Cyberversicherung

Während Feuerversicherungen vielerorts obligatorisch sind, sind Versicherungen, die Risiken eines Cyberangriffs abdecken, erst wenig verbreitet. Das sollte sich ändern, denn Cyberangriffe können genauso alle treffen wie ein Brand.

Andrej Beuth

15. August 2019

Mehr Cyberangriffe als Elementarschäden

Feuerversicherungen inklusive der derzeit neun Elementarereignisse sind in den meisten Kantonen für Gebäude obligatorisch. Das erscheint auch Menschen, die ausserhalb der Versicherungsbranche tätig sind, als logisch. Feuer können verheerende Schäden anrichten (Schadenausmass), und ihre Häufigkeit wird häufig unterschätzt. Die Feuerwehrstatistik 2017 der Feuerwehr Koordination Schweiz FKS verzeichnete für das Jahr 2017 insgesamt fast 73 000 Einsätze. Es brennt also mehr, als man denkt.
Doch noch wesentlich häufiger sind Cyberangriffe, und da erstaunt es doch, weshalb Cyberversicherungen nicht obligatorisch bzw. noch nicht so verbreitet sind. Cyberangriffe erfolgen auf verschiedene Arten, und nicht nur Grosskonzerne und Regierungen sind betroffen, sondern alle – von der Bäckerei über den Technologiekonzern bis zur Privatperson!

Gut getarnte Angriffe – unterschiedliche Opfer

Zwei in unserem Unternehmen erlebte Beispiele betreffen Phishing bzw. sogenanntes Social Engineering. Social Engineering Angriffe nutzen die Gutgläubigkeit von Menschen aus, um beispielsweise an vertrauliche Daten zu gelangen oder die Opfer zu bestimmten Aktionen zu bewegen. Neben anderen Angriffsmöglichkeiten ist dies nach wie vor eine der erfolgreichsten Methoden. In einem Fall wurde die Website einer namhaften Bank im Nahen Osten sehr professionell nachgebildet, so dass der Mail-Absender mit Bild auf der Homepage zu finden war. Die Kontaktaufnahme erfolgte via XING. Der Kriminelle hatte sich die Zeit genommen, einen konkreten Geschäftsvorschlag zu unterbreiten, der zu unserer Tätigkeit passte. Eine Kooperation mit dieser Bank hätte Sinn gemacht. Logo und Aufbau der Homepage waren dem Original so nah, dass auf den ersten Blick alles in Ordnung schien. Doch es war ein Betrüger mit einem falschen XING-Profil (welches in der Zwischenzeit gelöscht wurde), der vermutlich eine Vertrauensbasis aufbauen wollte, um im Anschluss persönliche Daten zu missbrauchen.
Ein anderer Fall betrifft ein vermeintliches E-Mail unseres VR-Präsidenten. Dieses war im Gegensatz zu den geschätzten hundert Mails, die mir Lotteriegewinnen in Ländern versprechen, die ich noch nie besucht habe, in bestem Deutsch verfasst und wies eine Überweisung von 50’000 Franken an. Da unser VRP aber Schweizer ist und deshalb «ss» und nicht «ß» verwendet, habe ich glücklicherweise den Absender genauer angeschaut. Sein Name war korrekt abgebildet, aber die E-Mailadresse war nicht identisch mit seiner.
Und hätten Sie gedacht, dass eine Bäckerei Ziel eines Hackers ist? Der Hacker vermutlich auch nicht, aber mittels Ransomware wurde vor rund drei Jahren eine Bäckerei angegriffen.

Nur dank einem zweiwöchigen Einsatz eines spezialisiertes IT-Unternehmen konnten die von Cyber-Kriminellen verschlüsselten Dateien wiederherstellt werden. Die Versicherungs-Gesellschaft dieser Bäckerei verwendet dieses Praxisbeispiel seither als prominentes Beispiel, um zu zeigen, dass jede/r Opfer von Cyberangriffen werden kann.

Wer sind die Hacker?

Stellen Sie sich typische Nerds aus einer bekannten Fernsehserie vor? Vielleicht sehen die Hacker so aus, aber für die wesentlichen Angriffe sind Regierungen und organisierte Cyber-Kriminelle verantwortlich. «Skiddies» (script kiddies – Jugendliche, die mit vorgefertigten Skripten in ein Netzwerk eindringen) haben deutlich weniger Möglichkeiten für ihre Angriffe.

Und während beispielsweise Entführungen vor allem in lateinamerikanischen Ländern ein florierender Geschäftszweig sind, sind Erpressungen mittels Schadprogrammen (sog. Ransomware) weltweit verbreitet.

Cyberrisiken versichern

Die derzeit erhältlichen Versicherungslösungen für Cyberrisiken sind noch relativ neu.

Versicherbare Bausteine

  • Wiederherstellung von Daten, Diebstahl durch Cyberangriff, Cybererpressung, Umsatzausfall infolge Cyberangriff oder Datenschutzverletzungen, Betrug durch Cyber Crime / Social Engineering
  • Zur Abwendung eines Reputationsschadens sind ebenfalls Deckungen erhältlich, z.B. Konzept und Unterstützung für die Krisenkommunikation
  • Die Rechtsschutzdeckungen beinhalten meistens Vertragsrecht, Persönlichkeitsverletzungen und Identitätsmissbrauch
  • Ansprüche und Forderungen von Dritten infolge Datenverlusts, Datenschutzverletzungen, Zweckentfremdung und Ausfall der Funktionalität, Weitergabe Schadsoftware

Was kann man gegen Cyberangriffe tun, ausser die Risiken zu versichern? Gesunder Menschenverstand ist grundsätzlich immer gut, aber wenn alles schnell gehen muss, ist der Mensch selbst eine grosse Gefahrenquelle und nicht nur die vernetzen Systeme. Bereits das Surfen im öffentlichen WIFI ist aus Sicherheitsüberlegungen eigentlich ein No-Go.

Für Autos ist ein regelmässiger Service üblich. Für Programme und Systeme gibt es regelmässig Updates, diese sollten immer installiert werden.

Wie in der Brandverhütung hilft es, die Mitarbeitenden für das Thema zu sensibilisieren. Als weitere Massnahme empfiehlt sich die Überprüfung des Datensicherungskonzepts, das Backups auch auf nicht vernetzte Systeme enthalten sollte.

Meine Philosophie war bislang: sichern vor versichern – im Bereich Cyber habe ich sie angepasst, weil Hacker immer schneller sein werden als die Anbieter von Sicherheitslösungen. Deshalb empfehle ich: sichern UND versichern!