Cyber-Versicherungen: Schutz gegen Attacken ist unerlässlich [Interview]
Unternehmen werden täglich bedroht von Cyberattacken, die bis zur Insolvenz führen können. Martin Heimhilcher, Spartenvertreter Information & Consulting in der Wirtschaftskammer, erklärt im Interview die Vorteile einer Cybersecurity-Versicherung.
Seit einigen Jahren bieten mehrere Versicherungsunternehmen Versicherungen gegen Cybercrime an. Würden Sie Unternehmen eine solche Versicherung empfehlen?
Martin Heimhilcher: Cybercrime, wie wir es heute beobachten können, ist insbesondere für uns Unternehmerinnen und Unternehmer eine neue Form der Bedrohung. Wir sind tagein, tagaus mit Spam- und Phishing-Mails konfrontiert, die teilweise wirklich gut gemacht sind. Da sind E-Mails darunter, die wie echte Anfragen aussehen, die sogar perfekt ins Kundenprofil passen würden. Man muss höllisch aufpassen. Ein voreiliger Doppelklick auf einen Anhang genügt, und schon ist das ganze Computersystem gefährdet. Ich kann jedem Unternehmen nur empfehlen, sich mit einer Cybersecurity-Versicherung dagegen zu schützen beziehungsweise potenzielle Schäden zu minimieren. Es ist vergleichbar mit jeder herkömmlichen Feuer- oder Hagelversicherung.
Können Sie kurz Kosten und Nutzen abwägen? Wie hoch kann man sich die jährliche Versicherungsprämie für einen kleinen oder mittelgroßen Betrieb vorstellen?
Heimhilcher: Ich selbst bin mit meinem Unternehmen ein „typisches“ Beispiel für Klein- und Mittelbetriebe (KMU), und meine Jahresprämie liegt im dreistelligen Bereich.
Wie hoch kann man die drohenden Schäden durch Cybercrime beziffern?
Heimhilcher: Wenn man gut vorgesorgt hat, kann der Schaden bei einigen tausend Euro liegen. Er kann aber auch viel höher liegen und sogar das Ende des Unternehmens bedeuten. Denn wenn man nicht vorbereitet ist, wenn man kein Backup hat, wenn man keinen Notfallplan hat, wenn man keinen IT-Dienstleister hat, der Support gibt, dann steht das ganze Unternehmen still. Wenn es sich um ein Unternehmen handelt, das darüber hinaus mit seinen Kundinnen und Kunden vernetzt ist, dann wird es noch dramatischer. Denn dann ist die Chance groß, dass auch diese betroffen sind. Kurz gesagt: Ein Cyberangriff kann ein schlecht vorbereitetes Unternehmen in die Insolvenz stoßen.
Wie kommt man Cyber-Kriminellen auf die Schliche? Wie begibt sich die IT-Forensik auf die Spur von Hackerinnen und Hackern? Das schildert Robert Luh, IT-Security-Experte an der FH St. Pölten, im Interview: „IT-Forensik: Im täglichen Kampf gegen Cyberangriffe“
Wie finde ich als Unternehmerin oder Unternehmer die Versicherung, die zu mir passt?
Heimhilcher: Es gibt Versicherungsmaklerinnen und -makler, die sich auf Cyber-Versicherungen spezialisiert haben. Man kann sich von diesen beraten lassen. Genauso kann man beim Versicherungsunternehmen seines Vertrauens nachfragen, ob sie eine solche Versicherung im Angebot haben. Einen allgemeinen Rat möchte ich nicht geben, weil jedes Unternehmen spezifische Anforderungen hat, die man sich dann am besten gemeinsam mit der Maklerin oder dem Makler ansieht.
Es ist anzunehmen, dass die Versicherung auch gewisse Auflagen hat, wie ein Unternehmen sich zu verhalten hat, bevor es zu einem Schaden kommt.
Heimhilcher: Natürlich ist es den Versicherungen wichtig, dass ein Unternehmen im technischen Bereich möglichst viel tut, um einen Angriff zu vermeiden. Also ohne aktuellen Virenschutz, Firewall und regelmäßige Backups wird es schwierig, einen Vertrag abzuschließen.
Einen allgemeinen Überblick zum Thema „Cyberschutz“ bietet Ihnen der Beitrag:
Gibt es auch Unternehmerinnen und Unternehmer, für die sich eine Versicherung gegen Cybercrime nicht auszahlen würde? Weil sie einfach kein Risiko haben?
