Swiss IT Magazine»: Herr Fischer, wie entwickelt sich aktuell die Cyber-Bedrohungslage?
Marco Fischer: Wir sehen eine deutliche und stetige Zunahme von gemeldeten Cybervorfällen bei Privatpersonen. Bei Unternehmen war die Entwicklung im Jahr 2023 hingegen stabil. Das ist allenfalls damit zu begründen, dass Cyberversicherungen eher von Unternehmen abgeschlossen werden, die eine gewisse Affinität zum Thema Cyber haben und diesbezüglich über eine höhere Maturität verfügen.
Und welche Angriffsmuster und Schäden sehen Sie am häufigsten?
Fischer: Bei Privatpersonen sind es vor allem der Betrug bei Online-Shopping, Kreditkartenmissbrauch – oft durch Phsining ausgelöst – sowie der Datenverlust aus unterschiedlichen Ursachen, wobei wir die Datenrettung organisieren. Im KMU-Bereich sind hier unter anderem der BEC-Betrug, also der Rechnungsmanipulationsbetrug, sowie der CEO-Betrug zu nennen. Bei Letzterem handelt es sich vor allem um Mails von falschen Identitäten im Namen des vermeintlichen CEO des betroffenen Unternehmens. Zudem sehen wir Ransomware-Angriffe sowie die Ausnutzung von Schwachstellen im System.
Wie steht es wiederum um die Schäden? Werden diese drastischer?
Fischer: Das ist schwierig zu beurteilen. Zum einen werden die Angreifer und die Angriffe auf Unternehmen sicherlich professioneller, im Gegenzug sind aber auch die Unternehmen immer besser vorbereitet. Beispielsweise sind die Backup-Infrastrukturen besser durchdacht und konfiguriert als noch vor ein paar Jahren. Auch deshalb ändern die Angreifer oft sehr rasch ihre Vorgehensweisen und stellen die Unternehmen vor immer neue Herausforderungen. Wurden früher die Daten verschlüsselt, geschieht die Erpressung heute zunehmend aufgrund von gestohlenen Daten. Deshalb ist es wichtig, dass sich die Unternehmen auf einen möglichen Angriff vorbereiten und auch die Mitarbeitenden regelmässig sensibilisieren – es gibt keine bessere Firewall als den Menschen!
Die Komplexität für die Unternehmen steigt also?
Fischer: Die Komplexität nimmt grundsätzlich zu. Neben den technischen Herausforderungen betrifft das auch die Anforderungen in puncto rechtliche Folgen (Datenschutz) und Kommunikation. Und nicht zuletzt sind Unternehmen immer häufiger betroffen durch indirekte Angriffe auf Dienstleister, Lieferanten oder Outsourcing-Partner.
Was ist daher Ihr Ratschlag: Sollte zu jeder IT-Security-Strategie auch eine Cyberversicherung gehören?
Simon Seebeck: Bei jedem Cyber-Ereignis fallen zulasten der Unternehmen zusätzliche Kosten an. Der Umfang der Kosten steigt an, je erfolgreicher die Angreifer agieren. Neben den Kosten für die Abwehr und die Wiederherstellung der Infrastruktur (Software) kann der Betrieb unterbrochen sein oder es müssen verlorene Daten wiedergestellt werden. Diese zusätzlichen Kosten können über eine Cyberversicherung abgesichert werden.
Unterstützen Sie auch darüber hinaus?
Seebeck: Bei Bedarf bietet die
Mobiliar den Kunden neben der Kompensation des finanziellen Aufwandes auch eine fachliche Unterstützung bei der Überwindung des Cyber-Ereignisses an. Beispielsweise mit der schnellen Bereitstellung von Ressourcen durch spezialisierte Partnerunternehmen für das technische Handling des Cyber-Ereignisses. Aber auch im umfassenden Krisenmanagement und der Kommunikation. Eine Cyberversicherung ist ein wichtiger Teil eines umfassenden Risikomanagements für das Top-Risiko Cyber und sollte in Kombination mit technischen und organisatorischen Sicherheitsmassnahmen eingesetzt werden. Eine Cyberversicherung sichert unter anderem den Aufwand für die Behebung des Ereignisses ab. Die Versicherer unterstützen zudem mit Know-how bei der Überwindung eines Cyberereignisses. Folglich dient eine Versicherungsdeckung gleichermassen dem versicherten Unternehmen und dessen IT-Dienstleistern.
Lassen sich alle Schäden versichern? Was ist gegebenenfalls ausgeschlossen?
Seebeck: Grundsätzlich kann der Umfang der versicherten Leistungen nur aufgrund des konkret vorliegenden Versicherungsvertrages beurteilt werden. Aber versichert sind in der Regel die durch einen Cyberangriff entstanden Schäden an Daten, die Aufwendungen für die Abwehr des Angriffs, die Kosten für die Wiederherstellung der angegriffenen Infrastruktur sowie der Schaden, welcher entstehen kann, wenn die Ausübung des Tagesgeschäftes eingeschränkt oder als Folge des Angriffs für eine gewisse Zeit nicht mehr ausgeübt werden kann. Weiter kommt die Versicherung für die Kosten auf, die nach der Verletzung von Datenschutzbestimmungen entstehen oder von betroffenen Personen geltend gemacht werden können.
Und was ist nicht versichert?
Seebeck: In den Cyberversicherungen üblicherweise nicht versichert sind ein Personen- und Sachschaden, ein finanzieller Verlust als Folge gestohlener Immaterialgüter, der entstandene Reputationsschaden oder die Börsenverluste, wenn nach einem Angriff der Aktienpreis der betroffenen Unternehmung sinkt.
