Black hat hacker force demands ransom by holding out his hand on table where sensitive data is hacked in a dark room in the background. Cyber security and cyber crime concept. Hacking and phishing

Cyberangriffe können Unternehmen doppelt kosten: durch ein Lösegeld und den entstandenen Schaden. (Bild: Shutter2U - AdobeStock)

  • Versicherer bieten Unternehmen in Sachversicherungsverträgen spezielle Cyberrisikopolicen an.
  • Cyber-Versicherungsprämien werden immer teurer.
  • Manche Unternehmen werden bei Versicherern gar nicht angenommen.

Festzustellen, ob ein Unternehmen gegen die Folgen eines Cyberangriffs versichert ist, ist nicht so einfach, wie es auf den ersten Blick scheinen mag, da aufgrund der exponentiell zunehmenden Cyberattacken viele Versicherer ihren Versicherungsschutz so weit reduziert haben, dass Unternehmen im Unklaren darüber sind, wie hoch ihr Versicherungsschutz ist – wenn sie überhaupt einen erhalten können.

Bis in die 2010er Jahre war eine Versicherung speziell gegen Cyberangriffe unüblich. Gehackte Unternehmen haben in der Regel Schadensersatz im Rahmen ihrer Sachversicherung eingefordert. Dieser Umstand war als „silent cyber“ bekannt, da Cyberangriffe weder in den Versicherungspolicen erwähnt noch ausdrücklich ausgeschlossen wurden.

Diese unklare Lage wurde durch das Aufkommen von Ransomware und den Wannacry- und Notpetya-Angriffen 2017 unzulänglich: Der Pharmakonzern Merck war Ziel einer Notpetya-Attacke und meldete im Rahmen seiner „All-Risk“-Sachversicherung Ansprüche in Höhe von 1,4 Mrd. US-Dollar an, die zunächst abgelehnt wurden. Trotzdem veranlasste der Fall Versicherungsbehörden Bedenken zu äußern, dass Versicherer unwissentlich massiven Ansprüchen ausgesetzt sein könnten. Im Jahr 2023 gewann Merck den Fall vor Gericht.

Was sind Notpetya und Wannacry?

Sowohl Notpetya- als auch Wannacry zählen zu den Ransom­ware-Angriffen. Bei einem Ransomware-Angriff verschlüsseln die Angreifer die Daten auf dem Computer, sodass die Daten für den Benutzer nicht mehr zugänglich sind. Um wieder an die Daten zu gelangen, muss das Opfer des Cyberangriffs ein Lösegeld zahlen und erhält dafür ein Passwort, mit dem es die Daten wieder entschlüsseln kann.

Eine Frage der Definition

Reaktiv begannen Versicherer, Cyberangriffe ausdrücklich aus Sachversicherungsverträgen auszuschließen, wobei einige spezielle Cyberrisikopolicen anboten und andere die Deckung einstellten. Trotzdem konnte der Cyberversicherungsmarkt schnell wachsen: Die weltweiten Prämien stiegen von 2 Mrd. Dollar im Jahr 2015 auf 12 Mrd. Dollar im Jahr 2022. Bis 2027 könnten sie 33 Mrd. Dollar erreichen. Dennoch ist der Markt völlig unterdimensioniert, um die Folgen eines systemischen Cyberangriffs, der zu Schäden in Billionenhöhe führen könnte, aufzufangen.

Aus Definitionsgründen fällt es Unternehmen teils schwer, herauszufinden, welche Cyberattacken zu welchem Grad von ihrer Versicherung abgedeckt sind. Versicherer wie Lloyd‘s of London haben beispielsweise angedeutet, dass sie Angriffe, die von mit Russland verbundene Gruppen durchgeführt werden, als staatlich geförderte Angriffe oder Kriegshandlungen betrachten und so die Deckung verweigern könnten – obwohl diese zu den wichtigsten Akteuren der Cyberkriminalität gehören. Andere Gerichtsverfahren, wie das des Automobilhändlers Inchcape, brachten die Frage auf, ob Versicherer indirekte Kosten, die aus einem Cyberangriff resultieren, decken sollten. Beispiele wären der Austausch von Hardware, forensische Analysen oder Krisenkommunikation.

