Cybersicherheit Hackerangriffe werden zum unkalkulierbaren Risiko – Versicherer rufen nach Staat
Immer mehr Unternehmen sind von Hackerangriffen betroffen.
Frankfurt, Paris Der digitale Überfall galt einer der führenden deutschen Einzelhandelsgruppen: Hacker drangen in der Nacht von Sonntag auf Montag in die IT-Systeme von Media Markt und Saturn ein, der größten Kette von Elektronikfachgeschäften in Europa. Daraufhin warnte das Unternehmen seine Kunden, dass es in den stationären Märkten bei einigen Dienstleistungen zu einem eingeschränkten Service kommen könne. Medienberichten zufolge sollen die Kriminellen ein Lösegeld von 50 Millionen Dollar gefordert haben. Die zur Düsseldorfer Ceconomy Holding gehörende Gruppe äußert sich dazu nicht.
Ein Einzelfall ist es längst nicht mehr. Cyberangriffe haben in der Pandemie stark zugenommen. Die Haftpflichtkasse aus der Nähe von Darmstadt und der Sparkassenverband Baden-Württemberg sind weitere Beispiele, bei denen Attacken zuletzt an die Öffentlichkeit gelangten. Die Hacker schleichen sich nicht selten über schlecht gesicherte Rechner im Homeoffice in die Firmennetzwerke ein. Dort entwenden sie vertrauliche Informationen, verschlüsseln die Daten und fordern Lösegeld und legen den Betrieb lahm. Die Folge: Es steigt auch die Nachfrage nach Cyberversicherungen – trotz Preiserhöhungen von bisweilen mehr als 100 Prozent.
Das klingt nach einem lukrativen Geschäft für die Assekuranz, doch so einfach ist es nicht. „Cyberattacken nehmen in Umfang, Häufigkeit und Intensität zu“, sagt Renaud Guidée, Risikovorstand des Versicherungsriesen Axa, dem Handelsblatt. Die Erfahrung aus den bisherigen Schadensfällen reiche aber noch nicht aus, um dieses neue Risiko aus Sicht der Versicherer ausreichend zu verstehen – und zu bepreisen.
Guidée warnt: „Cybersicherheit gehört zu den Risiken, die eine systemrelevante Dimension annehmen können. Das bedeutet, dass das Ausmaß so groß sein kann, dass private Versicherungen die Risiken nicht mehr abdecken können.“ Dann käme in letzter Konsequenz der Staat ins Spiel, aber wann genau?
Die Angst vor Cyberkriegen
Besonders kompliziert wird es bei Cyberattacken, die viele Unternehmen gleichzeitig treffen. Diese Extremereignisse können einzelne Versicherer überfordern, vergleichbar mit einer Naturkatastrophe. Stefan Golling, Vorstandsmitglied des Rückversicherers Munich Re, sagte im Vorfeld des Rückversicherertreffens in Monte Carlo, dass es systemische Risiken gebe, die nur von Staat und Versicherungswirtschaft gemeinsam bewältigt werden könnten. Dazu gehören terroristische wie politisch motivierte Attacken oder ein Cyberkrieg.
Das Problem ist: In der Schattenwelt der Hacker lässt sich schwer abgrenzen, wer rein kriminell handelt und wer im Auftrag oder zumindest mit Rückendeckung eines Staates agiert. „Eine große Herausforderung sind die staatlichen und para-staatlichen Organisationen“, sagt Axa-Risikovorstand Guidée. Eigentlich sei es Aufgabe des Staates, seine Bürger und Unternehmen für die Folgen von kriegerischen Handlungen zu entschädigen. Axa überprüft bei derartigen Verdachtsfällen mithilfe von Ermittlungsbehörden mögliche Verbindungen zwischen den Hackern und staatlichen Stellen.
Eine eindeutige Antwort ist nicht immer möglich. In der Versicherungsbranche wünscht man sich daher klare Kriterien, wann Hackerangriffe als feindseliger Akt eines Staates eingestuft werden können. Auch beim Umgang mit Lösegeldzahlungen wird ein großer Bedarf an internationaler Abstimmung gesehen. „Wir brauchen eine globale Antwort auf Cyberkriminalität und Erpressungen“, fordert Guidée.
