscox-Cyberexperte Sieverding. Der Grund für die gestiegenen Schadensummen sieht er darin, dass sich die Hacker zunehmend mehr Zeit nehmen. „Dadurch können sie immer tiefer ins System eindringen, um dann zielgerichtet den maximalen Schaden anzurichten.“ Ein Desaster für betroffene Unternehmen.
„Bei einer Cyberattacke ist die schnelle Reaktion ein ganz zentraler Punkt“, betont daher auch HDI-Vorstand Lüer. Bereits im Verdachtsfall eines Angriffs oder einer Informationssicherheitsverletzung können Kunden deshalb sofort Kontakt mit dem Versicherer aufnehmen.
Die Kosten für Forensik oder Schadenfeststellung würden von der Cyberversicherung innerhalb der ersten 48 Stunden ohne Anrechnung auf einen Selbstbehalt übernommen, egal ob tatsächlich ein Cyberangriff vorliegt oder nicht. „Die Cyberexperten schalten sich per Fernwartung auf den betroffenen Rechner und beginnen mit der Forensik“, so Lüer weiter. Häufig ließen sich sich früh erkannte Infektionen des Systems mit einer Schadensoftware schon in diesem Zeitraum wirksam bekämpfen.
Norbert Porazik, Geschäftsführender Gesellschafter von Fonds Finanz, hält die Ermittlung der benötigten Versicherungssumme im gewerblichen Bereich für eine der größten Herausforderungen für Vermittler. „Für Makler ist es sehr schwierig bis nahezu unmöglich, ihren Kunden die richtige Versicherungssumme zu empfehlen. Wir sehen an dieser Stelle seitens der Produktgeber noch erheblichen Nachholbedarf. Aktuell bietet lediglich eine Gesellschaft einen Summenermittlungsbogen an, der eine annähernde Versicherungssumme abbildet. Daneben macht die IT-Lastigkeit sowie das dafür notwendige Wissen das Thema für viele sehr komplex“, betont Porazik.
Doch worauf sollte bei einer Cyberversicherung geachtet werden? „Welchen Umfang eine Cyberversicherung haben sollte, ist vor allem von der Geschäftstätigkeit des Betriebs und den damit zusammenhängenden Risiken abhängig“, erklärt Porazik.
„Der Beruf eines Arztes oder Hoteliers ist mit anderen Risiken behaftet als der eines Friseurs oder Schreiners. Entscheidend ist die Frage nach den Daten: Mit welchen Daten wird gearbeitet? Wie hoch ist das Datenvolumen? Wie sehen die Sicherheitssysteme beim Versicherungsnehmer aus und wo werden die Daten gespeichert?“, so Porazik weiter.
Eine Eigenschadendeckung und Drittschadendeckung (Cyber-Haftpflicht) sind nach Aussage des Fondsfinanz-Geschäftsführers Grundgerüste einer Cyberversicherung. Die Cyberunterbrechung, Betrug und Cloud-Ausfall seien weitere Module, die sinnvoll sein können.
Eine gute Cyberversicherung sollte mehr leisten als die Erstattung der entstandenen finanziellen Eigen- und Drittschäden durch Hackerangriff, Datenverlust oder sonstige Cyberrisiken, ergänzt Dr. Sebastian Grabmeier, Vorstandsvorsitzender von Jung DMS & Cie.
„Im Idealfall unterstützen die Anbieter von Cyberpolicen bereits präventiv. Hierzu zählen zum Beispiel Mitarbeiterschulungen, bei denen das eigene Personal für die möglichen Gefahren im Umgang mit internen und externen Daten sensibilisiert wird“, so Grabmeier weiter. Auch die präventive Erarbeitung individueller Krisenpläne für den Fall der Fälle werde von guten Cyberversicherungen angeboten, so Grabmeier.
Vor dem Hintergrund der Schadenssummen hält Hiscox-Manager Sieverding die Cyberversicherung daher auch für die „Feuerversicherung des 21. Jahrhunderts“. „Sie wird zunehmend ebenso unabdingbar. Leider steigt die Sensibilisierung oft erst dann schlagartig, wenn es einen selbst erwischt oder wenn es zumindest einen teuren Schadenfall in der Branche gab“, lautet das Fazit des Experten.
„Zwar werden die Cyberrisiken meist erkannt, die Einschätzung der eigenen Betroffenheit wird aber viel zu oft noch auf die leichte Schulter genommen. Dies ist ein ganz gefährlicher Irrglaube“, sagt Sieverding. Bis das Bewusstsein für Cybergefahren in den Köpfen der Verantwortlichen angekommen ist, dürfte daher es noch ein langer Weg sein. (dr)
Fotos: Hiscox, HDI, Ergo, Cash.