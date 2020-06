22.6.2020 – Eine Studie von Hiscox zeigt, dass viele Unternehmen mehr für ihre IT-Sicherheit tun. Das erschwert Kriminellen das Geschäft. Doch eine umfassende Versicherung haben die wenigsten Unternehmen. Daher dürfte nun – bei mehr Schadenfällen aus dem Homeoffice aufgrund der Corona-Pandemie – die Nachfrage steigen.

Noch immer ist voller Schutz gegen die Gefahren aus dem Internet bei deutschen Unternehmen selten. Das zeigt eine aktuelle Studie der Hiscox SA, Niederlassung für Deutschland. Danach haben nur rund 24 Prozent aller Unternehmen eine Stand-Alone-Cyberpolice abgeschlossen. Rund ein Drittel schützt sich mit Cyberkomponenten.

„Das sind beispielsweise Module im Rechtschutz- oder in Vermögenschaden-Haftpflicht-Policen“, sagte Ole Sieverding, Underwriting Manager Cyber bei Hiscox, anlässlich der Vorstellung des „Cyber Readiness Report 2020“.

Wahrscheinlich weniger als zehn Prozent mit Cyber-Vollschutz

Ole Sieverding (Bild: Hiscox)

Der Experte schätzt sogar, dass die Zahl der umfassend abgesicherten Unternehmen in Deutschland in der Untersuchung zu hoch gegriffen sein könnte. „Die tatsächliche Marktabdeckung aller Unternehmen in Deutschland liegt aller Wahrscheinlichkeit lediglich bei einem einstelligen Prozentsatz“, so Sieverding.

Die Unterschiede zur Studie erklärt er damit, dass hier viele besonders sicherheitsbewusste Unternehmen teilgenommen haben. Denn es wurden vor allem Fachleute kontaktiert, die für die Cyber-Sicherheitsstrategie ihres Unternehmens verantwortlich sind.

Insgesamt wurden Ende Dezember 2019 und Anfang 2020 in Belgien, Deutschland, Frankreich, Großbritannien, Irland, den Niederlanden, Spanien und den USA 5.569 Fachleute anonym befragt.

Unternehmen nehmen die Risiken unrealistisch wahr

Noch immer ist die Risiko-Wahrnehmung wenig realistisch. So ist die Wahrscheinlichkeit, Opfer von Hackern zu werden, laut Sieverding in Deutschland 20 Mal höher als einen Feuer- oder Diebstahlschaden zu erleiden. Doch solche Sachschäden sind, im Gegensatz zu Cyber, fast in jedem Unternehmen versichert.

Das Sicherheitsbewusstsein sinkt zudem, je kleiner das Unternehmen wird. Dabei können heute selbst Handwerker nicht mehr arbeiten, wenn die EDV stillsteht. Knapp die Hälfte (49 Prozent) der kleinen Unternehmen hat weiterhin keine Mitarbeiter, die sich dezidiert um IT-Sicherheit kümmern. Bei Großkonzernen gibt es hingegen bei 98 Prozent der Firmen spezielle Sicherheitsbeauftragte.

Trotzdem ist Hiscox „sehr zufrieden“ mit dem Cybergeschäft. In den letzten Jahren hätte sich die Kundenzahl regelmäßig verdoppelt. Aktuell haben 15.000 Firmen bei Hiscox eine solche Versicherung abgeschlossen.

Neue Kunden kommen fast ausschließlich über Versicherungsmakler. Bereits eine kleine Anzahl von Unternehmern versichert sich auf der Website von Hiscox direkt. „Wir sind hier, was Preise und Leistungen anbelangt, sehr transparent“, so Sieverding.

Corona: Mehr Schäden durch Homeoffice

Für 2020 rechnet der Experte mit mehr Schäden anlässlich der Corona-Pandemie, weil Homeoffice-Arbeitsplätze in der Regel ein geringeres Sicherheitsniveau hätten. Neu ausgelagerte EDV-Arbeitsplätze müssen aber angezeigt werden, wenn für sie voller Versicherungsschutz gelten soll.

