Täglich liest man in den Tageszeitungen von Firmen, die Opfer von Cyberangriffen sind. Widerspiegelt sich dies bei den Versicherern in den Schadensmeldungen?
Benno Leuenberger: Versicherungen gehen ein Vertrauensverhältnis mit ihren Kunden ein. Deshalb ist es wenig erstaunlich, dass hierzu keine verlässlichen Informationen publiziert werden. Eine weitere Schwierigkeit bei der Beantwortung dieser Frage liegt darin, dass nicht alle betroffenen Firmen eine Cyberversicherung abgeschlossen haben. Die Meldungen in den Tageszeitungen reflektieren auch nur die prominentesten Fälle. Mehr als 34'000 Meldungen über Cybervorfälle sind im Jahr 2022 beim NCSC (Nationalen Zentrum für Cybersicherheit) eingegangen. Das sind gut 58 Prozent mehr als im Jahr davor.
Gewisse Firmen gehen davon aus, dass sie durch eine Cyberversicherung von einem Angriff geschützt sind. Wie nehmen Sie dies aus Ihrer Sicht wahr?
Benno Leuenberger: Eine Cyberversicherung bietet keinen Schutz vor einem Angriff, sondern regelt lediglich gewisse finanzielle Folgen und Schäden. Andererseits kann eine Cyberversicherung selten ohne vorgängig implementierte Sicherheitsmassnahmen abgeschlossen werden, um so auch die Risiken zu reduzieren. Die meisten Versicherungen bieten hierzu in Kooperation mit Partnern umfassende Dienstleistungen an – von Online-Selfchecks bis zu Assessments und Trainings.
Wie gehen Sie mit Aussagen um, dass die anfragende Firma der Ansicht ist, dass sie kein interessantes Ziel für einen Cyberangriff sei?
Benno Leuenberger: Das ist leider eine Aussage, der wir vielerorts begegnen und nichts anderes bedeutet, als die Augen vor der (unangenehmen) Wahrheit zu verschliessen. Man liest/hört vielfach von den Grossfirmen oder bekannten Unternehmen, die von einem Angriff betroffen sind. Andererseits erhalten auch die vielen Vorfälle von Privatpersonen mediale Aufmerksamkeit. Es ist äusserst unwahrscheinlich, dass der ganze «Mittelbau», z.B. KMU nicht ein lukratives Ziel von Angriffen ist. Die Motivation von Cyberangriffen lässt sich auf zwei Aspekte reduzieren: Geld und Image – sprich der Angriff verspricht sich ein Zugewinn an Geld oder Image. Daher muss sich jede Firma die Frage stellen, ob ein Angreifer mit ihm Geld verdienen kann. Und ja, das ist in jedem Fall gegeben! Sei es nun im Sinne von Betriebsgeheimnissen (Wirtschaftsspionage), Daten (zum Weiterverkauf oder Erpressung) oder gar direkte Erpressung, wo die flüssigen Mittel von einer Firma eingefordert werden. Und last but not least, kann mit einem Angriff die lästige Konkurrenz (temporär) lahmgelegt werden.
Da heutzutage Cyberangriffe als «Lösung» oder gar als Service in den einschlägigen Foren zu äusserst günstigen Konditionen eingekauft werden kann, benötigt es noch nicht mal mehr spezifische IT-Kenntnisse, um eine Firma/Privatperson zu attackieren.
Die grössten Schutzmassnahmen können Unternehmen selbst treffen. Dazu werden häufig Begriffe wie Multi-Faktor-Authentifizierung und Backup-Strategie genannt. Wie schätzen Sie den Wissenstand der Unternehmen dazu ein?
Benno Leuenberger: Viele Unternehmen sind sich bewusst, dass eine MFA oder ein Backup sehr wichtig sind. Gemäss unserer Erfahrung gestaltet sich dann die konsequente Umsetzung als Herausforderung. So sind z.B. nicht alle externen Zugänge mit MFA gesichert, weil es unbequem oder etwas aufwendiger ist. Backup wird täglich geschrieben, aber nicht oder ungenügend getestet.
