Cybercrime-Versicherungen erwarten Boom in Europa

Über die Dunkelziffer, wie viele und vor allem welche Unternehmen Opfer von Cyberattacken werden, will keiner wirklich reden, aber nur sechs Prozent aller Cyberattacken werden entdeckt. Im Durchschnitt kann sich jeder Hacker im Schnitt 211 Tage in aller Ruhe in den IT-Systemen einer Firma austoben. „Die Sensibilisierung österreichischer Unternehmer für das Thema Cybersicherheit ist zwar da, wird aber im Vergleich zu den USA noch gehörig unterschätzt“, sagt der CEO von aon-Austria, Michael Kleiter-Bingel. Dennoch erwartet er bis 2020 einen enormen Anstieg bei IT-Versicherungen. 8966 Fälle von Cyberkriminalität wurden in Österreich 2014 zur Anzeige gebracht, was zwar einen Rückgang um 10,8 Prozent im Vergleich zu 2013 bedeutet, die Hacker-Attacken haben aber um fast 70 Prozent zugenommen.

„Das sollte jedem Firmenchef zu denken geben“, ergänzt der Vorstand der Vero Management AG, Wolfgang Fitsch. „Auch wenn die Hacker-Attacken in absoluten Zahlen noch gering sind, das Problem wird in den kommenden Jahren stark zunehmen.“ Kleiter-Bingel ergänzt: „Die Schäden werden aufgrund der Globalisierung und aufgrund der Internationalisierung europäischer Unternehmen steigen.“ Beide Experten raten österreichischen Klein- und Mittelständischen Betrieben zu IT-Versicherungen, die mit einem weltweiten Versicherungsschutz ausgestattet sind. Mehrmals pro Woche seien sie in Österreich mit konkreten Fällen konfrontiert. Das beginne beim Speditionsunternehmen, dessen Hochregallager-System durch einen Hackerangriff lahm gelegt wurde, gehe über die Gemeinde in Niederösterreich, deren Webseite gehackt und erpresst wurde und endet beim Limonaden-Abfüller, dessen Rezeptur gestohlen wurde. In Österreich liegt die durchschnittliche Schadenssumme bei etwa 400.000 Euro.

Alle Branchen

„Die Angriffe gehen quer durch alle Branchen“, sagt Georg Beham vom Beratungsunternehmen KPMG, der sich auf Risiko-Bewertungen von Unternehmen spezialisiert hat. Etwa zehn Millionen Euro Schaden habe er schon „behandelt“. Dass es eine Dunkelziffer gibt, weiß er aus eigener Erfahrung, auch, dass manche Unternehmen erst ein halbes Jahr nach der Attacke bemerken, dass sie gehackt worden sind. „Wir sind aber auch Firefighter, wenn etwas passiert ist“, sagt Beham. Anders als das FBI, das ja jüngst Opfern von Hackerattacken empfohlen hat, bei Ransomware einfach bezahlen, empfiehlt er so etwas nicht, da dankbare Opfer immer gerne wieder als Opfer ausgewählt würden.

Während in den USA mittlerweile 60 Prozent der Unternehmen eine Cybercrime-Versicherung haben, sind es in Österreich gerade einmal drei Prozent. „2015 lag das Versicherungsvolumen von Cyberversicherungen in Europa bei 50 Millionen, in den USA zum Vergleich bei umgerechnet fast 1,9 Milliarden Euro“, so Kleiter-Bingel. Die Experten sind überzeugt, dass die IT-Versicherung in einigen Jahren so selbstverständlich ist wie eine Brandschutz- oder Kasko-Versicherung bei einem Auto.

Kosten

„Wer die Frage, ob er seine Systeme mit einer Firewall schützt, mit einem Ja beantworten kann, kann eine Versicherung abschließen“, sagt Fitsch, der sich als Versicherungsmakler auf den Bereich Cybercrime spezialisiert hat. Ein Unternehmen mit etwa 5 Millionen Euro Umsatz zahlt für eine Versicherungssumme von 1 Million Euro etwa 2400 Euro Jahresprämie, bei 100 Millionen Umsatz und 3 Millionen Versicherungssumme steigt die Prämie auf 12.0000 Euro. Ausschlusskriterien sind grobe Fahrlässigkeit, Schäden durch Manipulation eigener Mitarbeiter.

Es gehe aber nicht nur darum, dass eine Versicherung den Eigenschaden abdeckt, also für die Kosten der Wiederherstellung der Systeme, Betriebsunterbrechung etc., sondern es gehe auch darum, dass das Drittschadenrisiko minimiert wird, sprich, die Ansprüche gegenüber von Dritten bezahlt werden. „Das größte Risiko für Unternehmen ist aber nicht der Schaden, den kann man finanziell ausgleichen, sondern die Reputation, die nachhaltig beschädigt sein kann“, meint Kleiter-Bingel. Er ist überzeugt, dass das Hauptproblem der Cyberattacken Personen sind, „die Mitarbeiter müssen geschult werden“. Sowohl Kriminalisten als auch Versicherungen sind immer öfter mit dem Phänomen konfrontiert, das sich Social Engineering nennt – Hacker dringen in Systeme ein, studieren die Opfer und geben sich dann in E-Mails und in der internen Kommunikation als bestimmte Personen innerhalb des Unternehmens aus. „Da schlüpft plötzlich ein Hacker in die Rolle des CEOs, kommuniziert mit dem Vorstandsvorsitzenden und bittet um eine Geldanweisung“, erzählt Kleiter-Bingel aus Erfahrung. „In unseren Versicherungsprodukten gibt es sogar eine Belohnung, die zur Ergreifung der Hacker führt."