Insgesamt ist die Zahl der erfolgreichen Angriffe, bei dem es zu einem Schaden gekommen ist, gesunken. In der aktuellen Umfrage lag ihr Anteil nur noch bei 41 Prozent. Im Vorjahr (VersicherungsJournal 24.4.2019) waren es noch 61 Prozent. Grund: Die Unternehmen tun mehr für ihre IT-Sicherheit, wie die Autoren der Studie feststellen.

Gleichzeitig sind die Kosten für Attacken aus dem Internet aber um das Sechsfache gestiegen. In Deutschland beträgt der Aufwand pro Schaden derzeit rund 72.000 Euro, in der Vorgängerstudie hatte er noch bei 9.000 Euro gelegen.

Insgesamt mussten 389 betroffene Firmen einen Schaden von 363 Millionen durch Cyberkriminelle hinnehmen. In Deutschland lag der höchste Schaden bei 6,2 Millionen Euro.

Die häufigsten Ursachen sind Schadprogramme mit einem Anteil von 27 Prozent, unbefugter Zugriff auf Unternehmens-E-Mails (20 Prozent) und Erpressung mit Verschlüsselungs-Programmen – kurz Ransomware genannt (20 Prozent). Mehr als sechs Prozent der Unternehmen zahlten ein Lösegeld: Deren Summe belief sich bei den 350 Firmen zusammen auf 335 Millionen Euro, so die Studie.

Experten sind sich einig: Kein Lösegeld zahlen

„Die Zahlung von Lösegeld an Erpresser spielt in unserer Schadenpraxis eine untergeordnete Rolle und sollte immer nur die Ultima Ratio sein. In der Regel findet sich mit den IT-Experten gemeinsam eine andere technische“ Lösung, erläuterte Experte Sieverding. Ähnliche Warnhinweise geben regelmäßig das Bundeskriminalamt (BKA) und das Bundesamt für Sicherheit in der Informationstechnik (BSI).

So könnten Unternehmen nach Zahlung des Lösegeldes nicht sicher sein, dass die Verschlüsselung aufgehoben wird. Und selbst wenn das passiert, müssen die Betroffenen damit rechnen, dass ihr System nicht „sauber“ ist und wieder gesperrt wird. Sieverding rät daher, die Lösegeldzahlung immer ganz an das Ende aller Lösungen zu stellen.

Erst sollte man von Experten prüfen lassen, ob es nicht eine Möglichkeit gibt, das System aus der Sicherung heraus wiederherzustellen. Unternehmen mit einer Cyberpolice erhielten hier kostenfrei Hilfe von Experten.

Versicherung von Lösegeldern nach den Regeln der Bafin

Die Bundesanstalt für Finanzdienstleistungs-Aufsicht (Bafin) knüpft die Versicherung von Lösegeldern an bestimmte Voraussetzungen. „Auf keinen Fall darf beispielsweise die Ermittlungsarbeit der Polizei beeinträchtigt werden“, so Sieverding.

Hier sei eine enge Abstimmung mit den Behörden erforderlich, die aufgrund des Straftatbestandes Erpressung vom Versicherungsnehmer unverzüglich eingeschaltet werden müssen.

Schulung senkt Selbstbeteiligung bei Cyberversicherung

Cyberpolicen würden ihren hohen Mehrwert vor allem bei der Schadenregulierung und der Prävention ausspielen. „Wenn es merkwürdige Vorfälle gibt, dann kann das Unternehmen immer rund um die Uhr unsere Hotline anrufen“, so der Fachmann.

Eine Erstberatung wird nicht auf die Selbstbeteiligung angerechnet. Je nach Unternehmen schwankt diese zwischen 1.000 und 500.000 Euro und beträgt meisten 5.000 Euro.

Weist der Versicherungsnehmer nach, dass mindestens einmal im Jahr 80 Prozent der Mitarbeiter eine Onlineschulung zur Cybersicherheit absolviert haben, reduziert Hiscox im Schadenfall die Selbstbeteiligung um ein Viertel. Die kostenlosen Schulungen bietet der Versicherer auch aus Eigennutz an. Denn sensibilisierte Mitarbeiter würden Cyberverstöße oft schneller erkennen.