Leider wird heute noch in den meisten Fällen Cybersecurity mit technischen Schutzmassnahmen in der eigenen IT gleichgestellt. Also: Virenscanner, Firewall, MFA und Backup reichen aus. Die Realität zeichnet hingegen ein anderes Bild: 80% der Cyberangriffe erfolgen entweder über Mails und mit steigender Tendenz über die Verbindung mit Lieferanten/Partnern. Gleichzeitig kann die IT in den meisten Fällen nicht mehr mit einem Zonenkonzept geschützt werden. Moderne Technologien und Architekturen unter Einbezug von Cloud und dessen Diensten (z.B. Datenaustausch, Social Media, etc.) können nicht mehr allein inhouse geschützt werden.
Es ist nicht unsere Erwartung, dass sich eine Firma immer auf dem neuesten Wissensstand halten kann – hierfür ist die Materie einerseits zu komplex und unterliegt andererseits einem rasanten Wandel, nicht nur technisch sondern auch von der legislativen Seite her. Vielmehr empfehlen wir den Unternehmen, Cyberangriffe in ihre Risikobetrachtung (dies ist eine Kernaufgabe des Managements) aufzunehmen und anschliessend Spezialisten beizuziehen.
Gibt es eine festgelegte Grundlage (Leitfaden, o.Ä.), an der sich Unternehmen orientieren können, um die interne Sicherheit bezüglich Cyberangriffe zu erhöhen?
Benno Leuenberger: Neben den spezialisierten Dienstleistern bieten auch Versicherungen diverse Hilfsmittel in Form von Checklisten und Leitfäden an. Ganz besonders möchten wir auf die Seite vom Bund hinweisen. Das Nationale Zentrum für Cybersicherheit (NCSC) bietet auf ihrer Homepage nicht nur Informationen zur Bedrohungslage, sondern auch Leitfäden und ein «Merkblatt Informationssicherheit für KMU».
Der Mensch gilt weiterhin als grösste Schwachstelle bei Cyberangriffen. Bieten Versicherungen hierzu präventive Unterstützung an?
Benno Leuenberger: Einführend muss festgehalten werden, dass Lieferketten zwischenzeitlich genauso oft als Schwachstelle/Einfallstor genutzt werden, wie der Mensch.
Versicherungen und spezialisierte Unternehmen bieten präventive Unterstützung an. Das fängt bei der Sensibilisierung der Mitarbeitenden (Awareness) und korrespondierender Schulung an. Anschliessend sollten durch entsprechende Kampagnen die Massnahmen auf ihre Wirksamkeit hin überprüft werden. Hierbei geht es nicht darum, fehlerhaftes Verhalten zu identifizieren und die Betroffenen abzustrafen, sondern die Massnahmen zielgerichtet zu optimieren.
Wie gross schätzen Sie den Handlungsbedarf zum Thema Cyberversicherung bei Unternehmen?
Benno Leuenberger: Unternehmen machen einen Fehler, wenn sie glauben, dass sie sich nicht mit der Sicherheit auseinandersetzen müssen, nur weil eine Versicherung abgeschlossen werden kann. Wir sind schon mehrfach auf dieses Vorurteil gestossen.
Es muss sich jede Firma bewusst sein, welche Kosten durch eine Versicherung gedeckt sind und welche eben nicht. Dies verlangt allerdings auch, dass man sich den möglichen Schäden im Klaren ist. Vielfach werden nur die unmittelbaren Schäden in Betracht gezogen. Den grössten Verlust erleiden betroffene Firmen hingegen beim Vertrauen und Image; diese Schäden betragen meist ein Vielfaches der versicherten Schäden und werden von keiner Versicherung gedeckt.
Hinzu kommt das neue Datenschutzgesetz (nDSG), welches am 1. September 2023 für alle Firmen verbindlich in Kraft tritt. Interessanterweise ist hierbei die Sanktionierung von Schutzverletzungen. Für natürliche Personen kann die maximale Geldbusse im Fall einer Verletzung der Informations- und Offenlegungspflichten sowie bestimmter Sorgfaltspflichten bis zu CHF 250‘000 je Verstoss betragen. Im Gegensatz zur DSGVO, die eine Verantwortung von Unternehmen vorsieht, können verantwortliche Personen innerhalb des Unternehmens, wie beispielsweise der/die CEO, CIO oder andere Funktionsträger, direkt sanktioniert werden. Oder, um es klar auszudrücken: Bei Verletzung der Bestimmungen drohen Bussen von bis zu CHF 250’000 zu Lasten der verantwortlichen natürlichen Person. Da ist es mehr als fraglich, ob eine Firmenversicherung auch natürliche Personen einbezieht.
