Auch die Versicherer sprechen von einer kritischen Lage. „Man kann ganz klar sagen: Die Cyber-Gefahrenlage ist nach wie vor sehr dynamisch und das Risiko steigt weiter an“, so Gisa Kimmerle, Head of Cyber bei Hiscox. Laut dem jährlichen Cyber Readiness Report wurden 60 Prozent der deutschen Unternehmen häufiger Opfer von Angriffen als im Vorjahr. Im Schnitt wurden sie in 12 Monaten 49-mal von Cyberkriminellen attackiert – denn die dahinterstehenden Organisationen professionalisierten sich immer weiter. Alte Leipziger, Baloise und HDI bestätigen die deutlich erhöhte Bedrohungslage, mit häufigeren und professionelleren Angriffen.
„Unsere Welt ist voller vernetzungsfähiger Geräte und es werden noch mehr. Das bietet zahlreiche Angriffsflächen”, warnt Michael Neuhalfen, Vertriebsleiter des Schaden- und Unfallversicherers Alte Leipziger Versicherung AG. Die Zahl an Cyberkriminellen steige weltweit an und bewaffnete Konflikte, wie in der Ukraine, würden von Cyberkriegen begleitet. Auch Baloise und Hiscox sehen geopolitische Konflikte als Treiber für Cyberrisiken. Laut Baloise geraten dadurch auch immer mehr KMU und der Mittelstand in den Fokus staatlich finanzierter Hackergruppen. Cyberangriffe gälten nicht mehr nur kritischen Infrastrukturen, staatlichen Einrichtungen oder Industrieunternehmen, sondern es gehe vor allem auch um Wirtschaftsspionage, Verbreitung von Falschinformationen und Finanzbeschaffung. Wirtschaftliche Instabilitäten führen neben wachsender Wirtschaftsspionage auch zu mehr politisch motivierten Angriffen, so Hiscox.
Weiteres Risiko ist die KI. „KI-gestützte Cyberangriffe ermöglichen eine bislang unerreichte Geschwindigkeit, Skalierung und Präzision”, bringt es Julia Nebe, Underwriterin für die Cyberversicherung bei Baloise, auf den Punkt. Beispiele seien hochgradig personalisierte Phishing-E-Mails, Deepfake-Technologien, die zum Beispiel täuschend echte Anrufe ermöglichten sowie KI-gestützte Malware, die sich in Echtzeit an Antivirenprogramme anpassen könne. KI kann laut HDI Cyberangriffe automatisieren und optimieren, indem sie Schwachstellen in Netzwerken oder der Unternehmenssoftware schneller und effizienter identifiziert und so mehr Angriffspunkte findet. Alte Leipziger und HDI bestätigen, dass sich Phishing-E-Mails fast nicht von echten Mails unterscheiden lassen.
„KI kann verwendet werden, um personalisierte Phishing-E-Mails und Social-Engineering-Angriffe zu erstellen, die noch schwerer als bisher zu erkennen sind“, sagt Sören Brokamp, Leiter Produktmanagement & Underwriting Cyber der HDI Versicherung AG. Durch Datenanalyse könnten KI-Systeme sehr überzeugende und maßgeschneiderte Angriffe entwickeln. Dem, so die Alte Leipziger, hinkt das Risikobewusstsein von Gewerbetreibenden häufig hinterher. Es steige zwar langsam an, aber oft gebe es nicht einmal die Basics an Sicherheitsvorkehrungen.
Vor Deepfakes warnt auch HDI. Die schwer als Fälschung zu erkennenden Videos und Audiodateien könnten zu Desinformation und Betrug führen. Hiscox beobachtet einen starken Trend hin zu Bedrohungen wie Zahlungsmittelbetrug, etwa als Lieferantenbetrug oder der „Fake President”-Masche, bei der Kriminelle glaubhaft falsche Identitäten vortäuschten, um Geld überwiesen zu bekommen. Nichtsdestotrotz kann durch KI die Cybersicherheit auch verbessert werden, so Baloise und HDI. „KI-basierte Sicherheitslösungen helfen u.a. Anomalien zu erkennen, verdächtige Emails zu identifizieren und sind in der Lage, selbständig zu lernen und sich zu verbessern“, erläutert Nebe. Brokamp sagt: „Die Herausforderung ist (…), dass Verteidigungssysteme ständig aktualisiert und verbessert werden müssen. Anders werden Unternehmen mit den sich weiterentwickelnden Bedrohungen nicht Schritt halten”. Denn die Angreifer nutzten definitiv KI, um ihre Methoden ständig zu verbessern.