Im aktuellen Future Risk Report von Axa, wo es um die größten Risikofaktoren der kommenden fünf bis zehn Jahre geht, landeten Cyberangriffe auf Platz zwei, gleich nach dem Klimawandel. Schon allein das spricht für ein systemisches Risiko. Befragt wurden Experten aus der Versicherungswirtschaft, Finanzbranche und von anderen großen Unternehmen. Ihre größte Sorge sind demnach Angriffe auf die kritische Infrastruktur, etwa die Versorgung mit Wasser oder Strom.
Damit könnte am Ende ein ganzes Land lahmgelegt werden. Beispiele, die in diese Richtung weisen, gibt es bereits: Im Mai geriet der amerikanische Pipeline-Betreiber Colonial ins Visier von Hackern, als Folge wurde in einigen Gegenden der USA das Benzin knapp. Das Unternehmen soll als Lösegeld 75 Bitcoin gezahlt haben, fast fünf Millionen Dollar.
Bei vielen Angriffen handelt es sich um Ransomware-Attacken
Ransomware-Attacken, bei denen gekaperte Daten freigekauft werden müssen, sind typische Cyberschadensfälle für Versicherungen. Diese digitale Erpressung mache in Deutschland „etwa 60 bis 70 Prozent aller Schäden aus, die Firmen bei Cyberversicherern melden“, berichtet Johannes Behrends, Leiter der Einheit Cyris beim Versicherungsmakler Marsh Deutschland.
Laut Rüdiger Kirsch, Betrugsexperte bei Euler Hermes, ist auch Zahlungsbetrug auf dem Vormarsch. Demnach leisten Unternehmen immer wieder größere Zahlungen aufgrund von Mails mit gefälschten Kontodaten. Im letzten Jahr seien die Fallzahlen um 35 Prozent gestiegen.
Der Industrieversicherer Allianz Global Corporate & Specialty (AGCS) war 2020 nach eigenen Angaben in über 1000 Cyberschäden involviert, gegenüber rund 80 im Jahr 2016. Im ersten Halbjahr des laufenden Jahres seien weitere 566 Fälle hinzugekommen. Einen deutlichen Anstieg habe es bei Erpressungsversuchen gegeben.
Das Lösegeld macht aber nur einen Teil des finanziellen Risikos aus. Die größten Treiber für Cyberschäden sind nach einer Analyse von AGCS Betriebsunterbrechungen und Wiederherstellungskosten. Diese Posten stünden für mehr als die Hälfte des Schadenswertes - insgesamt rund 750 Millionen Euro - bei den fast 3.000 Cyberfällen, an denen der Versicherer in den vergangenen sechs Jahren beteiligt war.
Nach einer Studie des Digitalverbands Bitkom entstanden allein der deutschen Wirtschaft durch Diebstahl, Spionage, Sabotage und andere Angriffe zuletzt Schäden von 223 Milliarden Euro jährlich. Neun von zehn befragten Unternehmen gaben an, in den vergangenen zwölf Monaten von Hackerattacken getroffen worden zu sein. „Wenn ein Risiko Gestalt annimmt, konkretisiert sich der Versicherungsbedarf“, sagt Axa-Manager Guidée. Mit dem Anstieg der Zahl der Cyberattacken wachse die Nachfrage nach entsprechenden Versicherungen, übrigens auch bei Privatpersonen.
Wenn sich der Preis vervielfacht
Deshalb steigen die Preise. Wie aus einer Umfrage des Verbands der versicherungsnehmenden Wirtschaft (GVNW) hervorgeht, mussten 23 Prozent der befragten Unternehmen bei der Vertragserneuerungsrunde im vergangenen Jahr Prämienerhöhungen zwischen 20 und 50 Prozent hinnehmen. Bei neun Prozent verdoppelten sich die Preise für den Cyberschutz sogar. Viele Unternehmen klagten auch über zusätzliche Klauseln, reduzierte Versicherungssummen oder höhere Selbstbeteiligungen. Preissteigerungen gab es zwar auch in anderen Versicherungssparten, aber nicht im gleichen Ausmaß wie bei den Cyberpolicen.
