Mittelständler im Visier von Hackern Warum eine Cyberversicherung allein nicht reicht

Illustration eines Hackerangriffs: Zuletzt haben Cyber-Kriminelle im Schatten der Corona-Krise ihre Angriffe auf Unternehmen wieder erhöht.
Foto: Julian Stratenschulte/ dpaUnd schon hat es das nächste Unternehmen erwischt: Neun Millionen Datensätze von Easyjet-Kunden, darunter Informationen über Reisedaten als auch Kreditkarten-Informationen wurden gestohlen. Erst vor wenigen Tagen haben es Hacker geschafft mehrere europäische Rechenzentren und deren Supercomputer anzugreifen.

Florian Jörgens ist Chief Information Security Officer bei Lanxess Deutschland.
In Zeiten von Wirtschaftskrisen, ausgelöst durch Covid-19, nutzen Cyber-Kriminelle diese mediale Ablenkung wodurch sich die Anzahl an erfolgreichen Angriffen erhöht.
Tagtäglich kommt es zu Cyberangriffen dieser Art - und längst sind nicht mehr nur große Firmen wie Rheinmetall, Buchbinder oder Beiersdorf das Ziel von Hackern. Cyberkriminalität hat auch die kleinen und mittelständischen Unternehmen erreicht. Unabhängig von der Unternehmensgröße fragen sich immer mehr Vorstände und Geschäftsführer, ob eine Cyberversicherung einen angemessenen Schutz gegen dieses Risiko darstellt. Die Antwort lautet: ja - aber.
Trügerische Sicherheit
Viele Cyberpolicen erscheinen auf den ersten Blick unverhältnismäßig teuer. Oder aber sie haben Lücken und bieten daher lediglich eine trügerische Sicherheit. Daraus allerdings den Schluss zu ziehen, auf Versicherungsschutz ganz zu verzichten oder - schlimmer noch - die Investitionen in Cybersicherheit zurückzufahren, wäre falsch. Versicherungen sind sinnvoll - sie reichen jedoch nicht aus.
Schon beim Versuch, eine einheitliche Definition für den Begriff "Cyber" zu finden, wird es schwierig. Als Kunstwort abgeleitet vom griechischen "Kybernetik" - der Steuerung und Regelung von Interaktionen zwischen Mensch und Maschine - wird es heutzutage hauptsächlich zu Marketingzwecken verwendet, in Literatur und Film, auf Flyern, T-Shirts, Homepages und in Angeboten. Bei Cyberangriffen ist das Bild schon klarer. Darunter versteht man vorsätzliche und zielgerichtete Attacken auf fremde IT-Systeme sowie deren Daten.
Dass sich mit dem Versprechen vom sicheren Rettungsschirm im Fall von Hackerangriffen Geld verdienen lässt, haben auch die Versicherer entdeckt. Konzentrierten sich vor zehn Jahren die Policen noch vor allem auf Industrieschäden, gibt es inzwischen Produkte, die sich auf die Säuberung und Wiederherstellung infizierter IT-Systeme sowie Reputationsschäden fokussieren.
Das größte Risiko bleibt der Mensch
Dabei stehen die Versicherer vor diversen Herausforderungen, die dazu führen, dass Jahresprämien solcher Cyberpolicen schnell hohe fünf-, teilweise sogar sechsstellige Summen erreichen. Ein Grund dafür ist die Informationsasymmetrie zwischen Versicherungsnehmer und Versicherungsgeber. Der Begriff "Adverse Selection" beschreibt hierbei den Umstand, dass die Unternehmen meist ganz genau wissen, wo in ihrer IT-Struktur die Leichen begraben liegen - und diese Schwachstellen vor den Versicherern bewusst verheimlichen. Zusätzlich kann der Effekt des "Moral Hazard" eintreten: Ist die Police einmal abgeschlossen, vernachlässigen die verantwortlichen Manager ihre Sorgfaltspflicht in Sachen IT-Sicherheit, frei nach dem Motto "Die Versicherung zahlt ja, wenn's knallt.
Eine weitere Herausforderung für die Versicherer stellen die Folgen der Globalisierung und die Vernetzung der Unternehmen untereinander dar. Cyberangriffe sind geradezu prädestiniert dafür, sogenannte korrelierende Verluste ("Corellated Losses") zu erzeugen, im Versicherungssprech auch Kumulrisiko genannt. Dies beschreibt den gleichzeitigen Eintritt diverser Schäden, ausgelöst durch ein einziges Ereignis.
