Interview mit Lutz Torbohm, SMS Insurance
Cyberattacken werden für die Wirtschaft immer folgenreicher. Die meisten Branchen müssen sich professionell schützen und ihr IT-Sicherheitsmanagement verbessern. Bis dahin dürften sich aber viele Versicherer zurückhalten.
Es häufen sich die Meldungen über Cyberattacken. Immer mehr deutsche Unternehmen, auch Mittelständler, sind betroffen. Ist das nach Ihrer Einschätzung ein allgemeiner Trend oder liegt es vor allem an Corona, Stichwort Home-Office?
In der Tat häufen sich die Meldungen zu Cyber-Attacken und nicht nur die Meldungen, sondern tatsächlich die Anzahl der Fälle. Betroffen sind alle Bereiche des Wirtschaftslebens – unabhängig von Ihrer Größe- und ob öffentliche Einrichtung, Verwaltung, Bildungseinrichtung oder aber auch Privatperson.
Meiner Ansicht nach hat dies nur in geringem Maße mit Corona-bedingten Entwicklungen wie Home-Office zu tun, ich sehe den Grund viel mehr darin, dass das Spektrum der „Angreifer“ äußerst breit geworden ist und der Grad „Professionalisierung“ stetig zugenommen hat und beides auf eine Gesellschaft trifft, die in vielen Bereichen die Digitalisierung stark vorangetrieben hat, so dass sich die Angriffe heute deutlich stärker auswirken als wie vor fünf Jahren.
Wie sollte ein wirksamer Cyberschutz aussehen?
Solchen Gefahrenlagen können sich Unternehmen grundsätzlich nicht entziehen, sondern sie sollten sich mit professionellen Strukturen, ausreichenden Budgets und Awareness auf allen Ebenen schützen.
Cybertäter greifen über viele Wege an – Mails, Funktastaturen, Fernzugriffssoftware oder über schadhafte Software. Welcher Einfallsweg sollte besonders geschützt werden?
Besonders gilt es aktuell sich gegen Ransomware-Angriffe zu schützen und sicherzustellen, dass die eigenen Systeme up-to-date sind. Bekannte System- oder Software-Lücken müssen unverzüglich beseitigt werden. Ist dies im Einzelfall nicht möglich, sind andere Schutzmaßnahmen essentiell.
Wie Sie bereits anmerkten, werden die Unternehmen durch die Digitalisierung, die Vernetzung ihrer Anlagen und Daten, anfälliger für Cyberangriffe. Die Schäden eines einzelnen Angriffs werden damit immer höher. Können Versicherungen diese Gefahrenlage überhaupt noch richtig einschätzen?
Insbesondere im B2B-Bereich stellt sich diese Frage. Mein Eindruck ist, dass die IT-Risikoingenieure der Versicherer sehr wohl diese Gefahren und Risiken grundsätzlich erkennen, ob die wirtschaftlichen Auswirkungen im Einzelfall zutreffend eingeschätzt werden können, ist eine sehr komplexe und unternehmensspezifische Frage. Nicht bei allen Geschäftsmodellen, Branchen wirken sich Cyber-Angriffe im gleichen Maße aus. Bei Kritischer Infrastruktur wie Energieversorgung, Krankenhäusern oder Telekommunikation ist seit längerer Zeit klar, wie sensibel diese Bereiche sind, da die Auswirkungen die Grundversorgung der Allgemeinheit gefährden können. Aber auch in der Industrie gibt es meiner Einschätzung nach große Unterschiede hinsichtlich des Umfangs der Auswirkungen.
Kritisch erscheint mir, dass Versicherer sich zunehmend gegen die Absicherung von Cyber-Risiken stellen, die aus Produkten und Leistungen von Unternehmen bei ihren Kunden erwachsen können im Sinne der Produkthaftung. Hier stellt sich konkret die Frage, ob Cyber-Haftungsrisiken im Rahmen einer Cyber- oder Haftpflichtversicherung abgesichert werden können, mit vielfältigen Fragenstellungen.
Bei dem Hafnium-Angriff über den Microsoft Exchange Surfer waren beispielsweise fast 30.000 deutsche Unternehmen betroffen. Wie sollten Versicherungen mit derartigen Kumulrisiken umgehen?
Das Cyber-Risiken bzw. das Computer-/EDV-Systeme allgemein Kumul-Szenarien bergen, ist seit langem klar. Y2K, die Computerprobleme beim Jahreswechsel 2000, lassen grüßen. Dass der Umfang sich mit dem Ausbau der Vernetzung vervielfacht hat, kann auch keine Überraschung sein. Dies galt auch schon vor fünf bis zehn Jahren als IoT und Industrie 4.0 durchgestartet waren und am deutschen Versicherungsmarkt die Cyber-Versicherungen eingeführt wurden. Viele Versicherer, nicht alle, sind sehr mutig eingestiegen. Gleichzeitig standen viele Unternehmen sehr skeptisch diesem Angebot gegenüber und schlossen nicht ab.
Umso mehr überrascht, dass Versicherer die Kumul-Thematik nicht bereits von Beginn an ernster genommen haben und ihr Zeichnungsverhalten entsprechend gestaltet haben. Non-Kumul-Management ist für Versicherer schon immer äußerst wichtig gewesen.
Ich gehe davon aus, dass sich das IT-Sicherheitsmanagement aufgrund der aktuellen Brisanz weiter verbessern wird und wir somit zu technisch besser geschützten Systemen kommen, die die Versicherbarkeit von Cyber-Risiken dank verbessertem Risikomanagement ermöglicht. Bis dahin sollte man nicht über reduzierte Kapazitäten, schmalere Bedingungswerke und höhere Prämien überrascht sein, bis hin zu einem partiellen Rückzug von Versicherern in Einzelfällen.
Die Cyberangreifer gehen bei Geld-Forderungen in Kryptowährungen im Darknet heute kaum noch Risiken ein. Wie können sich Unternehmen dagegen schützen?
Die Vorteile einer Kryptowährung nutzen Cyberangreifer für sich, dies ist ärgerlich und es ist zu hinterfragen, wie das Ermöglichen bzw. Begünstigen der Abwicklung von Erpressungen in Zukunft verhindert werden kann, hier sind alle Stellen gefragt. Auch wird sich die Frage der Versicherbarkeit von Erpressungsgeldern weiter stellen und zu diskutieren sein.
Für jedes Unternehmen sollte die Frage von Bedeutung sein, wie man sich und seine Systeme präventiv vor Erpressung und Verschlüsselung schützen kann. Dieses Thema ist sicher im Moment hoch aktuell, ich sehe allerdings durchaus Schadensmöglichkeiten durch Cyber-/ IT- / Software-Risiken, die sich bei Dritten als Betriebsunterbrechungs-Schaden auswirken könnten und summenmäßig deutlich höher ausfallen könnten als Erpressungen.
Sollten Versicherungen überhaupt Schutz gegen Random Attacken bieten? Denn dann wissen mögliche Angreifer doch, dass das versicherte und angegriffene Unternehmen das Lösegeld auch zahlt….
Auch dies ist ein Aspekt, jedoch ist meines Erachtens davon auszugehen, dass es immer Situationen geben wird, in denen Personen oder Unternehmen bereit sind, Erpressungsgelder zu zahlen – unabhängig von der Frage des Versicherungsschutzes. Die Sublimitierung als auch die Einführung von höheren Schadenseigentragungen sind ja bereits im Markt teilweise angekommen.
Und auch viele Angreifer werden ihre Ziele sicher nicht nach dem Aspekt auswählen – versichert oder nicht versichert.