Um die Frage abschliessend zu beantworten: Wir sehen einen grossen Handlungsbedarf bei Unternehmen zum Thema Cyberversicherung und es sollte in einem Gesamtkontext von Cybersicherheit betrachtet werden. Der Vorteil einer Anfrage bei einer Versicherung liegt natürlich auch darin, dass der Fragebogen als Selbstbeurteilung dient. Manche Unternehmen kommen dadurch ins Grübeln und hoffentlich auch ins Handeln.
Welche Voraussetzungen müssen unternehmensseitig geschaffen werden, damit eine Versicherung überhaupt abgeschlossen werden kann?
Benno Leuenberger: Das unterscheidet sich von Versicherung zu Versicherung. Manche Versicherungen werben mit «Unkomplizierter Abschluss ohne Fragebogen». Das hinterfragen wir. Im «Kleingedruckten» werden gewisse Risiken ausgeschlossen, wenn nicht ein (minimales) Set an Sicherheitsmassnahmen implementiert wird. Die Versicherungen bieten meistens auch eine Beratung an, um das Risikoprofil zu erheben und notwendige Voraussetzungen für einen Abschluss zu schaffen.
Obwohl das Management von Cyberrisiken heute praktisch jedes Unternehmen betrifft, ist der konkrete Versicherungsbedarf aufgrund des grossen Spektrums an Risiken und daraus resultierenden Schäden sehr individuell: Ein Zulieferbetrieb in der Maschinenindustrie hat andere Deckungsbedürfnisse als der Betreiber eines Online-Shops, der wieder andere hat als ein Finanzinstitut. Gerade weil die am Markt angebotenen Versicherungsprodukte – die vereinzelt sogar auf spezifische Branchenbedürfnisse zugeschnitten sind – unterschiedlich konzipiert sind und jeweils nur Einzelrisiken abdecken, ist eine individuelle Bedarfsanalyse vor Abschluss einer Versicherung zur Deckung von Cyberrisiken zentral.
Die Prämien für Cyberversicherungen sind in den letzten Jahren stark angestiegen. Gibt es eine Vorgehensweise oder Massnahmen für Unternehmen, um ihre Prämien möglichst tief zu halten?
Benno Leuenberger: Die Versicherungsprämie richtet sich generell nach Versicherungssumme und Risikoprofil.
Die Cyberversicherungslandschaft entwickelt sich in Europa und in der Schweiz fortlaufend weiter. Nach wie vor sind die Versicherungsangebote für einen Laien schwer verständlich. Professionelle Beratung und die Prüfung individueller Deckungsbedürfnisse sind deshalb unabdingbar. Infolge zunehmender Kumulrisiken werden Zusicherungen der Unternehmen hinsichtlich deren eigenen IT-Sicherheits- sowie Compliance-Standards in Zukunft an Bedeutung gewinnen. Die Versicherer werden aus guten Gründen immer weniger bereit sein, die Katze im Sack zu versichern.
Cyberangriffe treffen neben kritischer Infrastruktur aber auch immer mehr Grossfirmen und KMU. Die in den letzten Jahren sprunghaft angestiegenen Cyberschäden verschlingen bei den Versicherungskonzernen Hunderte Millionen. Um ihr Risiko zu begrenzen, haben viele Versicherungen bereits die Preise für entsprechende Angebote erhöht. Oder die Policen so angepasst, dass nicht mehr alle Schäden gedeckt werden. In einem Interview mit der Financial Times warnte Mario Greco, CEO von Zurich Insurance sogar: «Cyberangriffe werden unversicherbar».
