Nicht nur grosse Unternehmen können Opfer einer Cyber-Attacke werden. Darum brauchen auch KMU einen Notfallplan für den Fall eines erfolgreichen Cyber-Angriffs, sagt Gunthard Niederbäumer, Leiter Bereich Schaden- und Rückversicherung beim SVV.
1. Cyber-Risiken verursachen in der Schweiz Kosten von rund 9,5 Milliarden Franken. Wie setzen sich diese Kosten zusammen?
Eine Studie von McAffee aus dem Jahr 2014 schätzt die Kosten für Cyber-Risiken auf globaler Ebene auf jährlich über 400 Milliarden US Dollar. Daraus haben wir mit einer Hochrechnung die Kosten für die Schweizer Wirtschaft abgeleitet. Die Kosten umfassen Cyber-Schäden sowie Schutz und Abwehr gegen Cyber-Risiken. Neben den Aufwänden für Schäden an Hard- und Software zählen wir dazu weitere Kosten, zum Beispiel durch den Verlust von geistigem Eigentum, durch den Diebstahl von Kapitalanlagen und sensitiven Geschäftsgeheimnissen oder Opportunitätskosten, das heisst wenn Gewinne nicht realisiert werden können. Zusätzlich kommen Aufwände für Netzwerksicherheit und Wiederherstellungskosten für den Betrieb sowie Kosten durch mögliche Reputationsschäden. Wichtig anzumerken ist, dass es sich hierbei um eine grobe Kostenschätzung handelt mit dem Ziel, die Grössenordnung der Gesamtkosten aufzuzeigen.
Gunthard Niederbäumer, Leiter Bereich Schaden- und Rückversicherung im SVV.
2. Die Privatversicherer fordern eine verstärkte Sensibilisierung der Öffentlichkeit. Wo sehen Sie am meisten Handlungsbedarf?
Im Herbst 2017 hat der SVV gemeinsam mit weiteren Verbänden eine Studie in Auftrag gegeben, um herauszufinden, wie Führungspersonen von Schweizer KMU die Bedrohung durch Cyber-Risiken beurteilen – und wie sensibilisiert sie sind. Die Ergebnisse zeigen, dass hier ein grosser Handlungsbedarf besteht. Gerade KMU denken oft, dass sie zu klein und zu unbedeutend sind, um für Cyber-Angriffe «interessant» zu sein. Verschiedene Angriffe auf Hotels, Altersheime oder sogar Copyshops haben uns jedoch eines Besseren belehrt: Kein Unternehmen ist vor einer Cyber-Attacke gefeit. Bei vielen dieser Betriebe fehlt der elementare Schutz vor den Bedrohungen aus dem Cyber-Raum, wie zum Beispiel die regelmässige Aktualisierung eines Antivirenschutzes und regelmässige Backups. Bei vielen KMU fehlt zudem ein Notfallplan für den Fall eines erfolgreichen Cyber-Angriffs. Eine Bewusstseinsänderung ist dringend notwendig.
3. Wie gut sind die Versicherungsgesellschaften selber gegen Cyber-Risiken gerüstet?
Die Versicherungsunternehmen investieren sehr viel in die eigene Sicherheit. Sie beobachten die Bedrohungslage permanent und reagieren auf neue Gefahren. Es bleibt allerdings eine grosse Herausforderung, mit den technologischen Entwicklungen Schritt zu halten, mit denen die potenziellen Angreifer operieren. Darum haben die Versicherungsgesellschaften auch Notfallpläne, wie sie im Fall eines erfolgreichen Angriffs reagieren müssen. Im Grundsatz sind die Versicherer gut gegen Cyber-Attacken geschützt, weil sie sich ständig auch um ihre eigene Sicherheit kümmern. Daten sind im Versicherungsgeschäft unentbehrlich – und die Datensicherheit ist ein zentrales Versprechen der Versicherer. Denn es ist für diese essentiell, dass ihre Kundinnen und Kunden ihnen im Umgang mit Daten vertrauen.
