Cyber-Versicherung – Unternehmen im Blindflug

from finanzwelt Ausgabe 06/2020

Der Fonds wird mit sehr viel Kontinuität gemanagt

Unternehmen im Blindflug

Die Corona-Pandemie führt zu einem höheren Digitalisierungs-Grad. Und öffnet damit ein Einfallstor für CyberKrimielle in die Geschäfte der Unternehmen. Und wie regieren diese darauf? Auf jeden Fall nicht, indem sie sich mit Versicherungen schützen würden. So viel Naivität kann aber brandgefährlich werden.

„Das New Normal verlangt von Unternehmen einen Anpassungsprozess“, erklärt Stefan Vollmer, Chief Technology Officer (CTO), TÜV SÜD Sec-IT. „Auch künftig würden großen Teile der Belegschaft mobil arbeiten“. Remote-Zugriffe auf Unternehmensdaten und Anwendungen in der Cloud nähmen weiter zu. Die Konzepte für Zugangsmanagement, der daraus resultierende Aufwand im Datenschutz, sowie natürlich auch die IT-Sicherheit beim Arbeiten im Homeoffice müssten daran angepasst werden. Vor dem Hintergrund dieser Entwicklung sehen die Experten von TÜV SÜD Sec-IT folgende Cyber-Security-Trends für das kommende Jahr: Bereits vor der Pandemie herrschte ein Fachkräftemangel in der IT-Security. Darum müssten sich Unternehmen zunehmend nach automatisierten Lösungen umsehen, die es erlaubten, das vorhandene Personal zu entlasten und die Ressourcen besser auf den Schutz vor neuen Bedrohungen und die Entwicklung neuer Strategien zu verteilen. Auch die Lieferketten müssten besser abgesichert werden. Dies gelte gerade in Zeiten von Lockdowns und damit sich verstärkender Digitalisierung. Dabei werde auch die Cloud Security immer wichtiger. Besondere Vorsicht sei gegenüber automatisiertem Phishing gefordert. „Quantität ist besser als Qualität“ – so der Slogan von Cyber-Kriminellen. Mitarbeiter müssten deshalb durch gezielte Security Awareness Trainings auf diese Gefahren und die Tricks der Betrüger aufmerksam gemacht werden und lernen, wie mit diesen Bedrohungen umzugehen ist. Dies gelte auch für KMU. Hierbei könne eine externe Beratung oder bei größeren Unternehmen auch die Auslagerung der Verantwortung an einen extern benannten Datenschutzbeauftragten helfen. Grundsätzlich gelte aber: Standards sind die Basis für Sicherheit.

Bewusstsein zeigt sich nicht in der Tagesarbeit

Die Unternehmen selbst beurteilen Cyber-Attacken mittlerweile als ihr größtes Risiko. Schlägt sich das aber auch in den

Tobias Tessartz

Technical Underwriter Cyber Hiscox SA Deutschland

Sören Brokamp

Leiter Produktmanagement Cyber HDI Versicherung AG Versicherungsabschlüssen nieder? Die Versicherer haben da unterschiedliche Erfahrungen. So sagt etwa Tobias Tessartz von Hiscox: „Definitiv. Wir sehen seit dem Start als erster Cyber-Versicherer im deutschsprachigen Raum vor rund zehn Jahren einen immer stärker werdenden Anstieg der Abschlüsse von Cyber-Policen.“ Allerdings seien nach wie vor die meisten Unternehmen noch nicht gegen Cyber-Risiken ausreichend abgesichert, auch international. Auch Uwe Schluchter, Leiter Technische Versicherungen bei Helvetia Schweizerische Versicherungsgesellschaft AG, sieht einen Unterschied zwischen Reden und Handeln: „Rund zwei Drittel aller KMU-Betriebe erwarten laut einer Forsa-Umfrage bei Cyber-Attacken eine starke oder sehr starke IT-Beeinträchtigung. „Dieses Bewusstsein zeige sich leider noch nicht in der Tagesarbeit. Das Risiko einer Cyber-Attacke werde zwar diskutiert, aber die notwendige versicherungstechnische Risikoanalyse werde oft außer Acht gelassen. „In der Folge hinken die Versicherungsabschlüsse dem omnipräsenten Thema in der Öffentlichkeit und dem realen Risiko hinterher.“ Sören Brokamp von HDI hingegen sieht Licht am Horizont: „Unser Portfolio wächst merklich. Wir stellen fest, dass das Cyber-Risiko zunehmend wahrgenommen und eine Cyber-Versicherung als geeigneter Baustein im Schutz dagegen gesehen wird.“ Jedoch müsste man von deutlich höheren Wachstumsraten ausgehen, wenn es sich um das größte Risiko für ein Unternehmen handelt. Hier dürfte nach wie vor das Problem sein, dass das Risiko einer Cyber-Attacke generell als sehr