Zu versichernde Leistungen sind Betriebsunterbrüche durch Cyberangriffe, Datendiebstahl, Onlineerpressung oder Rufschädigung. Welche Versicherungsleistungen werden am häufigsten angefragt?
Benno Leuenberger: Hierzu können wir leider keine Angaben machen.
Gibt es Schäden oder Leistungen, die explizit nicht versichert werden?
Benno Leuenberger: Versicherungsfalldefinitionen können sehr eng formuliert sein. Dies gilt nicht nur in Bezug auf Cyberpolicen, sondern gerade auch bei anderweitigen Produkten mit Cyberrisikokomponenten. Es kommt beispielsweise vor, dass ausdrücklich nur Schäden aus "zielgerichteten" Angriffen erfasst werden, was Schäden aus nicht zielgerichtet gegen das versicherte Unternehmen eingesetzter Malware ausschließt, die eine unbestimmte Vielzahl von Usern treffen könnte. Unerwünschte Einschränkungen des Versicherungsschutzes können sich auch aus anderweitigen restriktiven Umschreibungen der versicherten Gefahren ergeben. Dies ist etwa dann der Fall, wenn nur Schäden aus «Straftaten» oder «strafbaren Handlungen» von Mitarbeitenden gedeckt sind, was solche aus rein zivilrechtlich unerlaubten Handlungen ausschliesst (z.B. unlauterer Wettbewerb oder Verletzung von Markenrechten). Ähnliche Einschränkungen ergeben sich, wenn nur vorsätzliche Handlungen von Mitarbeitenden gedeckt sind, nicht aber Schäden aus blossem Versehen.
Ausschlussklauseln ist auch in diesem Bereich gebührende Aufmerksamkeit zu schenken. Sie sehen regelmässig Deckungsausschlüsse vor, wenn keine fortlaufend aktualisierten Sicherheitsmassnahmen (Firewall, Einsatz von AntiViren-Schutz-Software) getroffen werden oder wenn nicht genügend leistungsfähige, d.h. veraltete Hard- oder Software benutzt wird. Weil die Einhaltung dieser Anforderungen für Versicherungsnehmer mit hohen Kosten verbunden sein kann, besteht bezüglich der Auslegung der Tragweite solcher Klauseln einiges an Konfliktpotenzial. Ebenso interpretationsbedürftig können weitere gängige Ausschlussklauseln sein. So sind etwa Schäden aus kriegerischen Ereignissen und Terror standardmässig vom Versicherungsschutz ausgeschlossen, wobei unklar erscheint, ob und inwieweit sich diese Ausschlüsse auch auf verwandte Phänomene im Cyberspace beziehen (z.B. Hackerangriff durch einen ausländischen Geheimdienst; Einsatz von Logikbomben, etc.).
Schlussfrage: Haben Sie einen persönlichen Tipp, den Sie an die verantwortliche Person für Cybersecurity in einem Unternehmen, aus Sicht der Versicherung, mitgeben können?
Benno Leuenberger:
- Die im Markt aktuell erhältlichen Versicherungslösungen decken jeweils nur Teile des breiten Spektrums an Cyberrisiken ab. Deshalb ist eine sorgfältige individuelle Bedarfsanalyse zentral.
- Aufgrund uneinheitlicher Deckungskonzepte und Versicherungsbedingungen besteht eine erhebliche Gefahr von Deckungslücken und Mehrfachversicherungen. Es empfiehlt sich daher eine vergleichende Analyse verschiedener Produkte unter Einbezug des bestehenden Versicherungsschutzes.
- Wichtige Einschränkungen des Versicherungsschutzes können sich auch aus vertraglichen Verhaltenspflichten des Versicherten oder sogenannten Serienschadenklauseln ergeben.
- Besonderes Augenmerk sollte dem Einbezug von Risiken gewidmet werden, die sich aus der Vernetzung von IT-Systemen im Rahmen von Outsourcing-Lösungen und sonstigen arbeitsteiligen Kooperationen mit anderen Unternehmen ergeben.
- Ein Reputationsschaden kann nicht mit Geld kompensiert werden. Jedes Unternehmen sollte sich auf einen erfolgreichen Angriff vorbereiten und entsprechende Schutzmassnahmen implementieren.