„Conti”, „Hafnium”, „Armada Collective” - was wie ein Blick in die Charts anmutet, sind Namen von internationalen Hackergruppen, die eines gemeinsam haben: Sie versuchen mittels durch Hintertüren eingeschleuster Schadsoftware sensible Unternehmens- und Kundendaten abzugreifen und gegebenenfalls zu verschlüsseln, um anschließend Lösegeld zu erpressen.

Die Folgen sind beim erfolgreichen Angriff dramatisch: Die Unternehmen müssen ihre gesamte Produktion stoppen, der Imageverlust ist immens, das Vertrauen ins Unternehmen und in die Produkte sinkt. Was viele Geschäftsführer zudem unterschätzen: Auch die Organe einer Gesellschaft können für die Folgen eines IT-Sicherheitsvorfalls haftbar gemacht werden.

Deutschland im Fokus

Über 9.000 Microsoft Exchange Server waren dem Bundesamt für Sicherheit in der Informationstechnologie (BSI) in Bonn zufolge allein in Deutschland betroffen. Zwar wurden zügig Patches bereitgestellt, um die Lücken zu schließen, aber in vielen Fällen war es bereits zu spät. Die Hintertüren waren erstellt, die Schadsoftware möglicherweise schon installiert.
Wie sollten Versicherungsmakler in der aktuellen Situation vorgehen, um als Sachwalter des Vermögens ihrer Kunden richtig zu agieren? Die Antwort lautet: „Engagieren, aufklären, beraten, überzeugen”.

Schritt 1: Engagieren

Für viele Unternehmen sind die Themen „Cybersicherheit”, „Cyberattacken” und „Cyberversicherungen” noch immer neu. Dies gilt ebenso für viele Makler. Verschaffen Sie sich zunächst einen Überblick: Setzen Sie Google-Alerts, abonnieren Sie die relevanten Newsletter, hören Sie die relevanten Podcasts. Sie müssen nicht bei Null anfangen – wir stehen hier bereits auf den Schultern von Riesen.

Schritt 2: Aufklären

Ausmaß und Häufigkeit von Cyber-Attacken werden durchweg unterschätzt. Klären Sie Ihre Firmenkunden darüber auf, dass Cyber-Risiken ebenso für jedes Unternehmen unausweichlich sind. Ziehen Sie aktuelle Beispiele von Cyber-Schadensfällen aus den Medien hinzu, welche zum Beispiel Unternehmen aus der gleichen Region oder Branche betroffen haben. Stellen Sie unmittelbare Folgen sowie finanzielle Konsequenzen eines Cyber-Angriffs in Form von Worst-Case-Szenarien dar.

Schritt 4: Beraten

Stellen Sie Ihrem Kunden die Möglichkeit des Risikotransfers als eine weitere und ergänzende Maßnahme zu bestehenden IT-Sicherheitsstrukturen vor. Reden Sie Klartext: Eine Cyber-Versicherung kann Ihren Kunden nicht vor einem Hackerangriff schützen. Sie schützt aber sehr wohl vor den zumeist gravierenden finanziellen Folgen, die sich zwangsläufig aus Cyber-Attacken ergeben. Beraten Sie Ihre Kunden, welche Leistungen die Versicherung übernimmt, wenn der Betrieb aufgrund eines Hackerangriffs mehrere Wochen stillsteht. Spielen Sie mit Ihrem Kunden das Szenario einer schwerwiegenden Cyber-Attacke durch und erläutern Sie auf diesem Wege, wie die Versicherung das Unternehmen bei der Bewältigung des Schadensfalls entlasten kann.

Schritt 5: Überzeugen I

Im Fall der Fälle sind durch die Cyber-Versicherung die notwendigen Aktionen und Folgen eines Cyber-Angriffs finanziell abgedeckt. Zudem bieten professionelle Dienstleister im Wege der Assistance-Leistungen, die ein Unternehmen nicht selbst stemmen kann, wie z.B. Incident Response und IT-Forensik. Leider hat es im deutschsprachigen Raum infolge eines Cyber-Angriffs auch schon Insolvenzen gegeben. Erläutern Sie den Entscheidern, dass auch schuldhaftes Unterlassen im Zusammenhang mit IT-Sicherheitsstrukturen, Risikomanagement, Notfallplänen und Prävention zu einem Haftungsrisiko für die Organe der Gesellschaft werden kann.

Schritt 6: Überzeugen II

Die Bedrohung einer Cyber-Attacke ist real und die Verantwortlichen müssen hierfür sensibilisiert werden. Auch ordnungsgemäß geführte Unternehmen mit etablierten Sicherheitsstrukturen sind diesen Risiken ausgesetzt. Die Microsoft Exchange Sicherheitslücke und über 9.000 vom BSI bestätigte Server-Kompromittierungen haben dies im März 2021 eindrucksvoll bewiesen. Das „ob” ist also gar nicht mehr die Frage, sondern das „wann” - und wie das Unternehmen darauf vorbereitet ist. Es ist Ihre Chance und gleichzeitig Ihre Pflicht, Firmenkunden auf die Absicherung dieser Risiken anzusprechen.

Über den Autor:
Hanno Pingsmann ist Geschäftsführer von CyberDirekt mit Sitz in Berlin. Der Cyberexperte hat CyberDirekt im Mai 2017 als erste digitale Beratungsplattform für den Abschluss von Cyberversicherungen für Makler gegründet - Zielgruppe KMU. CyberDirekt bietet derzeit einen Vergleichsrechner für Cyberversicherungen von 14 Versicherungsgesellschaften an. Mit dem Abschluss einer Cyberversicherung über CyberDirekt erhält der Versicherungsnehmer die ideale Cyberversicherung für sein Unternehmen. Zusätzlich bietet CyberDirekt ein umfassendes kostenfreies Präventionspaket. Dieses beinhaltet ein selbst entwickeltes Security Awareness Training für den Versicherungsnehmer und seine Mitarbeiter sowie weitere Präventionsleistungen wie den Websecurity-Check und den Phishing-Simulationstest.