Ein Beispiel: Kleine und mittelständische Unternehmen verwenden in der Regel dieselbe Standardsoftware. Wird in einem dieser häufig genutzten Programme eine Sicherheitslücke bekannt, kann dies einen Hackerangriff auf mehrere Unternehmen gleichzeitig auslösen - und damit auch direkt mehrere Versicherungsfälle. Gleiches gilt beim Ausfall eines Dienstleisters, der mit mehreren Unternehmen zusammenarbeitet und für diese IT-Services erbringt.
Ein ebenfalls häufig anzutreffendes Phänomen nennt sich "Interdependent Security". Nur weil das eigene Unternehmen ein gewisses (hohes) Sicherheitsniveau aufgebaut hat, muss dies noch lange nicht für Vertragspartner wie Zulieferer gelten. Grundsätzlich verlässt sich die Geschäftsführung jedoch oft darauf, dass diese ihre Daten und Systeme mit ähnlichem Aufwand schützen wie sie selbst. Ein Trugschluss, wie sich schon allzu oft gezeigt hat. Daher sind es häufig kleine Zulieferer großer Unternehmen, die Hacker als ein lukratives Ziel auswählen und anschließend attackieren. Wohl wissend, dass dort die Sicherheitsvorkehrungen geringer, die abzugreifenden Daten aber ebenso wertvoll sind.
Die Versicherung zahlt längst nicht immer
Bevor ein Unternehmen eine Cyberversicherung abschließt, sollte es genau prüfen, ob der Versicherer auch die passende Dienstleistung anbietet. Als erstes wäre da die klassische Haftpflicht, die Verletzungen der Vertraulichkeit sowie des Datenschutzes übernimmt. Hinzu kommen Eigenschäden durch Cyberangriffe, wie beispielsweise Wiederherstellungskosten, Ertragsausfälle oder Erpressung durch Ransomware. Außerdem bieten viele Versicherer sowohl Unterstützung in Sachen Rechtsberatung, Kommunikation und IT-Forensik an, als auch bei der Meldung von Verletzungen des Datenschutzes.
Jede Police sollte detailliert analysiert und auf ihre Leistungen abgeklopft werden. Oftmals sind beispielsweise Vorfälle nicht abgedeckt, die das Unternehmen für einen Cyberangriff hält, der Versicherer dagegen nicht. Ein klassisches Beispiel ist der sogenannte CEO-Fraud, bei dem sich ein Krimineller als Führungskraft ausgibt und seine vermeintlichen Untergebenen dazu bringt, Geld auf fremde Konten zu überweisen. Da hier kein aktiver Angriff auf die Unternehmens-IT stattgefunden hat, zahlt die Cyberversicherung hier häufig nicht.
In eine ähnliche Falle tappte 2017 der Lebensmittelkonzern Mondelez, als im Milka-Werk in Baden-Württemberg die russische Ransomware "NotPetya" einschlug und einen Schaden von 180 Millionen Dollar auslöste. Die Zürich Versicherung sah hierin einen Fall von "kriegsähnlichen Handlungen in Kriegs- oder Friedenszeiten", da der Angriff durch Russland selbst stattgefunden habe - und verweigerte deshalb die Zahlung.
Generell gilt: Eine Cyberversicherung ist nicht dafür da, die IT-Sicherheit im Unternehmen zu verbessern. Im Gegenteil. Die Versicherer prüfen bereits vor dem Abschluss, ob ein Mindestmaß an Schutzmechanismen vorhanden ist. Sind die Firewalls, die Verschlüsselungstechniken und die Anti-Viren-Software auf dem neuen Stand? Sind die Mitarbeiter ausreichend sensibilisiert? Denn sie stellen das schwächste Glied in der Kette im Hinblick auf Datenverluste oder Cyberangriffe dar.
Erst absichern, dann versichern
Eine Cyberversicherung ist daher grundsätzlich sinnvoll und hilft, den finanziellen Schaden eines Hackerangriffs aufzufangen. Voraussetzung dafür aber ist, dass sie auf einem vorhandenen Mindestlevel an Sicherheit aufbauen kann. Bevor ein Unternehmen also über den Abschluss einer Cyberpolice nachdenkt, sollte sichergestellt sein, dass entsprechende technische Lösungen implementiert sind, genug Fachpersonal vorhanden ist, die Mitarbeiter sensibilisiert sind und strukturierte Informationssicherheitsprozesse existieren. Ja, eine Versicherung kann vor Gefahren aus dem Cyberspace schützen - doch sie nützt nichts, wenn die eigene IT-Landschaft Angreifern gegenüber offen ist wie ein Scheunentor. Daher sind langfristig Investitionen in Präventivmaßnahmen zumeist günstiger als der Abschluss einer Versicherung bei lückenhafter IT-Sicherheit. Vom Zeit- und Organisationsaufwand, der im Versicherungsfall entsteht, ganz zu schweigen.
Florian Jörgens ist Chief Information Security Officer bei Lanxess Deutschland.