Laut HDI Cyberstudie 2024 sehen 49 Prozent der befragten Unternehmen KI als Chance, zwei Drittel davon für die Prozessoptimierung. Was erwarten die Versicherer von den Unternehmen, damit die Cyberpolice diese wirklich absichert? In jedem Fall eine funktionierende Datensicherung, (mindestens) wöchentlich und sicher gegen Ransomware. Weiterhin ein geregeltes, professionelles Patch-Management bzw. Sicherheitsupdates und die Absicherung von Altsystemen. Ebenso den Schutz vor Schadsoftware, also Virenscanner, Firewall sowie strenge Zugriffskontrollen auf die IT-Systeme durch sichere Passwörter. Laut Alte Leipziger ist dies nicht überall gewährleistet. Dazu gehöre auch ein passwortgesichertes, vom restlichen Unternehmensnetzwerk abgetrenntes Gäste-WLAN sowie der verschlüsselte Versand besonders schützenswerter Daten. Auch Mitarbeiterschulungen sind laut Versicherern sehr wichtig.
Der Mensch bleibt Einfallstor Nummer 1
Dazu Brokamp: „Wichtig ist, dass die Unternehmen verstehen, dass die Informationssicherheit sich nicht durch eine einmalige Maßnahme gewährleisten lässt. Maßnahmen müssen fortlaufend aktualisiert und die Mitarbeiter immer wieder neu geschult werden. Wir sehen in der Praxis, dass der Mensch weiterhin das Einfallstor Nummer Eins ist.“ Auch die Unternehmensgröße spielt eine Rolle. Bei HDI müssen kleinere Unternehmen in der Regel eine Handvoll Mindestanforderungen erfüllen. Alte Leipziger setzt bei Kunden ab fünf Millionen Euro Jahresumsatz zur Schadenerstattung ein IT-Notfall- und Wiederanlauf-Konzept voraus. Hiscox reguliert den Schaden bei bis zu 2,5 Millionen Euro Jahresumsatz zeitnah und unkompliziert über vorher vereinbarte Pauschalen, bis 25 Millionen Euro über Antragsmodelle mit Risikofragen zum Unternehmen und dessen IT-Sicherheit.
Bei größeren Unternehmen arbeite man mit Unterstützung durch die HiSolutions-Profis mit Risikodialogen zur Feststellung des Ist-Stands. Baloise erwartet bei KMU die Mindestsicherheitsstandards, die Risikofragen entsprechen den Pflichten des Versicherungsnehmers. Die Versicherer eint das Ziel, den Kunden im Vorfeld bestmöglich zu unterstützen, sei es über Präventionsleistungen (Notfallpläne, Sicherheitscheck, Schulungen) oder Vergünstigungen bei Verbesserung der Cyberresilienz.
Der Vertrieb müsse vorrangig dem Kunden sein individuelles Risiko bewusst machen, auch mit Schadenbeispielen. Hiscox nennt welche. Wer viele sensible Daten verarbeitet, riskiert Haftpflichtansprüche, wer stark digital tätig ist wie etwa Onlineshops, hohe Betriebsunterbrechungsschäden, wer ein komplexes, hoch individualisiertes IT-System betreibt, sehr hohe Kosten für IT-Forensik und Wiederaufbau. Die Versicherer unterstützen den Vertrieb mit umfangreichen und vielfältigen Informationen wie spezielle Unterlagen oder Studien sowie über verschiedenste Schulungsformate online und persönlich. Ebenso gibt es Formate direkt für Kunden. Ziel jeder Cyberversicherung ist, den Betrieb schnellstmöglich wiederherzustellen.
Expertenunterstützung im Schadenfall
Was wird noch geboten? „Bewusst enthalten unsere Bedingungen eine nicht abschließende Aufzählung von Triggern im Bereich der Netzwerksicherheitsverletzung, so dass auch neuartige Angriffsszenarien abgesichert sind“, so Kimmerle. Hiscox unterstütze im Schadenfall mit zahlreichen Experten. Alte Leipziger bietet Nachhaftung bis zu fünf Jahren und unbegrenzte Rückwärtsdeckung. Abgesichert sind Sachschäden an versicherten IT-Systemen, Betriebsunterbrechungen oder das Abhandenkommen von Geldern auf den Konten des Kunden. HDI will neben den finanziellen Folgen auch die emotionalen Auswirkungen einer Cyberattacke abfedern. Baloise hat ihr „Top-Produkt“ ganz aktuell verbessert.
Die Gesamtdurchdringung von Cyber reiche angesichts existenzbedrohender Schäden noch nicht aus. Cyberschutz müsse zum Standard werden und sei bei ausreichender Resilienz auch bezahlbar. Eine Zwickmühle tut sich dennoch auf. „Problematisch ist, dass die konjunkturelle Lage vieler Betriebe nicht besonders rosig ist und die Unternehmen deswegen weniger finanzielle Reserven für Störfälle haben“, so Neuhalfen.
Cash.-Autorin Silvia Fischer ist Diplom-Betriebswirtin und Journalistin (FJS)
