Zum Inhalt springen

Cyberkriminalität Cyberversicherungen helfen KMU – bezahlen aber auch die Angreifer

Versicherungen spielen eine wichtige Rolle im Schutz vor Cyberangriffen. Doch die Risiken könnten bald untragbar werden. Dazu tragen auch die Versicherungen selbst bei, denn die meisten decken auch Lösegeldzahlungen.

Cyberversicherungen boomen seit einigen Jahren in der Schweiz. Und das mit gutem Grund: Die Anzahl Cyberangriffe nimmt stetig zu. Mehr als ein Drittel der Schweizer Unternehmen hat bereits einen Cyberangriff erlebt.

Gleichzeitig bleibt der Schutz in KMU gering. Eine aktuelle Studie hat gezeigt, dass es in den letzten zwei Jahren kaum Fortschritte in Punkto Sicherheit gab. Immerhin: Mehr Unternehmen sind sich des Risikos bewusst und schliessen eine Cyberversicherung ab.

Cyberversicherungen im Dilemma

Im Falle eines Cyberangriffs ist der finanzielle Schaden oft riesig. Nach einem Ransomware-Angriff dauert die Wiederherstellung der Systeme in der Regel einen Monat und kostet Schweizer Unternehmen im Schnitt anderthalb Millionen. Gerade für kleinere Unternehmen kann das lebensbedrohlich sein.

Das leistet eine Cyberversicherung

Box aufklappen Box zuklappen

Bei einem Cyberangriff fallen für ein Unternehmen viele Kosten an, die eine Cyberversicherung deckt.

  • Während die IT nicht funktioniert, entstehen Ertragsausfälle, etwa weil nicht produziert werden kann oder weil der Online-Shop geschlossen ist. Diese Ausfälle deckt die Versicherung.
  • Um die Systeme und Daten wiederherzustellen, müssen meist Profis hinzugezogen werden. Auch das bezahlt die Versicherung. Die meisten Versicherungen decken auch allfällige Lösegeldzahlungen.
  • Falls Kundendaten gestohlen werden, können Kunden klagen. Die Versicherung, zahlt berechtigte Forderungen und wehrt unberechtigte Ansprüche ab.
  • Die Versicherungen unterstützen meist auch im Krisenmanagement: Sie zahlen IT-Forensiker, juristische Beratung und PR-Agenturen.

Da es aber immer mehr Angriffe gibt, steigen die Kosten für die Versicherung: Die Prämien und Selbstbehalte steigen. Auch die Anforderungen an die IT-Sicherheit in Unternehmen werden immer strenger. Will man eine Versicherung abschliessen, muss man zum Beispiel zeigen, dass man regelmässig Softwareupdates durchführt und Back-Ups erstellt.

Cyberversicherung investieren auch in die Prävention: Die meisten bieten Schulungen für Mitarbeiter an, verschicken Updates zu Sicherheitsbedrohung oder stellen den Unternehmen im Ernstfall Spezialisten zur Verfügung, um den Angriff abzuwehren und um Schwachstellen zu schliessen.

Die Sache mit dem Lösegeld

In die Schweiz decken die meisten Cyberversicherungen auch Lösegeldzahlungen ab. Das ist zwar legal, aber kurzsichtig, denn damit finanzieren sie die kriminellen Organisationen.

Die Angriffe werden deswegen häufiger und ausgefeilter. Das Risiko für Unternehmen steigt, und damit wird auch die Versicherung immer teurer. Wenn das so weitergeht, wird das Risiko irgendwann nicht mehr versicherbar sein.

Hand, die physische Bitcoin-Münzen hält
Legende: Spezialisten raten davon ab, Lösegeld zu zahlen. Man unterstützt die Cyberkriminellen, man erhält seine Daten nur in etwa der Hälfte der Fälle zurück, und man erhöht die Wahrscheinlichkeit, gleich noch einmal angegriffen zu werden. Colourbox

Wenn Lösegeldzahlungen oder die Versicherung von Lösegeldzahlungen nicht erlaubt wäre, würden vermutlich weniger Unternehmen bezahlen. In den USA ist es seit kurzem nicht mehr erlaubt, Lösegeld zu zahlen, wenn die Organisation auf einer Sanktionsliste steht (was oft der Fall ist) – in der Folge ist die Summe der bezahlten Lösegelder im letzten Jahr um weltweit rund 40% gesunken.

Wie weiter?

Der Trend scheint klar: Cyberangriffe werden immer häufiger. 2022 gab es in der Schweiz 60% mehr Angriffe als noch im Jahr zuvor. Ins Visier geraten immer öfter auch Schweizer KMU, bei denen die IT-Sicherheit seit Jahren auf tiefem Niveau stagniert. Wenn es so weitergeht, werden Cyberversicherungen immer teurer, bis das Risiko irgendwann gar nicht mehr versicherbar ist.

Bei systemischen Cyberrisiken müsste der Staat eingreifen, meint der CEO der Zurich Versicherung

Lösegeldzahlungen beschleunigen diese Entwicklung. Während das Problem zum Beispiel in den USA, in Deutschland und Frankreich öffentlich diskutiert wird, ist es in der Schweiz kaum ein Thema.

Möglicherweise findet aber in der Versicherungsbranche selbst ein Umdenken statt. Die Mobiliar bietet bereits heute keine Lösegeldabdeckung an, und die AXA zahlt nur, wenn die Daten wirklich nicht wieder herstellbar sind – bisher habe sie noch nie Lösegeld zahlen müssen, teilt die Medienstelle mit.

Cyberangriffe gegen Firmen – Das müssen Sie wissen

Radio SRF 1, Donnerstag 26.1.2022 16:40

Meistgelesene Artikel