Unternehmen suchen öfter Cyber-Rat bei Versicherungsmaklern

Kaum ein Monat vergeht, in dem nicht wieder ein Unternehmen Opfer eines Cyberangriffs geworden ist. Mit verheerenden Folgen für das Unternehmens selbst, aber oft auch für die Kunden, deren Daten damit zum Freiwild werden. Dabei werden gerade kleinere Unternehmen immer häufiger zur Zielscheibe der Kriminellen. Unternehmen mit zehn bis 49 Mitarbeitenden sind mit 39 Prozent am häufigsten betroffen, im Jahr 2022 waren es noch acht Prozent weniger, heißt es in einer aktuellen Studie des Versicherers HDI.

Nun könnte man meinen, dass das Gefahrenbewusstsein für Cyberattacken entsprechend zugenommen haben müsste. Weit gefehlt: Das Risikobewusstsein hat im Vergleich zum Vorjahr sogar noch abgenommen. Das ist das Ergebnis der HDI-Cyberstudie, für die 702 kleinere und mittlere Unternehmen (KMU) zu IT- und Sicherheitsthemen befragt wurden.

Zwar verfügen immerhin 248 Unternehmen über eine Cyberversicherung und 230 planen den Versicherungsschutz innerhalb der kommenden zwölf Monate abzuschließen. Demgegenüber stehen jedoch 185 Firmen, die keine Cyberpolice vorweisen können und das in nächster Zukunft auch erst einmal nicht ändern wollen.

Angesichts der nachlassenden Risikowahrnehmung ist das kaum verwunderlich: Gaben im vergangenen Jahr noch über die Hälfte der Befragten (53 Prozent) an, sich des Cyber-Risikos bewusst zu sein, sind es aktuell nur noch 41 Prozent. Dass das eigene Unternehmen von Cyberkriminellen angegriffen werden könnte, können sich nur noch 27 Prozent vorstellen – im vergangenen Jahr waren es noch fast 40 Prozent der Unternehmen.

Trotz der gegenwärtigen Bedrohungslage unterschätzen Unternehmen also mehr denn je das Risikopotenzial. Und das zeigt sich gerade in der Baubranche: Hier sehen nur 21 Prozent der Befragten ein individuelles Risiko. Hinzukommt, dass das häufigste Einfallstor der Kriminellen vor dem Computer selbst sitzt: der Mensch. Der versehentliche Download einer Schadsoftware aus dem Internet ist laut Studie von zehn auf 14 Prozent als auslösendes Ereignis für Cyberangriffe hochgeschnellt. Nur warum steht das Thema nicht auf der Agenda?

Die Studienautoren sehen den Grund in den Polykrisen der Gegenwart: der Angriffskrieg auf die Ukraine und die Inflation dominieren die alltägliche Wahrnehmung – das ist menschlich überaus nachvollziehbar. Vor dem Hintergrund der Tatsache, dass die Schadenaufwände laut HDI weiterhin auf hohem Niveau verharren, kann die Ignoranz des Problems jedoch in einem unternehmerischen Fiasko enden.

Zumal ein nicht mehr ganz so neues europaweites Gesetz Geschäftsführenden auch vorschreibt, den Cyberschutz auf die Agenda zu setzen. So gilt seit 2021 das sogenannte StaRUG, der „Stabilisierungs- und Restrukturierungsrahmen für Unternehmen“. Im Zuge dessen muss die Geschäftsleitung in regelmäßigen Abständen überprüfen, welche Cyberrisiken für das eigene Unternehmen lauern, sie müssen ein Frühwarnsystem und ein Risiko-Konzept vorweisen.

Tatsächlich sind auch etwas mehr Unternehmen von den präventiven Maßnahmen überzeugt als noch im vergangenen Jahr: Ein Drittel sind der Meinung, die Vorkehrungen haben eine hohe Wirksamkeit gegen Cyberangriffe, 2022 waren es 31 Prozent, die dem zustimmten. Sollte es zu einer Attacke kommen, sind jene Unternehmen, die zuvor Präventionsmaßnahmen ergriffen haben, auch schneller wieder betriebsbereit als andere: Nach durchschnittlich 3,8 Tagen sind sie laut Erhebung wieder komplett arbeitsfähig – im Gegensatz zu jenen, die keine Vorkehrungen vorgenommen haben und einen Tag mehr benötigen. Der durchschnittliche Schaden kann so von rund 78.000 Euro auf knapp 50.000 Euro verringert werden. Das mag sich wenig anhören, kann für ein Unternehmen aber von entscheidender Tragweite sein. Ein Schutzkonzept ist also ratsam. Und was ist mit einer Cyberversicherung?

„Die Alternative zu einem solchen Konzept ist eine Cyberversicherung, die ein Konzept zur Schadenprävention bereits beinhaltet“, erklärt der Experte für Versicherungsrecht Professor Hans-Peter Schwintowski gegenüber procontra. Er warnt Unternehmer, davor untätig zu bleiben, denn im Schadenfall müssen sie wegen grober Fahrlässigkeit mit ihrem Privatvermögen haften. Und das betrifft alle Unternehmen – unabhängig von ihrer Rechtsform. „Wer sich keine Gedanken macht, lebt gefährlich“, so Schwintowski. 

Sollte der Abschluss eines Cyberschutzes nicht möglich sein, weil er beispielsweise zu teuer ist, dann hätte die Geschäftsleitung zumindest etwas unternommen und tappt nicht in die Haftungsfalle. „Das Problem ist, dass viele Unternehmer noch nie etwas vom StaRUG gehört haben. Richtig ist aber auch: Für eine Konzepterstellung muss man Geld in die Hand nehmen“, erklärt der Versicherungsrechtsexperte.

Die Studie gibt ihm Recht: Tatsächlich ist generell die Auseinandersetzung mit IT- und Cybersicherheit seit dem vergangenen Jahr gesunken: Haben 2021 noch 47 Prozent der Führungskräfte angegeben, die Präventionsmaßnahmen regelmäßig auf den neuesten Stand zu bringen, sind es aktuell nur noch 40 Prozent. Auch, dass IT-Dienstleister als Experten hinzugezogen werden, ist wesentlich seltener geworden. Aktuell tun das nur noch 37 Prozent der Unternehmen – das sind 15 Prozent weniger als noch im Vorjahr.

Hier ließe sich wieder spekulieren: Guter Rat ist teuer und mag in Zeiten der Geldentwertung ins Hintertreffen rücken. Ein Argument dafür wäre, dass sich der Austausch der Entscheider zu der Problematik untereinander auf gleichbleibendem Niveau hält (29 Prozent). Eines dagegen, und das dürfte die Versicherungsvermittler freuen, ist hingegen: Sie werden wieder mehr als Informationsquelle in Bezug auf Cybersicherheit herangezogen: Immerhin 16 Prozent der Unternehmen wenden sich an Versicherungsvermittler oder Versicherer selbst. Im Vorjahr haben das 14 Prozent getan.

„Durch die gravierende Rechtsänderung, die mit dem StaRUG eingetreten ist, sind Makler dazu verpflichtet, ihre Kunden aufzuklären. Sie müssen herausfinden, ob die bestehenden Deckungskonzepte noch angemessen sind, um das Haftungsrisiko, das auf den Geschäftsleitungen lastet, von ihren Schultern zu nehmen“, erklärt Professor Schwintowski. Zumal sie sich damit gleichzeitig selbst von einer drohenden Haftung bewahren und noch dazu einen passenden Beratungsaufhänger haben. So wird die gesetzliche Vorschrift von der Haftungsfalle zur Chance für Vermittler.