In den vergangenen Monaten wurden zahlreiche Unternehmen von Hackern attackiert, darunter der Medizinkonzern Fresenius, der Duftstoffkonzern Symrise oder der Chemikalienhändler Brenntag. Sie sind keineswegs allein: Neun von zehn Unternehmen sind laut dem Digitalverband Bitkom in diesem oder im vergangenen Jahr Opfer einer Hackerattacke geworden. Speziell der Erpressungstrojaner Ransomware macht Unternehmen zu schaffen.
Und es scheint schlimmer zu werden, ehe es besser wird: Deutschlands technische Cyberabwehr hat im Februar dieses Jahres den höchsten jemals gemessenen Wert an neuen Schadprogramm-Varianten notiert. Pro Tag kämen durchschnittlich 553.000 neue Computerviren, Trojaner und Angriffswerkzeuge hinzu. Insgesamt wurden zwischen Sommer 2020 und Sommer dieses Jahres 144 Millionen neue Schadprogramm-Varianten gezählt – ein Anstieg um mehr als ein Fünftel innerhalb eines Jahres. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) beschreibt die Lage der IT-Sicherheit in Deutschland als „angespannt bis kritisch“.
Für Unternehmen und ihre CFOs kann eine Versicherung Schutz bieten. Doch die Policen werden teurer, und Konzerne müssen ihre Hausaufgaben machen, erläutert Jens Krickhahn vom Industrieversicherer Allianz Global Corporate & Specialty (AGCS) im FINANCE-Interview.
Herr Krickhahn, die Zahl der Schäden durch Cyberangriffe – insbesondere durch Ransomware – steigt rasant. Wie ernst ist die Lage?
Die Lage ist sehr ernst. Nicht nur aus Sicht eines Mitarbeiters eines Versicherungskonzerns, sondern auch gesamtwirtschaftlich. Wir sehen mehr und mehr Angriffe, die erfolgreich sind und extreme Auswirkungen auf Unternehmen haben.
Was sind das für Auswirkungen?
Es ist keine Seltenheit, dass ein Konzern nach einem Ransomware-Angriff wochenlang stillsteht. Sie müssen einen enormen Aufwand betreiben, um die Systemlandschaft wiederherzustellen – eventuell auch durch die Zahlung eines Lösegelds. Für viele Unternehmen geht es bei einem Erpressungsangriff um die Existenz.
10 mal mehr Schadenfallmeldungen
Sprechen wir konkret über Ransomware: Die Angriffsart scheint momentan virulent, beinahe wöchentlich wird ein bekanntes Unternehmen Opfer. Trügt der Schein oder sehen Sie als Industrieversicherer AGCS auch mehr Schäden durch Ransomware?
Es gibt definitiv mehr Schäden durch diese Angriffsform. 2020 hatten wir rund 1.100 Schadenfallmeldungen in der Cyberversicherung. 2016 waren es noch unter 100. Wir sehen also eine Verzehnfachung innerhalb von fünf Jahren. Ein steigender Teil ist hier auf Ransomware zurückzuführen. Die Schadenbeträge pro Fall steigen übrigens auch.
Die Schäden können je nach Unternehmensgröße schnell in den dreistelligen Millionenbereich gehen, als Versicherer muss das doch ein untragbares Risiko sein. Kann man als Unternehmen überhaupt noch eine Cyberversicherung abschließen?
Wir bekommen mehr Anfragen denn je für unsere Policen – egal ob aus dem Mittelstand oder von Großkonzernen. Unsere Ablehnungsquote liegt derzeit aber bei 60 bis 70 Prozent. Klar ist für uns als AGCS: Unternehmen müssen das Schutzniveau ihrer IT-Sicherheit der geänderten Bedrohungslage anpassen, man nennt das auch kontinuierliches Verbesserungsmanagement. Dann können Versicherer auch die Folgen eines Ransomwareangriffs tragen. Wenn Unternehmen aber nachlässig sind, stehen wir vor großen Herausforderungen.
Industrieversicherer haben höhere Erwartungen
Ihre Erwartungen an potentielle Kunden sind also gestiegen.
Absolut, die Anforderungen an die IT und Informationssicherheit haben sich dramatisch verändert. Wir schauen unter anderem viel stärker aufPatch-Management, also die regelmäßigen Updates von z.B. Software und Betriebssystemen, und ob die Mitarbeiter regelmäßig geschult werden. Kunden müssen auch nachweisen, dass sie ein aktuelles, getestete und geschützte Offline-Back-up haben. Sollte ein Unternehmen dann noch erfolgreich angegriffen werden, sollten die Systeme recht schnell wieder hergestellt und mögliche Lösegeldforderungen vermieden werden können.
Wozu braucht man denn dann noch eine Versicherung?
Eine 100%ige Sicherheit gibt es nicht und die Angreifer werden immer ihre Ziele finden. Und selbst ein kurzzeitiger Ausfall der IT-Systeme kann enorme Folgen haben und sehr kostspielig werden. Gegebenenfalls werden IT-Forensiker, Fachanwälte, Krisenmanager oder dergleichen benötigt. Neben dem Zugriff auf diese Experten übernehmen wir als Versicherer auch deren Kosten sowie die Kosten der Betriebsunterbrechung und möglicher Haftpflichtforderungen der Dateninhaber. Die AGCS stellt für Ihre Versicherten maximal ein Kapazität in Höhe von 15 Millionen Euro pro Police zur Verfügung. Große Konzerne, die hohe Versicherungssummen benötigen, müssen also Versicherungstürme mit verschiedenen Versicherungskonzernen aufbauen. Das geht aber nur, wenn die IT-Sicherheit gewisse Mindestkriterien erfüllt.
Das immense finanzielle Risiko dürfte auch zu höheren Preisen führen.
Das ist richtig, die Prämien sind aufgrund der massiv veränderten Bedrohungslage gestiegen. Die Prämie allein ist aber nicht ausschlaggebend für die Zeichnung eines Risikos. Zunächst beurteilen wir die Risikoqualität, also den IT-Reifegrad des Unternehmens. Je höher der IT-Reifegrad des Unternehmens ist, desto höhere Kapazitäten können wir unseren Versicherten zur Verfügung stellen. Im Gegenzug hierfür erhalten wir für die Risikoübernahme eine unseres Erachtens angemessene Prämie.
jakob.eich[at]finance-magazin.de
Jakob Eich ist Redakteur der Fachzeitungen FINANCE und DerTreasurer des Fachverlags F.A.Z Business Media, bei dem er auch sein Volontariat absolviert hat. Eich ist spezialisiert auf die Themen Digitalisierung im Finanzbereich und Treasury. Durch seine Zwischenstation bei der Schwesterpublikation „Der Neue Kämmerer“ ist der 1988 geborene Journalist auch versiert beim Thema Kommunalfinanzen. Erste journalistische Erfahrungen hat der gebürtige Schleswig-Holsteiner in den Wirtschaftsmedien von Gruner+Jahr sowie in der Sportredaktion der Hamburger Morgenpost gesammelt.