groß angesehen, aber das individuelle Risiko noch gering eingeschätzt werde. Aus der Schadenpraxis gehe hervor, dass dies ein gefährlicher Irrglaube sein könne.

Corona-Pandemie kommt Kriminellen zugute

Wie der TÜV angemahnt hat, wird sich die Corona-Pandemie direkt auf die Sicherheitslage der Unternehmen auswirken. Cyber-Kriminelle werden sich diese Notsituation umgehend zunutze machen. Welche Auswirkungen aber werden Corona und die sich dadurch beschleunigende Digitalisierung auf die tatsächlichen Neuabschlüsse haben? Tessartz sieht hier für die Versicherungsbranche ein echtes Geschäftspotenzial: Es zeigt sich bereits jetzt, dass die Coronakrise zu einem regelrechten Digitalisierungsschub führe. Eine stärkere Digitalisierung führe zwangsläufig aber auch zu einer stärkeren Abhängigkeit von der IT. Oder anderes herum: erhöhe die Anfälligkeit gegenüber digitalen Risiken. Genau solche Risken decke eine Cyber-Versicherung ab. „Insofern gehen wir davon aus, dass die beschleunigte Digitalisierung zu einer noch stärker steigenden Nachfrage nach Cyber-Policen führt.“ Auch Brokamp zeigt sich äußerst optimistisch: „Kurzfristig hat Corona zu einer Delle in der Nachfrage geführt. Unternehmen hatten letztlich andere Sorgen. Mittelfristig wird Corona die Nachfrage nach Cyber erhöhen.“ Letztlich habe sich zum einen die Digitalisierung beschleunigt, und zum anderen hätten viele Unternehmen gespürt, wie abhängig sie von der Technik und insbesondere den Onlineanbindungen seien. Und aufgrund dieser Abhängigkeit steige auch das Bedürfnis nach geeignetem Schutz durch eine Cyber-Versicherung. Nicht ganz so erwartungsvoll beurteilt Schluchter die Situation: „Zu Beginn der COVID-19 Pandemie war es für Unternehmen wichtig, dass ihre Mitarbeiter technisch so ausgestattet werden, dass sie aus dem Homeoffice arbeiten konnten, um den Tagesbetrieb aufrecht zu halten. Mit der steigenden Zahl an Homeoffice-Arbeitsplätze stiegen jedoch auch die Risiken für die Unternehmen.“ Wichtig sei es, dass bei der Digitalisierung darauf geachtet werde, dass die eingesetzte Technik auch richtig abgesichert sei. Wenn beispielsweise Homeoffice oder mobiles Arbeiten durch Bring-your-own-Device (BYOD) realisiert werde, sei auch ein Mobile Device Management erforderlich. Nur dann könnten sichere VPN-Leitungen aufgebaut werden. Er sagt aber auch: „Corona wirkt sich nicht unmittelbar auf die Abschlusszahlen aus, aber auf die Risiken, welchen die Betriebe ausgesetzt sind.“ Je stärker ein KMU auf IT-gestützte Arbeitsabläufe zurückgreife, umso höher sei der mögliche Schaden, wenn bei einer Cyber-Attacke beispielsweise Daten verschlüsselt würden und die Produktion in den Betrieben stillstehe. (hdm)