Der stetige Anstieg von Cyberangriffen auf Unternehmen verdeutlicht die Dringlichkeit, sich adäquat gegen Cyberrisiken abzusichern. Während Cyberversicherungen spezifische Deckungen für Schäden durch Cybervorfälle bieten, wird jedoch oft fälschlicherweise angenommen, dass auch Vertrauensschaden- oder D&O-Versicherungen hinreichenden Schutz gegen diese Risiken gewähren. Hierbei handelt es sich um einen folgenschweren Trugschluss, der für den Versicherungsnehmer empfindliche Einbußen bedeuten kann.
Obwohl die Zahl der Cybervorfälle stark steigt, gehen die Preise im globalen Cyberversicherungsmarkt zurück, zeigt ein aktueller Marktbericht des Großmaklers Aon. Das liege am zunehmenden Wettbewerb, der nicht nur zu sinkenden Preisen, sondern auch zu Innovationen bei den Versicherungsbedingungen und im Risikomanagement führt. Laut Aon könnten neue Angriffsszenarien jedoch zu größeren Schäden führen und den Markt schnell wieder verhärten. Der Makler warnt zudem vor schweren Reputationsrisiken, die zum Einbruch der Aktienkurse führen können.
Exklusiv Der IT-Sicherheitsspezialist DGC AG, der den insolventen Cyberassekuradeur Cogitanda übernommen hat, wird mit gestohlenen Daten der früheren Cogitanda Dataprotect AG erpresst. Die Kriminellen fordern eine höhere Summe für den Verzicht auf den Verkauf oder die Veröffentlichung. Die DGC hat Behörden und Vertriebspartner in Kenntnis gesetzt, die wiederum die Kunden informieren sollen. Der Versicherungsmonitor hat mit der DGC-Geschäftsführung um Matthias Nehls über den Vorfall gesprochen.
Rund 60 Prozent der deutschen Unternehmen berichten über häufigere Cyber-Angriffe als im Vorjahr. Das geht aus dem Cyber Readiness Report 2024 von Hiscox hervor. Der Spezialversicherer hat dafür weltweit 2.150 Experten befragt. Doch nicht nur die Zahl der Angriffe steigt, auch die Methoden der Cyber-Kriminellen verändern sich. Immer mehr Firmen haben das Thema Cyber-Resilienz als wichtiges Ziel erkannt, auch wenn die Umsetzung noch nicht ganz so glatt läuft.
Die Besorgnis über Cyber-Risiken in Unternehmen nimmt ab. In Deutschland ist ein Großteil der Führungskräfte der Meinung, dass ihre bestehenden Schutzmaßnahmen ausreichen, um einen Cyber-Angriff abzuwehren. Das ergab eine Umfrage unter 3.500 Führungskräften, die das Marktforschungsunternehmen Opinion Matters im Auftrag des Spezialversicherers Beazley durchgeführt hat. Nach Ansicht von Beazley unterschätzen Unternehmen die sich rasch entwickelnde Technologie und die damit verbundenen Gefahren.
Mehr als die Hälfte der Unternehmen in Deutschland, Österreich und der Schweiz (DACH-Region) sind mittlerweile gegen Cyber-Risiken versichert. Zu diesem Ergebnis kommt das IT-Sicherheitsunternehmen Arctic Wolf in einer aktuellen Umfrage. Einige der befragten Unternehmen seien aber aufgrund der hohen Prämien und der verschärften Sicherheitsanforderungen noch zurückhaltend, wenn es um den Abschluss einer Police geht.
Wenn Cyberkriminelle sensible Unternehmensdaten abgreifen und Lösegeld fordern, sollten Unternehmen gut vorbereitet in die Verhandlungen gehen, sagte Jannik Stuckstätte vom Assekuradeur Stoïk auf einer Veranstaltung des Deutschen Anwaltvereins in Berlin. Wer die wichtigsten Fragen vor der Kontaktaufnahme klärt, kann Schlimmeres verhindern und die geforderte Summe häufig senken – nach Erfahrungen von Stoïk durchschnittlich um die Hälfte. Er empfiehlt dafür die Zusammenstellung eines handlungsfähigen Teams und ein professionelles Vorgehen.
