Schweizer KMU stehen zunehmend im Visier von Cyberkriminellen. Laut einer Studie der GFS sind mehr als ein Drittel von ihnen von Malware infiziert und sie haben bereits mehr als 80’000 Cyberangriffe erlebt. Ist den KMU dieses Risiko bewusst, wie schützen sie sich, und wo bestehen Lücken? Das Institut für Risk & Insurance der Zürcher Hochschule für Angewandte Wissenschaften ZHAW hat im Rahmen einer Bachelorarbeit KMU und Versicherungsexperten zu Dienst- und Versicherungsleistungen gegen Cyberangriffe befragt. Die Produkte der sieben grössten Schweizer Anbieter wurden zu einer Liste von vier Dienstleistungen (DL) und vier Versicherungsleistungen (VL) zusammengefasst. Die Befragten haben sich zur Bedeutung der Leistungen auf einer Skala von 0 (nicht wichtig) bis 5 (sehr wichtig) geäussert. Teilgenommen haben 176 KMU und 4 Experten.
Von elf identifizierten Deckungen und Dienstleistungen wurden sieben von den Experten als wichtig eingestuft; von diesen wurde jedoch nur eine, die Forensik, auch von den KMU als wichtig erachtet (siehe Grafik 1). Besonders gross war die Diskrepanz beim Sicherheitstraining der Mitarbeitenden und bei einer 24/7-IT-Assistance-Leistung, aber auch bei drei von vier Versicherungsleistungen unterschätzen KMU deren Bedeutung.
Ob in einem KMU eine Dienstleistung bzw. eine Versicherungsdeckung für Cyberrisiken vorhanden ist, ist proportional zur Einschätzung der Bedeutung dieser Leistung (siehe Grafik 2). Die lineare Regression dieser Daten ist durch die durchgezogene Linie in der Grafik unten dargestellt. Bei einer Bedeutung von 5 würden 90 Prozent aller KMU diese Leistung organisiert haben, bei einer Bedeutung von 2 wäre diese Leistung nur bei einem Fünftel der KMU vorhanden. Bei ähnlicher Bedeutung der Leistung gibt es eine Tendenz, weniger Versicherungsleistungen zu beziehen als Dienstleistungen. Das könnte darauf zurückzuführen sein, dass Versicherungen extern bezogen werden müssen. Im Vergleich ist ca. ein Drittel der Dienstleistungen mit internen Ressourcen organisiert. Zusätzlich wussten die Probanden in etwa einem Drittel der Fälle nicht, ob eine Versicherungsleistung vorhanden war oder nicht.
Durch die Regression in Grafik 2 kann das SOLL-Vorhandensein einer Leistung nach ihrer Bedeutung geschätzt und mit dem IST-Vorhandensein verglichen werden. Wenn KMU die Bedeutung eines Cyberrisikos gleich hoch einschätzen wie die Experten, würden sie mit einer deutlich höheren Häufigkeit DL und VL beziehen. In diesem Fall würden zusätzlich 30 bis 50 Prozent aller KMU sechs der elf Leistungen beziehen. Besonders deutlich ist diese Erkenntnis bei den Versicherungsleistungen.
Knapp die Hälfte der befragten KMU hat bei fehlenden DL oder VL angegeben, das Risiko sei klein und deswegen die Leistung nicht notwendig. Zusätzlich wusste ein Viertel der KMU nicht, dass es diese Leistung gibt (siehe Grafik 3).
Schweizer KMU unterschätzen deutlich die Notwendigkeit, sich gegen Cyberangriffe zu schützen. Dadurch entsteht sowohl eine grosse Deckungslücke als auch ein hohes Wachstumspotenzial für Versicherer. Die Lücke ist vor allem einer zu optimistischen Einschätzung der Risiken geschuldet, zum Teil aber auch durch fehlende Informationen zu den vorhandenen Produkten und Dienstleistungen bedingt. Erfreulich ist, dass nur ein Zehntel der KMU die vorhandenen Angebote als zu teuer einstuft. Diese Hürden können mit einer gezielten Informations- und Sensibilisierungskampagne adressiert werden.
Dr. Carlo Pugnetti ist Dozent und Moritz Schneebeli ist Bachelor-Absolvent am Institut für Risk & Insurance der ZHAW