Welche Gründe sprechen gegen eine Cyber-Versicherung?

Mittelständische Unternehmen vernachlässigen das Risiko eines Hackerangriffs. Das ist das Ergebnis einer aktuellen Forsa-Umfrage im Auftrag des GDV. Das Schutzniveau sei zu gering, die potenziellen Kosten im Falle einer Cyberattacke seien entsprechend hoch. So der Tenor. Es gibt allerdings auch andere Ansichten. Und Warnungen vor dem nicht durchdachten Abschluss einer Cyberpolice.

Die Cyberversicherung wird nicht richtig verstanden, mutmaßt Manoj Bhatt, Leiter der Abteilung Cybersicherheit und Netzwerke bei Telstra Purple, gegenüber dem IT-Magazin CSO. Unternehmer sollten erst einmal herausfinden, inwiefern der angebotene Cyberschutz und die enthaltenen Leistungen wirklich passen. Denn: ein Schutz kann angesichts der Schnelllebigkeit rasch veralten.

Es gelte zudem, die Kosten gegen den Nutzen gegenüberzustellen. Schließlich schnellen die Kosten für eine Police vor dem Hintergrund der rasant steigenden Schäden entsprechend in die Höhe. Das gelte allerdings nicht zwangsläufig auch für die angebotenen Versicherungsleistungen. Soll heißen: Das Produkt kostet mehr Geld, enthält aber nicht mehr Schutz.

Unternehmen müssen sich also fragen: Welche Kosten entstehen bei einem Hackerangriff? Während CSO die Reaktions- und Wiederherstellungskosten anführt, kommen noch Kosten für mögliche Erpresserzahlungen und die kaum berechenbaren Kosten für einen Reputationsschaden hinzu.

Ein „zunehmender Reifegrad der Cybersicherheit“, wie ihn die Plattform beschreibt, steht indessen im Widerspruch zu den aktuellen Ergebnissen des GDV: Demnach hapert es bei vielen Unternehmen im Mittelstand bereits an System-Updates. Das Problem dabei ist: Wer keine regelmäßigen Updates durchlaufen lässt, bietet Hackern geeignete Eintrittspforten. Updates sollen schließlich auch Sicherheitslücken beheben. Mit jedem Update wissen Hacker also, wo sich eine Lücke bietet. Wer nicht rechtzeitig das System auf den neuesten Stand bringt, bietet leichten Zugang zu sensiblen Daten. „Fast jede vierte Firma (22 Prozent) ist bereits Opfer von Cyberattacken gewesen“, erklärt der GDV.

Wie gering das Schutzniveau ist, zeigt ein vom GDV initiierter Sicherheitscheck, an dem 19 Mittelständler teilnahmen. Bei 95 Prozent fanden sich Schwachstellen, die Hacker zur Manipulation von Daten oder zur Übernahme der IT-Systeme nutzen könnten. Bei jedem vierten Unternehmen gelang über Phishing-Mails und gefälschte Webseiten der Zugang zu Daten von Beschäftigten. Trotz der hohen Verwundbarkeit gehen fast zwei Drittel (22 Prozent) der Befragten von einem geringen Risiko für ihr Unternehmen aus.

Das Problem der Cyberpolicen sei allerdings, so das IT-Branchenmagazin CSO, die allgemeine Komplexität der Verträge. Zumal ein Schutz vor einem sogenannten Ransomware-Angriff, bei sich Angreifer über ein Schadprogramm Zugang zu Daten oder dem gesamten System verschaffen, für Versicherer schwierig sei zu kalkulieren. So werde von den meisten Anbieter die Zahlung einer Lösegeldzahlung nicht mehr abgedeckt, weil sie kaum versicherungsmathematisch berechenbar seien.

Das sieht der IT-Experte Michael Wiesner, der im Auftrag des GDV mittelständische Unternehmen auf ihre Anfälligkeit für Cyberangriffe getestet hat, anders. Demnach komme es bei der Höhe der Erpressersummen stets auf die Größe des Unternehmens an. Hacker würden sich die Summer im Vorfeld genau überlegen und anhand der Unternehmensgröße festmachen. „Zwischen 100.000 Euro für mittelständische und einer Million Euro für konzernnahe Unternehmen“ würden meist verlangt. Die Continentale, ein Weltkonzern, wurde ursprünglich auf 50 Millionen Dollar erpresst.

Aus Angst vor einem Reputationsschaden würden die meisten Cyberangriffe nicht öffentlich werden, so IT-Experte Wiesner. Das heißt im Umkehrschluss: Die Anzahl geschädigter Unternehmen ist vermutlich weitaus höher als es offizielle Zahlen glauben machen.

In den vergangenen Wochen geisterte das Bonmot durch die Branche, Cyberrisiken seien zukünftig nicht mehr versicherbar. So hatte der CEO der internationalen Zurich Versicherungsgruppe, Mario Greco, kürzlich in einem Interview mit der Financial Times gesagt, dass Cyberangriffe in Zukunft „unversicherbar“ werden könnten. Das sieht Anja Käfer-Rohrbach, stellvertretende GDV-Hauptgeschäftsführerin anders. „Wir halten Cyberrisiken weiterhin für versicherbar“, so Käfer-Rohrbach.