Cybergefahr: Was Unternehmen jetzt über Risiken, Haftung und Versicherungen wissen müssen

Thorsten Bouillon, Schadenregulierer für Cyberversicherungen bei der R+V Versicherung, erklärt, was Unternehmen brauchen, damit die Eigentümer ruhig schlafen können. 

Das Gespräch führte Thorsten Giersch. 

Welche Art von Angriffen verursachen im Moment die größten Schäden für mittelständische Betriebe? 

Thorsten Bouillon: Ein Dauerbrenner ist das Thema Ransomware und Erpressungen. Seit Neuestem beschäftigen uns sehr häufig sogenannte Business-E-Mail-Compromise-Vorfälle, das ist Betrug mit gefälschten Rechnungen. Dabei hackt sich der Kriminelle in E-Mail-Accounts, verändert Daten und verlangt die Zahlung. Dazu wird gerne eine offizielle Rechnungsvorlage genutzt, allerdings mit geänderten Kontoangaben. Das Geld landet dann auf dem Konto des Betrügers. 

Inwiefern ist eine Cyberversicherung komplizierter als eine Autoversicherung oder andere? 

Thorsten Bouillon:  Bei einer Autoversicherung gibt es weniger Unbekannte. Die Risiken im Straßenverkehr verändern sich nicht mit einer derart hohen Geschwindigkeit wie bei Cyberangriffen. Die technischen Möglichkeiten entwickeln sich permanent weiter und damit verändern sich auch die Angriffsmethoden. Die Betrugsmasche von heute ist morgen möglicherweise schon veraltet – genauso wie der Schutz vor ihr. Hier ist die künstliche Intelligenz auch ein großer Treiber. 

Bei einem Autounfall liegt in der Regel ein Fehlverhalten vor. Cyber-Attacken passieren oft, weil Unternehmen etwas nicht erledigt haben. Macht das einen Unterschied? 

Thorsten Bouillon:  Ja, das ist eine ganz andere Situation. Die Unternehmen haben es mit einer unheimlichen kriminellen Energie zu tun. Um sich vor den unterschiedlichen Angriffsmethoden zu schützen, müssen sie vielfältige Sicherheitsmaßnahmen ergreifen. Deshalb ist es wichtig, dass sie sich mit dem Thema auseinandersetzen und potenzielle Sicherheitslücken schließen. Gleichzeitig sollte ihnen klar sein, dass man nicht gegen jeden Angriff gewappnet sein kann. Wenn etwas passiert, gilt es, den Schaden so gering wie möglich zu halten.  

Inwiefern wird den Versicherern die Einführung von NIS-2 helfen? 

Thorsten Bouillon:  Die EU-Richtlinie zur Stärkung der Cyber- und Informationssicherheit lenkt mehr Aufmerksamkeit auf IT-Risiken und Schutzmöglichkeiten. Wie NIS-2 letztendlich umgesetzt wird, welche Anforderungen hierzulande konkret gestellt werden, ist noch offen. Wir gehen aber davon aus, dass es eher auf eine grobe Richtlinie hinausläuft und die konkrete Umsetzung den Unternehmen überlassen bleibt.  

Welche Bedingungen muss ein Unternehmen erfüllen, damit der Versicherer im Schadenfall zahlt? 

Thorsten Bouillon:  Die IT-Sicherheit der Unternehmen muss zum Beispiel durch Zutrittskontrollen, Passwortsysteme und Firewalls geschützt werden. Ganz wichtig ist auch, dass man regelmäßig die Updates der Programme und Betriebssysteme durchführt. Unverzichtbar sind funktionierende Datensicherungen. Diese grundlegenden Maßnahmen sollten selbstverständlich sein. Genauso wie man im Privatleben die Türen und Fenster verschließt und den Herd ausmacht, bevor man das Haus verlässt. 

Gehört dazu auch, ob der Schutz 24/7 verfügbar ist? 

Thorsten Bouillon:  Gerade bei kleinen und mittelständischen Betrieben gibt es meist keinen Cyber-Beauftragten, der rund um die Uhr zur Verfügung steht. Die Betriebe sollten grundsätzlich für sich klären, wo sie externe Expertise brauchen. Die können sie bei IT-Dienstleistern einkaufen. Aber auch wir als Versicherer helfen mit Rund-um-die-Uhr-Notrufhotlines und stellen den Betroffenen bei einem Schaden unsere Experten zur Seite. Mit diesem Schutz können die Kunden trotz der Risiken ruhiger schlafen. 

Wer trägt die Verantwortung, wenn Partner im Spiel sind? 

Thorsten Bouillon:  Bei einem Schaden in dieser Konstellation ist das oft nicht ganz eindeutig. Gerade durch die Cloud-Technologie und künstliche Intelligenz verlagern Unternehmen Aufgaben und Prozesse häufig an externe IT-Dienstleister. Und denken, die Verantwortung für Sicherheitsfragen habe sich damit erledigt. Aber das ist nicht so. Man sollte in seinem Vertrag genau prüfen, wer bei möglichen Schäden haftet. 

Wie verhält es sich bei menschlichen Fehlern,  etwa wenn jemand eine Phishing-Mail öffnet? Erwarten Sie von Unternehmen, dass die ihre Leute hinreichend schulen? 

