Lücken im Cyberschutz
Nur wenige KMU sind cyberversichert. Ein veritables Manko, meinen Experten.
Emanuel Lampert. Die Welt wird immer „digitaler“. Können Klein- und Mittelunternehmen in Sachen Sicherheit da mithalten? Viele meinten immer noch, für Angreifer zu uninteressant zu sein, stellt Natascha Jäger, CEO Austria der Cogitanda Dataprotect AG, gegenüber dem Börsen-Kurier fest. „Dies äußert sich dann in einem manchmal schon fast fahrlässigen Umgang mit Datensicherungen, vernachlässigter Einspielung von Sicherheitsupdates und wenigen bis gar keinen Vorgaben im Umgang mit Passwörtern.“
Gerade kleinere Unternehmen wiegen sich oft in vermeintlicher Sicherheit, meint Joe Kaltschmid, er ist Geschäftsführer des Versicherungsmaklers Infinco. Getreu dem Motto: Bei uns gibt es nicht viel zu holen, deshalb trifft es uns nicht. „Die Angreifer schauen jedoch meist bei der Auswahl ihrer Targets nur, wo sie mit wenig Widerstand in ein Unternehmen eindringen können.“
Nach Kaltschmids Dafürhalten sind es organisatorische, aber auch IT-sicherheitstechnische Defizite, die die größten Lücken in die Sicherheit reißen – etwa durch Ausführung von Malware über manipulierte E-Mail-Anhänge. Risikomanagementexperte Helmut Tenschert ortet die größte Sicherheitslücke im Menschen selbst. „Die besten Vorkehrungen nützen gar nichts, wenn die handelnden Personen sorglos mit eingehenden Informationen umgehen.“
Sehr oft sei es allerdings gar nicht möglich, dem Cyberrisiko die nötige Aufmerksamkeit zu schenken, meint Rene Besenbäck, Head of Sales beim Insurtech Wefox Österreich. Als Gründe identifiziert er fehlende Ressourcen, „horrenden Kosten“ für Prävention und häufig fehlende Aufklärung über Schadenszenarien.
Wie vorbeugen?
Wie können KMUs vorbeugen? Jäger empfiehlt „ein standardisiertes Audit, um festzustellen, welche Risikofelder im eigenen Unternehmen besonders kritisch sind und welche Möglichkeiten es zur Risikoreduzierung gibt“. Für die Mitarbeiter als „die letzte ‚Verteidigungslinie‘ gegen Cyberangriffe“ rät sie zu regelmäßigen IT-Sicherheitsschulungen.
Datensicherungen müssen vor Angriffen geschützt sein, „Backups und Originaldaten sollten nicht durch dieselbe Ursache unbrauchbar gemacht werden können“, betont Benjamin Schilling vom Underwriting Cyberrisk der R+V Allgemeine Versicherung AG. Als „grundlegende Absicherung“ sieht er Firewalls, Antivirensoftware und die Regelung, wer wie auf die IT-Systeme zugreifen darf. „Kostenintensiver, aber besser, sind sogenannte EDR-Lösungen, die alle Prozessaktivitäten eines Endpoints erfassen und im laufenden Betrieb analysieren.“
Kaltschmid legt Klein- und Mittelunternehmen ans Herz, sicherheitskritische Updates schnellstmöglich einzuspielen, komplexe Passwörter zu verwenden und darüber hinaus einen IT-Security-Experten mit einem „Penetration Test“ zu beauftragen, um Sicherheitslücken aufspüren zu können.
Hohes Schadenpotenzial
Wie stellt sich die Schadensituation bei KMU dar? „Einen echten Überblick darüber gibt es eigentlich nicht“, sagt Risikomanagementexperte und Bildungsanbieter Tenschert, „zu hoch sind die Dunkelziffern an Attacken, die erfolgreich sind, aber gar nicht bekannt werden“. Die Schadenhöhe erreiche oft rasch sechsstellige Beträge, gibt Jäger zu bedenken, „denn der unverzügliche Ein-satz von Experten aus den Bereichen IT, Daten und Recht ist kostspielig, aber notwendig, um noch größeren Schaden abzuwenden“.
„Wir haben eine enorme Zunahme an Schäden insgesamt am österreichischen Markt verzeichnet“, sagt Besenbäck und beziffert ihn mit 32 % gegenüber 2021. „Allerdings ist durchschnittlich die Schadenshöhe mit etwa 17.500 Euro seit gut eineinhalb Jahren stabil.“ Natascha Jäger verweist auf Schätzungen, wonach Cybervorfälle bereits jetzt welt-weit jährlich mehr als 6 Billionen Euro Schaden verursachten.
Wie versichern?
Zur Absicherung ist im Wesentlichen „die ‚Maßschneiderung‘ des Produkts auf das jeweilige Unternehmen die beste Lösung“, sagt Tenschert. Cyberversicherung bedeute eine Kombination an sich bekannter Versicherungssparten, wie etwa Betriebsunterbrechung oder Haftpflicht mit spezifischer Ausrichtung.
Kaltschmid: „Die meisten Anbieter bieten ein Bausteinsystem an Deckungskomponenten, das stets aus einer Eigen- und Drittschadenkomponente und einer Dienstleisterkomponente besteht, die je nach Versicherungslösung First Response Services, Datenforensiker und Rechtsdienstleister zur Verfügung stellt.“
Grundsätzlich sei „für jedes Unternehmen etwas dabei“, beschreibt Besenbäck das Marktangebot. „So gibt es Anbieter, die mit geringen Versicherungssummen und attraktiven Prämien vor allem kostensensible Unternehmen ansprechen wollen. Manche bieten über sogenannte Antragsmodelle durch Beantwortung weniger Risikofragen einen erleichterten Zugang zum Versicherungsmarkt.“ Dann gebe es „Cyberdeckungen über Nischenproduktanbieter in anderen Produkten“ wie etwa der Vertrauensschadenversicherung. Die auf Cyber spezialisierten Versicherer „bieten sehr weite Deckungen, fordern jedoch intensive Risikodialoge“.
Selten cyberversichert
Wie steht es bei KMU derzeit um die Marktdurchdringung? „Die flippige Marktdurchdringung von bis zu 30 %, die von einigen Marktteilnehmern kolportiert wird, sehen wir nicht“, sagt Kaltschmid und siedelt sie eher bei etwas über 10 % an. Dabei gelte: größere Unternehmen – größere Durchdringung.
Das Bewusstsein für das eigene Risiko, so Schilling, müsste ebenso gestärkt werden wie jenes für die Pflichten der Leitungsorgane: „Diese sind gesellschaftsrechtlich verpflichtet, ein angemessenes Risikomanagement zu installieren, einen Teil davon stellt die Cyber Security dar.“
Die meisten Cyberversicherer tarifieren KMU unterschiedlich, diagnostiziert Kaltschmid. Produktionsunternehmen würden meist höher bepreist als Dienstleistungsunternehmen. Aber: „Die Prämien für KMU sind durchwegs gut leistbar.“ Dies gelte auch für die Zukunft, „so die Unternehmen bereit sind, auch künftig in organisatorische und technische Security-Maßnahmen zu investieren“. Tenschert meint zum Börsen-Kurier allerdings auch: „Mit zunehmender Zahl an Schadenfällen wird mit einem Prämienanstieg zu rechnen sein, das liegt in der Natur der Sache.“
Foto: AdobeStock / arrow