Regelmäßig fragt der Spezialversicherer Hiscox bei internationalen Unternehmen nach, welche Erfahrungen sie mit Cyberattacken gemacht haben - und wie sie sich davor schützen. So auch im Coronajahr 2020. Die positiven Erkenntnisse: Immer mehr Unternehmen treffen Vorkehrungen, damit es gar nicht erst zu einer erfolgreichen Hackerattacke kommt. Die negativen: Hat ein Angriff Erfolg, steigen die Schadenkosten immer mehr.

Das gilt besonders für Deutschland. Zwar sank die Zahl der Unternehmen, die binnen zwölf Monaten mindestens einen Cyberschaden zu beklagen hatten, von 61 Prozent auf 41 Prozent. Jedoch explodierten die Schadenkosten. Im Schnitt mussten in Deutschland knapp 72.000 Euro aufgewendet werden, um einen einzelnen Schaden zu beheben. Ein Jahr zuvor waren es noch 9.000 Euro.

Damit ist Deutschland ein Kostenspitzenreiter. Denn über die Ländergrenzen hinweg entstanden den befragten Firmen „nur“ Kosten von durchschnittlich 51.200 Euro pro Cybervorfall. Doch auch hier geht der Trend in Richtung Teuerung. Noch in den Jahren 2018 und 2019 bezifferten sich die durchschnittlichen Kosten je Cyber-Attacke auf 9.000 Euro: ein Plus von sagenhaften 469 Prozent. Befragt wurden Entscheider unterschiedlicher Branchen in den Staaten Deutschland, Belgien, Frankreich, Irland, Spanien, Niederlande, Großbritannien und den USA.

Wiederholte Hackerangriffe

Dabei werden die betroffenen Firmen keineswegs nur einmal Ziel einer Cyberattacke. Erstmals bat Hiscox die teilnehmenden Firmen, die Anzahl ihrer Cyber-Angriffe und -Schäden zu quantifizieren. Unter denjenigen, die über einen Cyber-Zwischenfall der einen oder anderen Art berichteten, lag die mittlere Anzahl bei 50. Der Median lag bei 15 Schäden. Belgische und deutsche Firmen waren die Hauptziele, mit Medianwerten von 100 bzw. 80 Angriffen.

Steigende Kosten, eine hohe Zahl an Angriffen: Das führt auch dazu, dass sich immer mehr Versicherer fragen, zu welchen Bedingungen sie Cyber-Policen anbieten können. „Wenn man Cyberversicherungen in einen größeren Kontext stellt mit den Kosten für Vertrieb, IT und Systemumstellungen, dann gibt es bei vielen Versicherern vermutlich noch keinen Payback“, sagt Jan-Oliver Thofern, Deutschland-Chef beim Spezialmakler Aon, dem „Handelsblatt“. Das gelte auch, weil in Coronazeiten die Zahl der Attacken gestiegen soll, wie das Magazin berichtet. Der Hiscox-Report gibt noch weitestgehend den Stand vor der Krise wieder, als noch nicht so viele Menschen im Homeoffice arbeiteten. In den letzten Monaten sei es aber verstärkt zu massiven Schäden und gar Totalausfällen gekommen: in Behörden, Unternehmen und Schulen.

Ein Beispiel ist die Funke Mediengruppe, die im Dezember 2020 Ziel einer solchen Attacke wurde, kurz vor Weihnachten. Die IT-Systeme mussten komplett runtergefahren werden, kein Telefon und kein PC konnten regulär genutzt werden: nach WDR-Recherchen forderten die Angreifer Lösegeld in Form von Bitcoins. Redaktions- und Drucksysteme konnten nicht genutzt werden, Abonnenten nicht betreut. Zwölf Regionalzeitungen, darunter die „Berliner Morgenpost“ und das „Hamburger Abendblatt“, konnten nur in abgespeckten Notausgaben erscheinen. Es dauerte fast einen Monat, bis man wieder in den normalen Arbeitsrhythmus zurückkehren konnte. Eine Schadensumme ist noch nicht bekannt.

Ein Ergebnis könnte sein, dass Versicherer ihre Bedingungen überarbeiten: Deckungssummen deckeln, Ausschlüsse für bestimmte Risiken definieren, strengere Obliegenheiten. Die Versechsfachung der Schadensummen könne schließlich nicht mit einer Versechsfachung der Prämien abgefangen werden, sagt Robert Dietrich, Managing Director Germany bei Hiscox, dem „Handelsblatt“.