Thorsten Bouillon:  Einige Schulungen sind gesetzlich vorgeschrieben, zum Beispiel die zur Datenschutzgrundverordnung. Spezielle Schulungen zur IT-Sicherheit liegen eigentlich im Interesse der Unternehmen – und wir als Versicherer begrüßen diese natürlich. Trotzdem machen Menschen auch Fehler – aber dafür gibt es ja die Cyber-Police. 

Sollten Eigentümer noch mehr Angst vor dem Kontrollverlust durch Cyberangriffe haben? Bei der Elementarversicherung sind auch erstaunlich viele nicht hinreichend abgesichert. 

Thorsten Bouillon:  Cyberangriffe sind sehr abstrakt und wenig greifbar – solange man sie nicht selber erlebt. Solche „unsichtbaren Risiken“ werden gerne verdrängt und unterschätzt. Dabei ist die Bedrohung allgegenwärtig und die Schäden können immens sein. Deshalb werden wir auch nicht müde, über das Thema und damit verbundene Gefahren zu informieren. 

Beruhigen Sie die technologischen Möglichkeiten durch KI eher oder beunruhigen Sie die Gefahren? 

Thorsten Bouillon:  KI ist sehr spannend und in vieler Hinsicht unvorhersehbar. Sie bringt einen unheimlichen technologischen Fortschritt mit sich, jeden Tag gibt es etwas Neues. Ich sehe hier beide Seiten: Einige Entwicklungen können sich positiv für die IT-Sicherheit auswirken. Aber natürlich eröffnet KI auch den Kriminellen neue Möglichkeiten. 

Für welche Unternehmensart und -größe lohnt sich eine Cyberversicherung? 

Thorsten Bouillon:  Grundsätzlich ist eine Cyberversicherung für jede Unternehmensart und -größe wichtig. Auch ein kleiner Handwerksbetrieb kann Opfer einer Erpressung durch Hacker werden. Manchmal geht es den Kriminellen gar nicht um das große Geld, sondern sie haben Spaß an der Zerstörung. Im schlimmsten Fall führt das für den Betrieb zur Insolvenz. Hier wollen wir als Versicherer helfen. Eine Cyberversicherung bietet finanzielle Unterstützung und ganz praktische Hilfe durch Experten.  

Was ersetzt eine Versicherung bei Schadensfällen? 

Thorsten Bouillon:  Das hängt vom Anbieter und der Police ab. Die CyberRisk-Police der R+V bietet den Unternehmen einen Rundum-Schutz. Wenn etwas passiert, tragen wir die finanziellen Folgen eines Hackerangriffs. Dazu gehören beispielsweise die Kosten einer Betriebsunterbrechung. Zu unserer CyberRisk-Police gehören auch wichtige Services und Dienstleistungen. So stellen wir im Schadenfall unseren Kunden unmittelbar einen Experten zur Seite und mit ihm ein komplettes IT-Notfall-Sicherheitsmanagement. Die Spezialisten helfen, den Geschäftsbetrieb wieder aufzunehmen, Daten wiederherzustellen und die IT-Systeme für die Zukunft sicherer zu machen. 

Beim Autounfall kennen wir alle die Ablaufsystematik, wenn ein Unfall passiert: Polizei, Werkstatt, Gutachter. Bei der Cyberattacke ist das nicht so einfach. 

Thorsten Bouillon:  Vielleicht ist hier das Vorgehen bei einem Brand das passendere Bild: Erst wird gelöscht, dann die Ursache nebst Schuldfrage ermittelt. Bei einem Cybernotfall unterstützen wir den Betroffenen mit unserer Expertise. Wir kümmern uns darum, dass unser Kunde so schnell wie möglich wieder funktionierende Systeme hat und arbeitsfähig ist. Dabei stehen wir natürlich in engem Austausch mit dem Kunden und dessen Dienstleistern. Das bedeutet: Wir untersuchen die IT-Systeme ganz methodisch, um zu verstehen, was passiert ist. Wir wollen die Ursache ermitteln und sichern Beweise. 

Cyberstaatsanwälte bemängeln die Bereitschaft geschädigter Unternehmen, bei der Aufklärung zu helfen. Wie nehmen Sie das wahr? 

Thorsten Bouillon:  Nach unserer Wahrnehmung haben die Unternehmen großes Interesse daran, dass Kriminellen das Handwerk gelegt wird. Die forensische Analyse nach einem Angriff gehört zu unseren Leistungen. Aber: Natürlich möchte auch niemand als Opfer eines Cyberangriffs im Rampenlicht stehen.  

Viele Versicherer bieten Cyberversicherungen für Unternehmen nicht mehr an, weil die Schäden zu hoch sein könnten. Sind Sie mutig oder übermütig? 

Thorsten Bouillon:  Manchmal muss man einfach mutig sein. Die Unternehmen brauchen eine Versicherung gegen Schäden durch Cyberangriffe – und wir stehen ihnen hier zur Seite. Ich denke, wir haben das Risiko gut im Griff. 

Bleiben Sie auf dem Laufenden, abonnieren Sie unseren kostenlosen Newsletter und erhalten Sie immer die neuesten Nachrichten und Analysen direkt in Ihren Posteingang.