In diesem Jahr rechnen viele Firmen nicht mit einer Besserung, allenfalls mit einer Stabilisierung der Lage. Behrends von Marsh sagt: „Die Prämien für Cyberpolicen sind hierzulande zuletzt um etwa 40 Prozent gegenüber dem Vorjahr gestiegen. In Extremfällen forderten Versicherer von ihren Kunden sogar Erhöhungen um 300 bis 400 Prozent.“ Manche Firmen müssten froh sein, wenn sie überhaupt noch einen Versicherungsschutz bekommen.
„Wir beobachten, dass es Unternehmen aus besonders betroffenen Branchen schwer haben, überhaupt einen Versicherungsschutz zu bekommen“, sagt Ralph Rockel, Vorstand beim Industrieversicherungsmakler MRH Trowe. Dazu zählen nach seinen Worten etwa Stadtwerke oder Finanzinstitute - eben mit Verweis auf die kritische Infrastruktur.
Auf der anderen Seite des Verhandlungstisches wird durchaus Kritik laut: So berichtet eine Sprecherin der Stadtwerke München, dass Cyberpolicen momentan „äußerst aggressiv durch Versicherungsmakler vermarktet“ würden. Problematisch seien aber nicht nur die Kosten, sondern auch der hohe Implementierungsaufwand, denn sämtliche sicherheitsrelevanten IT-Prozesse müssten im Detail analysiert und dokumentiert werden.
„Nur kurz unaufmerksam“
Nicht ohne Grund, hält Behrends dagegen. „Aus unserer Sicht hapert es bei vielen Unternehmen auch daran, dass sie ihre Cyberrisiken nicht genau einschätzen können.“ Es gelte daher, zunächst ein Verständnis für das eigene Risiko zu gewinnen, Schwachstellen zu schließen und Abwehrmaßnahmen zu ergreifen, wie zum Beispiel Mitarbeiterschulungen oder Notfallpläne.
Besonders wichtig sei, bei den Mitarbeitern immer wieder ein Bewusstsein für die Gefahrenlage zu schaffen, sagt auch Kirsch von Euler Hermes: „Betrugsfälle sind oft kein Thema von schwachen IT-Strukturen, sondern von Menschen, die einen kurzen Moment unaufmerksam sind.“
Bei Axa heißt es, auch die Verlagerung vieler Aktivitäten in die Cloud habe die Angriffsfläche noch einmal vergrößert. Firmen müssten ihre IT-Systeme und Prozesse so aufstellen, dass eine Cyberattacke abgefedert werden könne. Dazu gehöre insbesondere auch, dass Hacker über ein digitales Einfallstor nicht den gesamten Betrieb zum Stillstand bringen könnten.
Mehr: Hackerangriffe und Corona: Neue Herausforderungen verändern das Versicherungsgeschäft.
Das Kommentieren dieses Artikels wurde deaktiviert.
Die Unternehmen brauchen keine Versicherung, sie brauchen eine andere Technologie: Weg von dem Microsoft-Einheitsbrei, der diese Art von Angriffen erst möglich macht: Wenig Aufwand, weil man bei allen die gleiche Soße antrifft, so wird das Erpressungsgeschäft sehr wirtschaftlich.
Leider haben die CIO beim Board - meist hängt die Technik ja unter den Finanzen - kein Standing um eine umfassende Transformation einzuläuten.
Notwendig wäre es, sind die doch zumeist verwendeten Produkte - Windows, Office, Teams - praktisch nicht DSGVO-ompliant zu betrieben (wenn man den Datenschutzbeauftragten des Bundes und der Länder glauben darf). Aber, who cares, DSGVO ist ein zahnloser Tiger in solchen Fällen, da muss man es nicht so genau nehmen, so lange die Besucher der eigenen Webseite mit Cookie-Consent Bannern versorgt - oder besser: genervt - sind.
Also warten wir mal, wieviele Ransomware-Attacken es noch braucht bis die Verantwortichen umdenken.