Aus Cyber-Schaden wird man klug

Die IT-Sicherheitslage spitzt sich zu. Die Bedrohung im Cyber-Raum ist so hoch wie nie. Das Resümee für 2022 des Bundesamtes für Sicherheit in der Informationstechnik, kurz BSI, ist verheerend. In den Privathaushalten sorgen Cyber-Kriminelle für Identitätsdiebstähle, Erpressungen und betrügerische Fake-Shops mittlerweile im großen Stil. Staat, Verwaltung und Wirtschaft leiden unter Ransomware und unsichere IT-Infrastrukturen. Schwer zu schaffen machen sogenannte ATP-Angriffe auf kritische Infrastrukturen und vertrauliche Daten in Behörden sowie in Groß- und Mittelstandsunternehmen. ATP steht für Advanced Persistent Threat, bzw. für fortgeschrittene andauernde Bedrohung, und ist sehr zutreffend gewählt.

Dementsprechend besorgt ist die Versicherungswirtschaft, die bereits 2021 auf eine Verdreifachung der Schadenquote in der Cyber-Versicherung und damit auf tiefrote Geschäftsergebnisse blickte. Für Versicherer kommen neben der wirtschaftlichen Bedrohung als Risikoträger noch die Cyber-Attacken auf das Unternehmen selbst hinzu. In einem bekannteren Fall hatten Cyber-Kriminelle bereits Erfolg. Von Versicherern gespeicherte, zum großen Teil vertrauliche Daten zu Personen, deren Adressen und sensible Kontoverbindungen sind in kriminellen Cyber-Kreisen sehr gefragt. Zusätzlich bergen digitale Archive lukrative Ziele für analog tätige Einbrecher-Kollegen inklusive Dokumentation vorhandener Einbruchssicherungen. Ähnlich verhält es sich im Versicherer-Archiv mit IT-Sicherheitsangaben zu den bestehenden oder ehemaligen Cyber-Versicherungen. Solche Risiken treffen ebenso die Institutionen und Branchen mit sicherheitsrelevanten Daten. Als sehr bedrohlich gelten unbemerkte ATP-Attacken, welche das digitale Tor für unauffällige Datenabflüsse über lange Zeiträume öffnen.

Vorbeugen ist besser als heilen

Die aktuelle Bedrohung durch den Ukraine-Krieg, der in der Cyber-Welt allem Anschein nach global bis hin zur Manipulation anstehender Wahlen und breit angelegter politischer Destabilisierung durch gezielte Desinformationen geführt wird, wirkt wie ein Katalysator. Eine Finanzierungsquelle für diese Aktivitäten ist Cyber-Kriminalität. Vor diesem Hintergrund kündigte beispielsweise die BaFin in ihrem Journal an, ein stärkeres Augenmerk auf das Risikomanagement der Versicherer zu legen. Wie in Behörden, den meisten Branchen und vielen Wirtschaftsbereichen nimmt die IT-Sicherheit mittlerweile einen vorderen Platz innerhalb des Risikomanagements ein. Erfolgreiche Cyber-Attacken bedrohen per se existenziell. Erst am Ende des Risikomanagements steht der Versicherungsschutz, wenn getroffene Managementmaßnahmen zur IT-Sicherheit versagen. Die Cyber-Policen übernehmen lediglich die Kosten für die Wiederherstellung der IT-Systeme. Verloren gegangene Kunden und Zulieferer oder die Vertrauensverluste in geschädigte Unternehmen können selbst üppige Versicherungssummen für Marketingmaßnahmen selten vollständig wieder bringen. Besser wirken Sicherheitsmaßnahmen und belastbare Pläne, um Attacken abzuwehren oder bei Angriffserfolg den Schadenumfang einzuhegen. Dann entfaltet eine Notfallschatulle wie die Cyber-Versicherung ihre Wirkung bestmöglich. BSI und GDV monieren, dass besonders kleine Betriebe zu wenig gegen Cyber-Gefahren unternehmen und die Sicherheitsnetze größerer Unternehmen zu weitmaschig gespannt sind. Die Cyber-Versicherer wenden sich deshalb verstärkt der vorbeugenden IT-Sicherheit zu.

Weiter auf Seite 2