Obwohl das Risiko der Cyberkrimina­lität zuletzt deutlich an Bedeutung ­gewonnen hat und inzwischen zu den zentralen Unternehmensrisiken zählt, rückt das Bewusstsein für Cyber­risiken und die damit verbundenen potenziellen Gefahren erst langsam in den Fokus von Schweizer KMU. Entsprechend weicht das aktuelle Marktvolumen der Cyberrisk-Versicherungen im Schweizer KMU-­Sektor noch von den anfänglichen ­Erwartungen vieler Experten ab.

Im Rahmen einer aktuellen Studie am Institut für Versicherungswirtschaft der Universität St. Gallen (I.VW- HSG) wurden die Gründe für die zurückhaltende Versicherungsnachfrage im Cyberrisk-Bereich speziell für den KMU-Sektor analysiert. Die Forschungsergebnisse beziehen sich dabei auch auf einen Datensatz des Gfs-­Instituts, welcher mit Schweizer ­Geschäftsführenden im KMU-Sektor erhoben wurde. Es zeigt sich, dass die Schweiz aufgrund ihrer hoch ­ent­wickelten Infrastruktur und der ­exklusiven Finanzdienstleistungsbranche ein attraktives Angriffsziel für Cyberkriminelle darstellt. Da im KMU-Sektor oftmals aufgrund beschränkter Ressourcen eine kompetente IT-Abteilung fehlt, wird das ­Cyberrisiko tendenziell unterschätzt. Ferner fällt auch die Qualität der ergriffenen Schutzmassnahmen bedeutend von jenen der Marktführer ab. So weisen laut einer Analyse der Zurich nur 2,5 Prozent der KMU ausreichende und angemessene Schutzmassnahmen auf. Eine intensivere Auseinandersetzung mit der Cyber­sicherheit lässt sich erst bei denjenigen KMU feststellen, die bereits von ­einem Cyberangriff betroffen waren.
 

Geringschätzen von Risiken

Viele Organisationen sind sich des ­tatsächlichen Grads der Risikoexpo­nierung und der finanziellen Auswir­kungen eines Cyberangriffs nicht be­wusst. Der Grund für die mangelhafte «Cyber-Readiness» der Unternehmen wird unter anderem in einer falschen Wahrnehmung des Cyber­risikos und der eigenen Cyberrisiko-Exponierung gesehen. So schätzen mittelgrosse Unter­nehmen das Cyberrisiko geringer ein als Grossunternehmungen. Dementsprechend weisen diese nur ­limitierte Strategien zur Risikominde­rung und zum Risikotransfer auf. In­folgedessen lässt sich eine zu geringe Investition in die Cyberprävention feststellen. Gerade in diesem Segment wird jedoch eine höhere Frequenz an Geschäftsdisruptionen durch Cyber­attacken beobachtet.

Anzeige

Im Datensatz der Gfs lässt sich die Tendenz erkennen, dass grössere Unternehmen mehr in Cybersicherheit investieren als Unternehmen mit ­geringer Mitarbeiterzahl. So planen rund 46 Prozent der befragten KMU keine Investitionen in die Verbesserung der Cybersicherheit. Dieses restriktive Investitionsverhalten hat negative Implikationen für den gesamten Wirtschaftssektor. Denn vor dem Hintergrund der vernetzten Informationssysteme gibt es eine Abhängigkeit von IT-Investitionen eines Unternehmens von den IT-Investitionen anderer Unternehmen. Es entsteht ein Trittbrettfahrerproblem, wodurch Parteien ohne jegliche finanzielle Aufwendungen von den getätigten ­Investitionen der risikobewussten ­Unternehmen profitieren.

 

Beschränkte Ressourcen erhöhen Risiko

Im KMU-Sektor wird das Cyber­risiko tendenziell unterschätzt, auch weil aufgrund fehlender Ressourcen der Aufbau einer kompetenten IT-­Abteilung nicht möglich ist. Bei 55 Prozent der befragten Unternehmen trägt der Geschäftsführende die Verantwortung für die IT-Sicherheit. Aufgrund der Ressourcenbeschränkungen verfügen KMU oftmals über keine spezialisierte IT-Abteilung. Glei­chermassen wird die Inanspruch­nahme von externen IT-Dienstleistun­gen durch die limitierten Möglichkeiten der KMU zu einer kostenkritischen Entscheidung.

