Herr Brokamp, viele Unternehmen gerade im Mittelstand unterschätzen immer noch die Gefahr durch Cyberangriffe. Wie groß ist das Risiko wirklich?
Da hilft es, sich ein paar Zahlen anzuschauen. 2016 lag der Schaden durch Cyberangriffe in Deutschland laut Bitkom, dem Bundesverband für Kommunikationswirtschaft, bei 55 Milliarden Euro. 2019 waren das schon 103 Milliarden Euro, und für das vergangene Jahr geht man von 223 Milliarden Euro aus. Allein die Anzahl der von uns regulierten Schäden ist seit 2017 um satte 780 Prozent gestiegen.
Wächst denn das Bewusstsein für die Gefahren?
Der Mittelstand kennt das Problem, glaubt aber in der Regel, das eigene Unternehmen sei nicht gefährdet. Bis vor kurzem kannte man wenige Betroffene, auch, weil diese aus Imagegründen nicht gerne darüber sprechen, Opfer eines Cyberangriffes geworden zu sein. Mittlerweile tauscht man sich darüber aus, und auch die mediale Präsenz des Themas wird größer. Insgesamt wächst das Bewusstsein, dass Cyberangriffe oder ungenügende Datensicherheit schwere finanzielle Folgen haben können.
Wie groß ist das Risiko für kleine und mittelständische Unternehmen?
Die Motivation für Cyberangriffe ist in den meisten Fällen eine finanzielle. Da gibt es das „Big Game Hunting“, also der Angriff auf große Konzerne. Aber es gibt auch breitgestreute Angriffe, bei denen es die Masse macht – da sind selbstverständlich auch KMUs betroffen. Zudem bieten sie, wenn sie etwa als Zulieferer mit großen Konzernen vernetzt sind, einen Einstiegspunkt für Angriffe auf die „großen Fische“. Und es geht ja auch um das Thema Datenschutz – wenn sich etwa Patientendaten einer Arztpraxis im Netz finden, ist auch das ein Schadensfall mit eventuell sehr teuren Konsequenzen.
Deshalb sind Cyberversicherungen so wichtig.
In der Tat. Und sie stellen eine Besonderheit innerhalb der Versicherungslandschaft dar. Zum einen fehlt eine große historische Datenbasis. Zum anderen ist das Änderungsrisiko sehr hoch, weil sich die Angriffsszenarien sehr schnell ändern. Beides macht es Versicherungen nicht leicht, das zu erwartende Schadenaufkommen zu berechnen. Deshalb ist bei Cyberversicherungen das Thema Prävention so wichtig. Die HDI bietet ihren Kunden ein 360-Grad-Sicherheitskonzept. Die Versicherung für den Fall eines Schadens ist da nur ein Baustein. Ein weiterer ist unsere Präventionsdienstleistung, etwa, indem wir Mitarbeiter schulen und aktiv vor aktuellen Gefahren warnen, auf Updates wichtiger Programme hinweisen. Falls doch etwas passiert, sind wir über unsere Schadenshotline jederzeit zu erreichen und unterstützen beim Krisenmanagement.
Viele Unternehmen sehen die IT-Sicherheits-Audits im Zusammenhang mit einer Cyberversicherung kritisch.
Niemand lässt gerne fremde Experten an seine IT-Systeme. Zunächst: Die HDI sieht die Ergebnisse des Security Baseline Checks (SBC), unser Audit für KMU, nicht. SBC sind nicht verpflichtend, aber sie sind für uns die beste Möglichkeit, das mögliche Risiko bei einem Unternehmen zu verstehen und dem Kunden bei der Erhöhung des Sicherheitsniveaus zu helfen. Wir haben festgestellt, dass fast 30 Prozent der auditierten Unternehmen wichtigste Basisanforderungen nicht erfüllen. Das bekommen Sie über die üblichen Risikofragebögen nicht heraus. Unsere Audits dienen dazu, Schwachstellen aufzudecken und Nachbesserungen anzustoßen. Deshalb gewähren wir Firmen, die einem Audit zustimmen, auch einen geringeren Selbstbehalt im Schadensfall – jedoch keinen Nachteil in Bezug auf die Versicherungsleistungen.