Der US-Krankenversicherer United Health hat Lösegeld in Höhe von 22 Mio. Dollar an eine Hackergruppe gezahlt. Konzernchef Andrew Witty bestätigte die Zahlung jetzt vor dem Finanzausschuss des US-Senats. Betroffen war das Tochterunternehmen Change Health, das für digitale Lösungen in der Zahlungsabwicklung und bei elektronischen Rezepten zuständig ist.
Auch Unternehmen, die sich in Sachen IT-Sicherheit gut aufgestellt sehen, sollten sich nicht auf ihren Lorbeeren ausruhen. Sie müssen sich in dieser Frage immer wieder hinterfragen und für den Ernstfall die besten Dienstleister zur Hand haben. Das sagte Robert Drexler, Leiter der Cyber-Einheit beim Makler Ecclesia, auf dem Ecclesia-Symposium 2024 in Köln. Drexler weiß, wovon er spricht: Die Ecclesia-Tochter Schunck in München ist im Oktober 2023 Opfer eines Hackerangriffs geworden.
Wochenspot – der Podcast Regelmäßig gibt es den Versicherungsmonitor auch zum Hören. In dieser Ausgabe sprechen Redakteurin Katrin Berkenkopf und Chefredakteurin Friederike Krieger über die unappetitlichen Aspekte des Wirtschaftsleben: die Wirecard-Pleite und die damit verbundenen Klagen gegen D&O-Versicherer sowie über die Professionalisierung von Cyber-Lösegelderpressern.
Bei Ransomware-Attacken verlangen Cyberkriminelle oft Lösegeld von Unternehmen für die Entschlüsselung der Firmen-Daten und drohen, die Informationen bei Nicht-Zahlung auch noch im Darknet zu veröffentlichen. Wenn die Existenz des Unternehmens auf dem Spiel steht, führt manchmal kein Weg daran vorbei, den Forderungen nachzukommen. Ob Versicherer diese Lösegelder erstatten sollten oder es sogar müssen, ist ein heiß diskutiertes Thema, wie bei einer Cyber-Tagung in Köln deutlich wurde.
Der Versichererverband GDV hat die Chance vertan, die Versicherbarkeit von Lösegeldzahlungen nach Ransomware-Angriffen bei der Neuformulierung seiner Musterbedingungen aufzunehmen, kritisiert der Gesamtverband der versicherungsnehmenden Wirtschaft (GVNW). Nicht glücklich sind die Versicherungseinkäufer auch mit der Ausweitung des Kriegsausschlusses. Der Verband hebt aber auch Verbesserungen hervor und rät Versicherungsnehmern, auf die Übernahme der vorteilhafteren Klauseln zu pochen.
The Long View – Der Hintergrund Bei Cyberangriffen verlangen die Kriminellen meist Lösegeld für das „Auftauen“ schockgefrorener Systeme. Es gibt eine intensive Diskussion darüber, ob überhaupt Lösegeld gezahlt werden darf und wenn ja, an wen. Hier stehen vor allem das Strafrecht und Probleme mit EU-Sanktionen im Fokus. Dabei sollte sich der Diskurs auch um die Frage drehen, wer die Beweislast trägt. Denn darauf kommt es am Ende an.
Die Zahl der Cyberangriffe auf Unternehmen steigt weiter, die Kosten für die Angriffe gehen allerdings leicht zurück. Das ergab der aktuelle Cyber Readiness Report des Spezialversicherers Hiscox, für den er rund 5.000 Fachleute befragt hat. Auch die Erfahrungen von Unternehmen mit Ransomware-Angriffen wurden erhoben. Für Hiscox ergibt sich daraus der klare Schluss: Lösegeld zahlen lohnt sich nicht.
