Cyber-Police ersetzt nicht Prävention

Wiper-Software zerstört alles

Entschlüsselt wird nur gegen Bitcoin, zahlbar in Bitcoin. «Bei einem Grossteil der uns gemeldeten Fälle handelt es sich um Ransomware-Vorfälle», sagt Simona Altwegg, Sprecherin bei Axa. «Diese werden oft durch Unwissenheit oder Unachtsamkeit von Mitarbeitenden ausgelöst.» «Die Verschlüsselung von Daten beziehungsweise Datenlöschungen, die einen Betriebsunterbruch zur Folge haben, sind hervorzuheben sowie Erpressungen mit Lösegeldforderungen», sagt Pierre Mitschi, Leiter Haftpflicht, Cyber, Rechtsschutz, Garantien und Leiter Produktentwicklung/Support bei der Baloise. «Wichtige Bedrohungen sind Betrug (Scam), Erpressung mit Verschlüsselung (Ransomware) und Schwachstellen (Compromise)», so Andreas Hölzli, Leiter vom Mobiliar-Kompetenzzentrum Cyber Risk.

Der Angriffskrieg Russlands hat diese Bedrohungen noch weiter in den Vordergrund rücken lassen. «Der Ukraine-Konflikt hat dazu geführt, dass Bedrohungsszenarien durch staatliche Akteure nochmals kritischer betrachtet werden», sagt Zurich-Sprecher David Schaffner. «Der Krieg war nicht Bestandteil dieser Modelle, und deshalb kann niemand wissen, wie dieser Krieg auf die digitale Welt übergreifen wird», sagt Manuel Pachlatko, Teamleiter Special Risks beim Versicherungsbroker Kessler. Es seien neue Schadprogramme im Umlauf wie etwa Wiper. Das ist eine Schadsoftware, die Daten vernichtet und elektronische Speichermedien unwiderruflich löscht.

«Das ist eine neue Gegebenheit, denn Schadsoftware hat grundsätzlich das Ziel der Erpressung, das heisst, sie hat ein finanzielles Motiv», erklärt Pachlatko. «Wenn es nur um die Zerstörung geht, bedeutet dies, dass der Versicherer möglicherweise für die gesamte Wiederherstellung von der grünen Wiese aufkommen muss. Das ist enorm.»

Police ersetzt nicht Prävention

KMU reagieren nicht immer angemessen auf diese Gefahren. «Wir erleben in der Beratungspraxis regelmässig, dass Risiken verdrängt werden», sagt Axa-Sprecherin Altwegg. «Die vielfach eher kleinen Unternehmen bezweifeln, dass sie ein lohnendes Ziel für Cyberkriminelle sein könnten. Dies ist leider nicht korrekt.» Es brauche daher in dieser Versicherungssparte mehr Aufklärungsbedarf und Beratung, als es in anderen Sparten der Fall ist. «Hat sich ein Unternehmen einmal dazu entschieden, sich beraten zu lassen, folgen oft Massnahmen wie die Verbesserung der IT-Sicherheit oder der Abschluss einer Cyberversicherung», so Altwegg.

«Kunden, die noch nie von einem Cyberangriff betroffen waren, tendieren weniger zum Abschluss einer Versicherung», beobachtet Kessler-Experte Pachlatko. «Je besser ein KMU-Unternehmen in Bezug auf das Cyberrisikomanagement aufgestellt ist, desto stärker ist das Bewusstsein, dass es unmöglich ist, 100-prozentig sicher zu sein. Das bedeutet, dass man sich des Restrisikos bewusst ist, das trotz Risikominderungsmassnahmen verbleibt, und daher ein Interesse daran hat, dieses auf die Assekuranz zu übertragen.»

Es seien auch die Unternehmen, die verstanden hätten, dass die allermeisten Angriffe opportunistisch sind und dass das schwächste Glied in der Kette am ehesten betroffen ist. «Unternehmen, die ein solides Wissen über Cybersicherheit haben, schliessen mit höherer Wahrscheinlichkeit eine Versicherung ab», so Pachlatko. «Kunden, die sich noch nicht intensiv mit dem Thema auseinandergesetzt haben oder über kein dediziertes Wissen verfügen, schliessen seltener eine Versicherung ab. Ebenso Kunden, die sehr risikofreudig sind und bereit sind, dieses Toprisiko selbst zu tragen.»

Versicherungen prüfen mit

Die Cyberversicherung ist laut Pachlatko auch eine Servicepolice, was bedeutet, dass die Kundinnen und Kunden rund um die Uhr Zugang zu einem Krisenmanagementteam haben. Werde dieser schnell und subsidiär hinzugezogen, sei der Schaden in der Regel geringer als ohne ihn. «Das ist ein enormer Zusatznutzen», sagt Pachlatko. «Unternehmen, die eine Versicherung als ‹letzte Verteidigungslinie› nutzen – also nicht als Ersatz für Schutzmassnahmen –, bleiben zumindest nicht auf den vollständigen finanziellen Kosten sitzen.» Die Versicherung hat immer eine ergänzende Rolle, aber sie ersetzt niemals das übrige Risikomanagement.

Absolute Sicherheit gibt es nicht, sagt auch Zurich-Sprecher Schaffner. «Um die allfälligen Kosten zu decken, die durch das Restrisiko eines erfolgreichen Cyberangriffes trotz hohen Sicherheitsvorkehrungen entstehen, gibt es die Cyberversicherung.» Ab einer gewissen Firmengrösse unternimmt die Zurich eine vertiefte Risikoprüfung. «Können Unternehmen gewisse Mindeststandards nicht erfüllen, sehen Versicherer von einem Angebot ab», so Schaffner. «Oft ist dies ein Anstoss für Firmenkunden, nochmals kritisch über die eigenen Sicherheitsvorkehrungen nachzudenken.»

«Im Bereich der IT-Sicherheit wird von der sogenannten Cyberhygiene gesprochen, die für den Schutz eines Unternehmens vor Cyberangriffen unabdingbar ist», sagt Mobiliar-Experte Mitschi. Dazu gehören beispielsweise Sicherheits-Updates, die Schulung der Mitarbeitenden und insbesondere die Sicherstellung schadloser, vollständiger und zurücklesbarer Daten-Backups. «Im Falle eines Cyberangriffs stehen wir unseren Cyberver-sicherungs-Kundinnen mit einem Team von Fachexperten zur Seite und bieten professionelle Sofort hilfe. So stellen wir unter anderem sicher, dass das KMU den Betrieb bei einem allfälligen Unterbruch möglichst rasch wieder aufnehmen kann.»

«Präventionsmassnahmen sind nicht anzeigepflichtig, sodass nicht eruiert werden kann, welche Massnahmen welchen Schadeneintritt und welche Schadenfolge positiv beeinflusst haben», meint Pierre Mitschi von der Baloise. «Aus eigenem Interesse und zur Sicherung der Betriebsfortführung sollte dem Thema Prävention jedoch eine hohe Aufmerksamkeit geschenkt werden.»