Mit zunehmender Firmengrösse und Wichtigkeit der IT werden interne oder externe Fachpersonen deutlich häufiger mit der IT-Sicherheit beauftragt. Unklare Verantwortlichkeiten werden überwiegend bei Unternehmen festgestellt, welche dem Funktionieren der IT einen geringen Stellenwert zumessen. Ist der Geschäftsführende selbst für die IT verantwortlich, schätzt dieser trotz mangelnden IT-Fachkenntnissen die Fähigkeit der Abwehr von Cyberattacken tendenziell besser ein, als wenn internes Fachpersonal oder externe IT-Dienstleister die Verantwortung übernehmen.
Bei diesen Selbsteinschätzungen muss indes die potenziell beeinträchtigte Objektivität berücksichtigt werden. Insbesondere für die Beurteilung der eigenen Performance wird diese häufig an weniger kritischen Massstäben gemessen, um ein besseres Endergebnis zu erzielen. Diese mangelnde Objektivität kann als Konsequenz zu einer höheren Bewertung des Cyberschutzes führen. Infolgedessen hat eine potenziell verzerrte Selbsteinschätzung einen negativen Einfluss auf eine angemessene Berücksichtigung des Cyberrisikos im Risiko­management und folglich auf die Investitionen in die Cybersicherheit.
 

Indizien für Marktversagen

Die statistischen Auswertungen zeigen, dass die befragten KMU mit ­einer Cyberversicherung eine tiefere Risikobewertung und ein höheres Sicher­heitsgefühl aufweisen als unver­sicherte Unternehmungen. So werden Versicherungen oft als risikoreduzie­rende Massnahme ergriffen, indem das finanzielle Risiko (teilweise) auf Dritte überwälzt wird, ­wodurch sich die subjektive Sicherheit des Versi­cherten erhöhen kann. Dies kann als ein Indiz für Moral Hazard gewertet werden. Konkret kann die durch die Versicherung erhöhte subjektive Si­cherheit des Versicherungsnehmers zu einer negativen Verhaltensänderung führen. Der Versicherungsnehmer weist dann eine höhere Risikotoleranz auf, die sich in einer Nachlässigkeit beim Investieren in die Cybersicher­heit äussern kann. Der nachvertragli­che Opportunismus kann demgemäss zu geringeren Investitionen in die Schadensvermeidung und -begren­zung führen.

Insofern stellt sich die Frage, ob Cyberversicherungen als Ersatz für Investitionen in die Cybersicherheit betrachtet werden können oder ob diese in einem komplementären Verhältnis zueinander stehen. Die Lite­ratur geht in diesem Punkt auseinan­der. Eine komplementäre Beziehung könnte auf allfällige Hilfestellungen der Versicherer zur Optimierung der Cyber-Präventionsmassnahmen zurückzuführen sein. In jedem Fall muss ein Versicherungsabschluss auch mit konkreten Anforderungen des Versicherers an die IT-Sicherheit des Versicherungsnehmers einher­gehen, um das mögliche Moral-­Hazard-Risiko zu begrenzen.
Des Weiteren lassen sich Anzeichen für adverse Selektion im Cyberrisk-Versicherungsmarkt erkennen. Insbesondere KMU, die bereits von einem Cyberangriff betroffen waren, verfügen häufiger über eine Versi­cherung. Sie bewerten ihren Cyber­schutz deutlich tiefer, was in einer hö­heren Wahrscheinlichkeit resultiert, eine Cyberrisk-Versicherung abzu­schliessen. Die tiefere Sicherheitsein­­schätzung könnte hingegen auch durch einen höheren Informations­grad erklärt werden, der zu einem ­höheren Anspruch an effektive Cy­berschutzmassnahmen führt. Der Cyberschutz wird anhand strenge­rer Kriterien beurteilt, wodurch eine ­akkurate Risikobeurteilung zu tiefe­ren Sicherheitsbewertungen führt. Zudem zeigt sich, dass sich Ge­schäftsführende mit Cyberangriffs­erfahrung signifikant schlechter in­formiert ­fühlen. Dennoch ist bei jener Gruppe von einem höheren Fachwissen auszugehen, das infolge des Lernprozesses erlangt wurde.
 

Anzeige

Risikobewusstsein steigt

Allmählich zeichnen sich ein zunehmendes Risikobewusstsein und auch eine steigende Abschlussquote für ­Cyberrisk-Versicherungen ab. Dies kann insbesondere mit der geänderten Rechtslage durch das IT-Sicherheitsgesetz und die EU-Datenschutzgrundverordnung erklärt werden. Dadurch werden die Unternehmen mit stetig wachsenden Anforderungen an die IT-Sicherheit konfrontiert.

Das steigende Risikobewusstsein wirkt sich positiv auf die IT-Sicherheit aus. Entsprechende Regelungen werden auch für die Schweiz diskutiert, wobei die entsprechenden Details noch Gegenstand kontroverser Diskussionen sind – so zuletzt im September im Nationalrat im Kontext der Eintretensdebatte zur Totalrevision des Datenschutzgesetzes. Die Schweiz hinkt hier in der Diskussion einige Jahre hinter der EU hinterher. Dennoch müssen sich die meisten Firmen schon heute intensiv mit neuen Datenschutzregeln befassen.