«Die Angreifer suchen immer nach neuen Tricks»
Cybersicherheit wird für Unternehmen immer wichtiger – doch nur wenige Schweizer Unternehmen sind gegen Cyberangriffe versichert. Gabor Jaimes vom Schweizerischen Versicherungs-verband erklärt, welche Herausforderungen Unternehmen und Versicherer bewältigen müssen.
Erst sieben Prozent der Schweizer Unternehmen sind gegen Cyberrisiken versichert. Woran liegt das?
Gabor Jaimes: Die Cyberrisiken gehören zu den Toprisiken, die immense Schäden für Wirtschaft und Gesellschaft darstellen können. Ähnlich wie bei der Pandemie können Cyberangriffe nicht nur lokale, sondern überregionale und globale Auswirkungen haben. Während die Versicherbarkeit von Cyberrisiken im Schweizer Markt innerhalb bestimmter Grenzen grundsätzlich gegeben ist, übersteigen gewisse Szenarien – insbesondere jene systemischer Natur – die Kapazitäten der Versicherer. Sie spielen eine zentrale Rolle in der Prävention und Risikominderung von Cyberschäden, aber auch als Wissensvermittler zwischen Privatwirtschaft, Behörden und Kundinnen und Kunden, um die Cyberresilienz zu stärken.
Die aktuelle Quote von sieben Prozent ist lediglich eine Momentaufnahme, denn die Sparte der Cyberversicherungen wächst. Aber natürlich dauert es immer eine Weile, bis neue Produkte am Markt durchdringen. Oft sind sich auch nicht alle Unternehmen der Risiken bewusst. Gerade kleinere Unternehmen wissen womöglich nicht, was es für Lösungen gibt, oder denken sich vielleicht: «Ich bin eine kleine Bäckerei, warum sollte ich angegriffen werden?»
Bei der Recherche bin ich auf die Angabe gestossen, dass die Nachfrage nach Cyberversicherungen deutlich grösser ist als die Zahl der Abschlüsse. Können Sie dies bestätigen? Was sind die Gründe hierfür?
Trotz hoher Nachfrage führt nach Angaben unserer Mitglieder nur eine kleine Anzahl von Anfragen zu Abschlüssen. Dies könnte daran liegen, dass Kunden verschiedene Anbieter kontaktieren und sich dann nur für einen Abschluss entscheiden. Ein weiterer Grund könnte sein, dass einige Kunden die Angelegenheit entweder nicht ausreichend verstehen oder derzeit kein Budget dafür haben. Die Zahlen zeigen aber, dass sich in den letzten zwei Jahren die Policen und Prämienvolumen verdoppelt haben.
Glauben Sie, dass Unternehmen ausreichend über die Möglichkeiten und Grenzen von Cyberversicherungen informiert sind?
Die Unternehmenslandschaft in der Schweiz ist sehr heterogen. Einige Unternehmen, besonders grössere, die auch über eigene IT-Abteilungen verfügen, sind oft gut informiert und sensibilisiert. Die Versicherer bemühen sich, durch Informationsmaterial auch andere Kunden zu erreichen, aber es gibt sicherlich eine grössere Gruppe, die sich der Möglichkeiten nicht bewusst ist. In Zusammenarbeit mit dem Bundesamt für Cybersicherheit führen wir eine Aufklärungskampagne durch, um das Bewusstsein auf dem Markt zu steigern.
Von welchen Risiken reden wir eigentlich genau, wenn wir von Cyberrisiken sprechen?
Das grösste Risiko ist sicher das Phishing. Trickbetrüger senden SMS oder E-Mails, in denen man zu einer Zahlung aufgefordert wird. Das passiert nicht nur Privatpersonen, sondern auch Unternehmen. Öffnet man eine solche E-Mail unbedacht, können sich Viren im Unternehmensnetzwerk ausbreiten und Hackern Zugriff ermöglichen. Das kann im Übrigen auch physisch geschehen, indem sich Unbefugte Zutritt zu Räumlichkeiten verschaffen, zum Beispiel getarnt als Putzequipe, und so versuchen, sich in die Systeme einzuloggen. Dadurch, dass der Postverkehr stetig abnimmt und durch digitale Kommunikation ersetzt wird, entstehen zusätzliche Angriffsflächen.
