Oberösterreichische: „Die Cyber-Polizze wird die Feuerversicherung des 21. Jahrhunderts“

„Der Cyberangriff kam für uns vollkommen unerwartet. Trotzdem hatten wir nach zwölf Tagen wieder vollen Zugriff auf alle unsere Systeme – diesen raschen Erfolg verdanken wir unserem Expertenteam, das mit externen Fachleuten intensiv an der Wiederherstellung arbeitete. Essenziell vor allem gegenüber unseren Kunden und Partnern war, dass wir zeitnah und offen über den Angriff und seine Folgen informiert haben. Leider tabuisieren viele betroffene Unternehmen das Thema und spielen damit den Cyberkriminellen in die Hände“, sagt Andreas Klauser, CEO PALFINGER AG. PALFINGER ist nur eines von vielen Unternehmen, die von solch einer Attacke betroffen waren.

Nach den aktuell veröffentlichten Daten aus der polizeilichen Kriminalstatistik stieg 2021 die Internetkriminalität in Österreich rasant. Rund 46.000 Anzeigen bedeuten einen Zuwachs von 28,6% im Vergleich zum Vorjahr. Durch die Pandemie bedingte Schließung von Geschäften verlagerte sich nicht nur die Kommunikation, sondern auch der Konsum immer mehr in die digitale Welt. Zudem warnen Experten derzeit vor einem Cyberkrieg Russlands gegen den Westen.

IT-Spezialisten stoßen an ihre Grenzen

Bei einem Ransomware-Angriff (eine Wortkombination aus „Ransom“, Lösegeld, und „Malware“, schädliche Software) muss schnell gehandelt werden. „Die Verbrecher geben keine Verschnaufpause. Man erhält meist sehr rasch einen Link, um in den Tor-Browser einzusteigen – links steht der geforderte Betrag, in der Mitte läuft der Countdown, rechts ist angegeben, ab wann sich der erpresste Betrag verdoppeln wird. Die Chatfunktion geht auf, und man kann mit den Tätern verhandeln“, berichtet Jürgen Weiss, Geschäftsführer von Ares Cyber Intelligence.

Die Höhe des Schadens hängt stark vom Unternehmen und den betroffenen Systemen ab. Weiss: „Mit bis zu 100.000 Euro muss man allein für die externen Kosten rechnen, selbst wenn die Daten dank guter Sicherung zu retten sind, kein Lösegeld gezahlt wird und keine Strafe der Datenschutzbehörde oder Kosten für Krisenkommunikation anfallen oder Vertragsstrafen für verspätet abgelieferte Aufträge.“

Chefsache Cyber-Security

Es interessieren sich laut Bengt von Toll, Head of Cyber beim Rückversicherer Munich Re, zwar immer mehr Unternehmen für Cyberversicherungen, in Verbindung mit technischen Präventionsmaßnahmen und dem begleitenden Service. Gleichzeitig weist er darauf hin, dass angesichts des drohenden Schadenpotentials „darüber hinaus die Versicherer die kritische Linie hinsichtlich der Versicherbarkeit insbesondere bei systemischen Risiken im Blick halten müssen“. Um Sicherheitslücken zu finden, müssen also zuerst mögliche Schwachstellen ausfindig gemacht werden, ähnlich wie bei einem Haus, das vor Einbrechern gesichert werden soll. Der erste Schritt hin zu einer sicheren Cyberabwehr ist also eine Bestandsaufnahme des aktuellen IT-Systems.

Cyber-Versicherung ist in keinem Unternehmen mehr wegzudenken

Eine Cyber-Versicherung sorgt dank ihrer Assistanceleistungen und dem daran geknüpften Expertennetzwerk dafür, dass bereits im Vorfeld Sicherheitslücken erkannt werden und im Fall eines Angriffs rasch fachkundige Hilfe kommt. Eine gute Cyber-Versicherung kommt zudem für den Eigenschaden auf und haftet auch gegenüber Dritten, wie Kunden oder Lieferanten und übernimmt die Kosten für die datenschutzrechtlich verpflichtende Meldung des Data Breach gegenüber der Datenschutzbehörde.

„Die Cyber-Polizze wird die Feuerversicherung des 21. Jahrhunderts“, bringt Generaldirektor der Oberösterreichischen Versicherung, Othmar Nagl, Vorsitzender des Instituts für Versicherungswirtschaft, die Brisanz dieser Thematik auf den Punkt. „Sensibilisierung und Vorbeugung sind angesichts extrem ansteigender Schäden und immer kreativerer Methoden wichtiger denn je. Niemand ist vor solch einem Angriff sicher. Man kann den Schaden nicht verhindern und nicht ausgleichen, aber jedenfalls die finanziellen Folgen begrenzen. Neben der IT-Sicherheit wird auch die Absicherung gegen Folgeschäden immer wichtiger. Ein IT-Sicherheitspaket ist aus dem Versicherungsschutzschirm jedes Unternehmens nicht mehr wegzudenken“, so Nagl.

FMA sieht enormes Gefahrenpotential

Stephan Korinek, Leiter der Abteilung behördliche Aufsicht über Versicherungsunternehmen und Pensionskassen: „Cyberrisiken betreffen einerseits die Versicherungsunternehmen selbst. Dabei ist sowohl die Unternehmens-IT als auch die Unternehmens-Governance gefordert, damit die Risiken ins Risikomanagementsystem einfließen. Das von der FMA entwickelte „Cyber Maturity Level Assessment Tool“ hilft dabei, die Cybersicherheit fundiert beurteilen zu können.

Gleichzeitig sichern Versicherungsunternehmen Cyberrisiken anderer Unternehmen ab. Bei diesen Cyberversicherungen ist für die FMA im Sinne eines effektiven Versichertenschutzes ein guter Produktentwicklungsprozess sowie ein ordnungsgemäßer Vertrieb besonders wichtig. Sollen auch Lösegeldforderungen versichert werden, so unterliegt das zusätzlich besonderen Anforderungen: So müssen Unternehmen ihren Versicherungsschutz geheim halten und externe Sicherheitsberater einsetzen. Im Fall eines Angriffs besteht für versicherte Unternehmen zudem eine Anzeigepflicht an die Polizei.“ Liegen Lösegeldforderungen vor, ist noch immer nicht gesagt, dass wir es hier mit einem „guten“ Erpresser zu tun haben. Es gibt also keine Garantie, dass der Unternehmer dann tatsächlich seine Daten wieder erhält. Daher sieht die Finanzmarktaufsicht hier ein.

Foto oben v.l.n.r: Jürgen Weiss, Dr. Stefan Korinek, Ing. Andreas Klauser, Bengt von Toll und Mag. Othmar Nagl; © Institut für Versicherungswirtschaft