Marco Fischer, Leiter Cyberschaden, Die Mobiliar: «In der Regel empfehlen wir eine proaktive und nicht reaktive Kommunikation.» (Quelle: Die Mobiliar)
Kritiker führen an, dass Cyberversicherungen ein trügerisches Gefühl der Sicherheit vermitteln, das davon abhält, die IT-Sicherheit auf einen hohen Stand zu bringen: Was entgegnen Sie?
Seebeck: Vor dem Abschluss eines Versicherungsvertrages kann die Cyber-Maturität einer Unternehmung geprüft werden. Der Reifegrad der Cybersicherheit wird sich in der Regel auf die Konditionen des Versicherungsvertrages auswirken. Die Versicherungsverträge verpflichten zudem die Unternehmen zur Einhaltung und Implementierung technischer und organisatorischer Massnahmen zum Schutz von Daten und der IT-Infrastruktur. So werden die Unternehmen unter anderem zum Beispiel angehalten, die Software aktuell zu halten, Backups zu erstellen, ein Patchmanagement zu betreiben, Virenscanner und Firewalls zu installieren und die Mitarbeitenden regelmässig zu sensibilisieren. Die Unternehmen werden mit dem Abschluss eines Versicherungsvertrages angehalten, sich an den Grundsätzen eines IT-Grundschutzes zu orientieren und auf Präventionsmassnahmen hingewiesen. Die
Mobiliar beispielsweise bietet den Unternehmen ein umfassendes Sensibilisierungstraining an, das mit und ohne ein Versicherungsvertrag erworben werden kann. Die Bestrebungen der Versicherungsunternehmen tragen somit dazu bei, dass am Sicherheitsniveau der Unternehmen stetig weitergearbeitet wird.
Wie können sich Unternehmen also vorbereiten?
Fischer: Es braucht einen Notfallplan mit Handlungsstrategien, zugeschnitten auf die Gegebenheiten des Unternehmens, der in solchen Situationen angewendet werden kann. Denn ist ein Cyberangriff bereits im Gang, ist es zu spät zum Planen. Dann müssen alle Beteiligten wissen, was zu tun ist – und das möglichst schnell.
Sollten Unternehmen nach einem Vorfall proaktiv in die externe Kommunikation gehen oder abwarten?
Fischer: Jeder Fall ist einzigartig und die Kommunikation auf die effektiven Gegebenheiten anzupassen. Es gilt festzuhalten, dass die Kommunikation sowohl intern als auch extern ein wesentlicher Punkt in der Vorfallbewältigung und Reputationswahrung darstellt. In der Regel empfehlen wir eine proaktive und nicht reaktive Kommunikation. In vielen Fällen macht es Sinn, Kommunikationsspezialisten beizuziehen, wobei wir als Versicherer entsprechend mit Partnern unterstützen können.
Simon Seebeck, Leiter Kompetenzzentrum Cyber Risk, Die Mobiliar: «Die Bestrebungen der Versicherungsunternehmen tragen somit dazu bei, dass am Sicherheitsniveau der Unternehmungen stetig weitergearbeitet wird.» (Quelle: Die Mobiliar)
Was sind wiederum die gesetzlichen Vorgaben für die Kommunikation?
Fischer: Seit dem 1. September 2023 gilt eine gesetzlich vorgeschriebene Meldepflicht bei Cybervorfällen, wenn personenbezogene Daten betroffen sind und dadurch ein hohes Risiko für die Verletzung der Grundrechte oder der Persönlichkeit besteht. Je nach Fall sind Unternehmen sogar gezwungen, über den Vorfall zu informieren – einerseits die betroffenen Personen wie auch den eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten EDÖB. Sind Daten von im Ausland wohnhaften Personen betroffen, besteht zusätzlich eine Meldepflicht an die europäischen Datenschutzbehörden.
Wie ist Ihre Einschätzung: Wie gut sind Unternehmen auf die Folgen von Cyber-Angriffen vorbereitet?
Seebeck: Es ist nicht eine Frage ob, sondern lediglich wann ein Unternehmen direkt oder indirekt von einem Cyberangriff betroffen ist. Die Unternehmen unterscheiden sich aber darin, ob sie auf dieses Ereignis vorbereitet sind und wissen, wie sie sich je nach Art des Angriffs zu verhalten haben, auf welche Partner sie zurückreifen können und wie sie das Tagesgeschäft trotz eines Cyber-Ereignisses weiterführen können. Auf Basis der Ergebnisse der vierten KMU-Studie kann festgehalten werden, dass die Unternehmen das Thema Cyber als Risiko erkannt haben. Sie gehen weiter davon aus, dass diese Bedrohung sich auch in Zukunft entwickeln und weiter an Bedeutung gewinnen wird. Bei der Umsetzung der Massnahmen werden wiederum technische Massnahmen eher umgesetzt als die organisatorischen. Mit Blick auf die aktuelle Dichte an Krisen, wie Inflation, Fachkräftemangel, Kriege, unterbrochene Lieferketten, starker Schweizer Franken, neigen die Unternehmen aber dazu, das Thema nicht oder eher zurückhaltend anzugehen oder aber global an die IT-Dienstleister zu delegieren. Die Erkenntnis, dass Cybersicherheit ein dauerhafter Prozess ist und eine Kulturfrage darstellt, hat sich noch nicht überall durchgesetzt. Die organisatorischen Massnahmen verbleiben für die Umsetzung bei den Unternehmen und lassen sich nicht delegieren.