Heimhilcher: Kein Risiko – das würde heutzutage bedeuten: Sie haben als Unternehmen kein Handy, keinen Laptop und keine Kunden. Denn in dem Moment, wo man mit Kundendaten, also mit sensiblen Daten, hantiert, sollte man für die Sicherheit dieser Daten sorgen. Nicht nur im Interesse der Kundinnen und Kunden, sondern auch, weil man der Datenschutz-Grundverordnung unterliegt.
Die Zahlen der Cyberattacken steigen rasant von Jahr zu Jahr an. Zahlt sich bei einem so hohen Schadensrisiko für die Versicherer ein Cybercrime-Schutz noch aus?
Heimhilcher: Die Dunkelziffer bei Cybercrime ist sehr hoch. Viele Unternehmen, die angegriffen werden und dann womöglich Lösegeld an kriminelle Organisationen zahlen, halten dies geheim – um ihren Ruf nicht zu schädigen. Es ist tatsächlich ein Problem für die Versicherungen, weil zum ersten die Schadensummen enorm sein können und zum zweiten die Klärung der Verantwortlichkeiten sehr komplex sein kann.
Dementsprechend hoch müssten dann auch die Prämien angesetzt sein, damit sich das Geschäft für die Versicherungen rentiert. Manche Versicherungsunternehmen haben sich deshalb bereits aus dieser Sparte zurückgezogen. Das sollte umso mehr ein Anreiz für alle Unternehmerinnen und Unternehmer sein, möglichst rasch eine Cybersecurity-Versicherung abzuschließen, solange diese noch relativ günstig angeboten werden.
Stichwort Lösegeld: Würde denn eine Versicherung im Fall des Falles auch das an Kriminelle bezahlte Lösegeld ersetzen?
Heimhilcher: Versicherungen prüfen jeden Fall einzeln, deshalb kann man hier keine allgemeine Aussage treffen. Aber ja, das Entschädigen einer Lösegeldzahlung ist ein Knackpunkt. Viele Versicherungen schließen es grundsätzlich aus, manche anderen nicht. Wir befinden uns hier in einem rechtlich sehr heiklen Bereich. Denn wenn es sich beim Angreifer um einen Staat wie Nordkorea oder den Iran handelt, dann könnte man eine solche Lösegeldzahlung auch als indirekte Terrorismus-Finanzierung bewerten. Auch deswegen bewegen sich Versicherungen immer vorsichtiger in diesem Bereich.
Was tut man im Ernstfall? Gibt es so etwas wie eine Checkliste, an der man sich orientieren kann?
Heimhilcher: Ein guter Rat ist sicherlich, bei der Cybersecurity-Hotline der Wirtschaftskammer anzurufen [siehe Hinweise weiter unten, Anm.]. Dort bekommt die Unternehmerin oder der Unternehmer erste wichtige Informationen nach dem ersten Schock. Dort kann man sich auch eine IT-Expertin oder einen IT-Experten vermitteln lassen. Was sehr hilft, ist ein Notfallplan. Die Wirtschaftskammer stellt auf ihrer Website Muster zur Verfügung [siehe Hinweise weiter unten, Anm.]. Diesen Plan sollte man dann in Papierform im Büro verwahren, nicht am Computer speichern – denn dort kann ich ihn im Notfall womöglich nicht öffnen. Sollte die IT-Expertin oder der IT-Experte feststellen, dass Daten abgegriffen wurden, ist unbedingt die Datenschutzbehörde zu informieren. Außerdem sind die Kundinnen und Kunden verpflichtend zu informieren, falls deren persönliche Daten potenziell entwendet wurden.
Die Wirtschaftskammer hat auf ihrer Website grundlegende Informationen zur IT-Sicherheit für Unternehmen zusammengefasst: it-safe.at
Außerdem gibt die WKO einen Überblick über notwendige Schritte, die ein Unternehmen setzen sollte, um sich gegen Cybercrime abzusichern. Hier findet man auch Links zu Versicherungsmaklern, die Cybersecurity-Versicherungen vermitteln: https://www.cybersecurity-versicherung.at/
Eine erste Anlaufstelle im Notfall ist die Cyber-Security-Hotline der Wirtschaftskammer: 0800 888 133
Für den Inhalt verantwortlich: A-SIT Zentrum für sichere Informationstechnologie – Austria