Cyberangriffe stehen bei den Risiken ganz weit oben. Zu den potenziellen Opfern gehören bei Weitem nicht nur Grossunternehmen. Längst haben auch die Versicherer das Problem erkannt – und ihre Angebote entsprechend angepasst.
Die Zahl gibt zu denken: Wie eine Umfrage des Markt- und Sozialforschungsinstituts gfs-zürich ergab, wurde jedes vierte KMU in der Schweiz schon Opfer einer Cyberattacke. Kein Wunder, befasst sich auch die Versicherungswirtschaft mit dem Thema. So hat zum Beispiel die Mobiliar ein Kompetenzzentrum für Cyberrisiken lanciert. Dieses soll dazu beitragen, Unternehmen auf die Gefahren im Netz aufmerksam zu machen. Diese reichen von Viren über Datendiebstahl bis zur absichtlich herbeigeführten Überlastung des Firmennetzes. «Die Angriffe werden immer professioneller», weiss Andreas Hölzli, Leiter des Kompetenzzentrums Cyber Risk. Dass KMU häufig von Cyberangriffen getroffen werden, ist laut Hölzli kein Zufall: «Kleinere Firmen sind oftmals weniger gut geschützt als Grossbetriebe.» Dies entweder, weil sie sich der Gefahr nicht bewusst seien – oder weil schlicht die Mittel zum Aufbau einer effizienten Cyberabwehr fehlen. Für Kriminelle sind solche Firmen beliebte Opfer: «Grundsätzlich sind alle Unternehmen gefährdet, die IT einsetzen und einen Internetanschluss haben», so Hölzli. «Genau deshalb sind wir laufend daran, unsere Produkte zu erweitern und entsprechende Risk Management Services zu entwickeln.» So bietet die Mobiliar ihren Kunden unter anderem einen Service an, der die Mitarbeitenden im Umgang mit Cyberrisiken trainiert und auch mit simulierten Phishingkampagnen testet.
Die Prävention ist beim Kampf gegen die Cyberkriminalität ein entscheidender Faktor. Dieser Meinung ist auch Maya Bundt, Head Cyber & Digital Solutions beim Rückversicherer Swiss Re. «Oft geht es zunächst erst mal darum, Bewusstsein für das Risiko zu schaffen.» Rund um den Globus arbeiten die Cyberexperten der Swiss Re daran, die neusten Gefahren zu erkennen. «Cyberrisiken sind die dunkle Seite der Digitalisierung», sagt Bundt. «Je grösser der technologische Fortschritt, desto schneller wächst auch das Risiko in diesem Bereich – und das weltweit.» Diese Entwicklung wird auch im Nationalen Zentrum für Cybersicherheit (NCSC) intensiv verfolgt. «Die Cybersicherheit hat in den vergangenen Jahren auf allen Ebenen stark an Bedeutung gewonnen», betont Max Klaus, stv. Leiter Operative Cybersicherheit. Dass manche Firmen auch heute noch glauben, dass sie uninteressant sind, sei ein grosser Irrtum. «Jedes Unternehmen verfügt über interessante Daten. Das können Informationen über die Mitarbeitenden, Finanzdaten oder sensible Kundendaten sein. Aus Sicht der Angreifer ist es nicht wichtig, welche Daten betroffen sind. Sobald die Daten für das Opfer einen wirtschaftlichen oder emotionalen Wert haben, ist dieses vermutlich bereit, das Lösegeld zu bezahlen.» Cyberangriffe würden häufig auf erpresserischen Forderungen basieren. Bei diesem wird zum Beispiel ein «Krypto-Trojaner» in ein Firmennetz geschleust, der dann sämtliche Daten des Unternehmens verschlüsselt und erst gegen ein Lösegeld wieder herausgibt. Stehen solche Forderungen im Raum, ist die Empfehlung des NCSC klar: nicht bezahlen! «Es gibt keine Garantie, dass man die Daten wieder herstellen kann, wenn man das Lösegeld bezahlt hat», weiss Max Klaus. Stattdessen sollte der Angriff bei der Polizei gemeldet werden.
«Grundsätzlich sind alle Unternehmen gefährdet, die IT einsetzen und einen Internetanschluss haben.»
Kommt es trotzt allem zu einer erfolgreichen Cyberattacke, bieten mittlerweile die meisten Versicherungen gute Deckungen an. Laut Andreas Hölzli lassen sich diese Leistungen in drei Bereiche unterteilen: Eigenschaden, Fremdschaden und Rechtsschutz. Die Versicherungen bieten zum Beispiel eine Entschädigung beim Verlust von Daten oder bei einem Betriebsunterbruch an. Zudem beraten die Versicherer ihre Kunden bei der Einschätzung des Cyberrisikos und den potenziellen Schwachstellen. «Häufig reicht ein guter Grundschutz aus, um die Attacke zu verhindern», betont Hölzli. Klar ist: Die Dynamik und die wachsende Komplexität von Cyberrisiken werden die Versicherungen auch in Zukunft beschäftigen. «Aktuell beobachten wir ein richtiges Wettrüsten seitens der Angreifer und Verteidiger», so Andreas Hölzli von der Mobiliar.
Hinweis: Unter dem Meldeformular des Nationalen Zentrums für Cybersicherheit können Cyberangriffe erfasst und gemeldet werden.
Corona hat es eindrücklich gezeigt: Tritt ein Ereignis auf, auf das die Gesellschaft ungenügend vorbereitet ist, kann dies massive Konsequenzen haben. Was für Pandemien gilt, ist auch bei anderen Risiken der Fall. Im Juni 2020 entschied der SVV, eine Branchenrisikomatrix für jene Ereignisse zu erstellen, welchen die Branche abseits der vertraglich versicherten Risiken ausgesetzt ist. Sie soll das frühzeitige Erkennen und Adressieren von Risiken erleichtern. Für den Eintrittszeitraum der Ereignisse hat der SVV die drei Kategorien kurzfristig (Eintritt innert eines Jahres), mittelfristig (Eintritt zwischen einem und drei Jahren) sowie langfristig (Eintritt nach drei Jahren) definiert. Das Schadenpotenzial wurde in tief, mittel und hoch unterteilt, wobei die Betroffenheit einzelner Gesellschaften sowie von (Teil-)Branchen berücksichtigt wurde. Dabei zeigte sich, dass jede Kategorie zentrale Risiken aufweist, die für die Assekuranz von grosser Bedeutung sein werden. Als wesentliche Grossrisiken wurden «Pandemie» sowie «Cyberattacken» identifiziert. Auf Basis der Rückmeldungen der Ausschüsse wird sich der SVV künftig noch stärker darauf fokussieren, durch das Aufzeigen und die Klassifizierung von aufkommenden übergreifenden Risiken zu einem gemeinsamen Verständnis beizutragen. Dazu gehört auch die Entwicklung mitigierender Massnahmen (Informationsaustausch, Erhöhung der Resilienz) sowie – bei Bedarf – die aktive Koordination bei deren Umsetzung.