Wie hat sich die Versicherbarkeit von Cyberrisiken in den vergangenen Jahren entwickelt?
Die Versicherbarkeit von Cyberrisiken hat sich in den letzten Jahren verbessert, da Versicherer und IT-Sicherheitsfirmen proaktiv gegen diese Bedrohungen vorgehen. Eine mittelgrosse Firma wird pro Tag sicherlich Dutzende, wenn nicht gar Hunderte, Male angegriffen, doch mit aktuellen Sicherheitsvorkehrungen wie einer Firewall und regelmässigen Updates können bis zu 99,9 Prozent davon abgewehrt werden. Dennoch suchen Angreifer immer nach neuen Tricks. Man könnte gewissermassen von einem Katz-und-Maus-Spiel sprechen. Die Versicherer sind natürlich vorsichtig. Wenn eine Firma keine Vorkehrungen trifft, ist sie nicht versicherbar. Versicherer unterstützen die Unternehmen bei der Definition der Massnahmen, wie z.B. Datensicherheit und Schulung der Mitarbeitenden.
Welche Gefahren lassen sich heute schwer versichern? Was können Unternehmen hier tun?
Auch hier kommt es stark auf die Art des Unternehmens an. An ein Unternehmen, das mit hochsensiblen Daten arbeitet, werden sicher andere Anforderungen gestellt als beispielsweise an einen Coiffeursalon. Es gibt auch Zertifizierungsprogramme wie cyber-safe.ch, die Unternehmen dabei helfen können, die Mindestanforderungen zu erfüllen und für Versicherer transparent zu machen, dass sie angemessen geschützt sind. Unternehmen, die gar keine Vorkehrungen treffen, müssen natürlich nachbessern, bevor sie sich versichern können, zum Beispiel mit Mitarbeiterschulungen und technischen Updates.
Hat sich die Wahrnehmung von digitalen Risiken in den letzten Jahren verändert, insbesondere im Hinblick auf ihre Versicherbarkeit?
Ja, die Wahrnehmung von digitalen Risiken hat sich in den letzten Jahren definitiv verändert. Unternehmen erkennen zunehmend die Bedeutung von Cybersicherheit und sind sich bewusst, dass Cyberversicherungen ein wichtiger Bestandteil ihres Risikomanagements sind. Verschiedene grosse Angriffe, wie jene auf die NZZ oder auf Xplain, haben nicht nur die Verwundbarkeit der Gesellschaft gezeigt, sondern auch die Kosten, die damit verbunden sind. Die Versicherungsbranche reagiert auf diese steigende Bedrohung, indem sie ihre Policen und Dienstleistungen entsprechend anpasst und Kunden bei der Prävention und Bewältigung von digitalen Risiken unterstützt.
Welche Herausforderungen bestehen bei der Feststellung von Schäden durch digitale Risiken und wie können diese besser bewältigt werden?
Digitale Schäden sind nicht immer gleich ersichtlich. Es ist nicht wie bei einem Baum, der infolge eines Sturms auf ein Haus fällt. Digitale Schäden muss man forensisch untersuchen und man muss schauen, ob man eine Schadsoftware findet. Je nachdem, wie ausgefeilt der Angriff war, gleicht das einer Detektivarbeit. Ein Unternehmen sollte darum bei Unregelmässigkeiten sofort reagieren, nur so lässt sich Schadsoftware eindämmen und stoppen, bevor z.B. Back-ups kontaminiert werden oder sich der Schaden auf Kunden und Lieferanten ausdehnt.