3D rendering. Abstract background concept of cyber security and attack, system crash.
Zu oft befassen sich Unternehmen erst nach einem Cyberangriff damit, ob sie dagegen versichert sind. (Bild: pinkeyes - AdobeStock)

Steigende Prämien

Die zunehmenden Cyberangriffe haben auch die Prämien in die Höhe schnellen lassen: Laut dem Marktindex von Marsh haben sich die Preise zwischen 2019 und 2021 jedes Jahr verdoppelt. Diese Erhöhungen zeigen, dass Angriffe so alltäglich geworden sind, dass Auszahlungen nahezu sicher sind. Laut Trendmicro sahen sich 89 % der Unternehmen in den Sektoren Elektrizität, Öl und Gas sowie in der verarbeitenden Industrie im Jahr 2022 durch einen Cyberangriff in ihrem Betrieb beeinträchtigt.
Um Risiken zu minimieren, setzen Versicherungsunternehmen drastische Auswahlverfahren ein. Unternehmen müssen einen Schwall an Fragen zu ihren Cybersicherheitsrichtlinien, gespeicherten Daten und Plänen zur Geschäftskontinuität beantworten. Dabei berücksichtigen Versicherer auch frühere Sicherheitsverletzungen sowie Branchenrisiken und verwenden Bewertungen von Firmen wie Bitsight oder Guidewire, um die Cyberhygiene eines Unternehmens zu beurteilen. Durch solche Verfahren wurden zahlreiche Unternehmen vom Markt ausgeschlossen: Nach Angaben des Versicherers Aviva waren nur 14 % der KMU im Vereinigten Königreich – und 3 % in Schottland – gegen Cyberangriffe versichert.


Industrieunternehmen im Nachteil

Die Ungewissheit über Versicherungsschutz und Prämien hat einige Unternehmen dazu veranlasst, sich selbst zu versichern. So haben sieben große europäische Konzerne, darunter BASF, Airbus und Michelin im September 2022 Miris, eine Versicherungsgesellschaft auf Gegenseitigkeit, gegründet. Diese Entscheidung weist auf den Nachteil von Industrieunternehmen beim Abschluss einer Cyberversicherung hin.

Denn Versicherer berechnen Prämien, indem sie die Unternehmen auffordern, die Cybersicherheitsmaßnahmen zu beschreiben, die für ihre IT-Geräte, wie Laptops und Server, aber auch Industrieanlagen, wie industrielle Kontrollsysteme oder Scada-Systeme, gelten. Diesen fehlen oft rudimentäre Sicherheitsmaßnahmen wie Passwortverschlüsselung oder Multi-Faktor-Authentifizierung.

Da moderne Industrieanlagen rund um die Uhr in Betrieb sind, haben Unternehmen zudem größere Schwierigkeiten, Schwachstellen zu beheben. Eine kürzlich durchgeführte Umfrage der Europäischen Agentur für Cybersicherheit (Enisa) ergab, dass zwei Drittel der Unternehmen im Energiesektor mehr als einen Monat benötigten, um eine kritische Sicherheitslücke zu schließen, und eines von zehn mehr als sechs Monate.

Detailliertes Inventar erstellen

Aus diesen Punkten erschließt sich, dass Versicherungsgesellschaften zwar übermäßig risikoscheu sind, doch Unternehmen auch ihre Cybersicherheitspraktiken verbessern müssen. Im vergangenen Jahr haben Cyberangriffe, die speziell auf IoT-Geräte (Internet of Things) abzielen, laut dem Unternehmen für Informationssicherheit Zscaler, um 400 % zugenommen. Das ist problematisch, da sich Malware durch IoT-Geräte leicht über verschiedene Netzwerke hinweg verbreiten kann, wodurch kritische OT-Infrastrukturen gefährdet sein können.

Um eine Absicherung zu erhalten und gleichzeitig die Preise zu senken, können Industrieunternehmen mehrere Maßnahmen ergreifen: Zunächst müssen sie ihre IT-Systeme und -Vorgänge überprüfen, um Schwachstellen und Prioritäten zu ermitteln und um den Betrieb widerstandsfähiger zu machen. Sie sollten sich vor allem darauf konzentrieren, ein detailliertes Inventar aller Endpunkte zu erstellen und diese mit nationalen Datenbanken abzugleichen, um die Risiken in ihrem Betrieb zu bewerten und die Widerstandsfähigkeit zu verbessern.

In den Fragebögen der Versicherungen werden auch detaillierte Informationen über Netzwerksegmentierung, Risikomanagement, Wiederherstellungspläne und Beziehungen zu Drittanbietern verlangt. Obwohl es sehr arbeitsintensiv ist, diese Prozesse zu perfektionieren und dokumentieren, sind diese Schritte essenziell, um Versicherungskosten und die Folgen von Cyberangriffen zu senken.

Abschließend sollten bereits versicherte Unternehmen die Bedingungen und Ausschlüsse ihrer Police kennen, insbesondere bezüglich Kriegshandlungen oder staatlich geförderter Angriffe. Zu oft werden diese Fragen erst nach einem Cyberangriff oder sogar erst im Gerichtssaal gestellt.

Sie möchten gerne weiterlesen?