Versicherungsbote: Herr Klemm, laut Ihrem Report stammen 88,7 % der im Darknet gefundenen Zugangsdaten aus historischen Aggregationen und tauchen immer wieder auf. Wenn Daten über Jahre im Umlauf bleiben und systematisch neu verpackt werden, wie lässt sich ein solches „Dauerrisiko“ überhaupt noch versicherungstechnisch in einer klassischen Jahrespolice abbilden?

Anzeige

Vincenz Klemm: Sie sprechen da genau den wunden Punkt der traditionellen Versicherungsbranche an. Ein statisches Risiko lässt sich mit einer statischen Jahrespolice absichern. Ein dynamisches Risiko lässt sich deutlich schwieriger kalkulieren oder kontrollieren. Wir betrachten daher Cyberversicherung nicht als reinen Risikotransfer, der erst greift, wenn ein Schaden passiert ist. Um die Schadenquote bei einer so volatilen Bedrohungslage stabil zu halten, kombinieren wir den klassischen Versicherungsschutz untrennbar mit kontinuierlicher, aktiver Prävention. Durch die Kombination aus regelmäßigen Schwachstellen-Scans der digitalen Infrastruktur und unserem Dark Web Monitoring verwandeln wir die starre Jahrespolice in ein dynamisches Schutzschild. Durch diese permanente Risikominimierung in Echtzeit bleibt das Cyber-Risiko für uns als Assekuradeur kalkulierbar und die Schadenquote für das gesamte Portfolio unter Kontrolle.

Ihre Scans offenbaren ein massives Gefälle bei der Patch-Disziplin: Unternehmen unter 1 Million Euro Umsatz weisen mit 12,7 % mehr als doppelt so viele kritische Schwachstellen auf wie Konzerne mit über 100 Millionen Euro Umsatz (6,23 %). Was raten Sie kleineren Unternehmen, wie sie ihre Patch-Disziplin verbessern können?

Kleinere Unternehmen müssen ihre Patch-Disziplin dringend verbessern. Der erste Schritt dazu ist ein lückenloses Inventar an Systemen, Geräten und Softwarelizenzen, denn man kann nur schützen, was man auch kennt. Da Ressourcen meist knapp sind, ist anschließend eine risikobasierte Priorisierung entscheidend. Schwachstellen mit hohem CVSS-Score müssen zuerst aktualisiert werden, da hier das Risiko einer Kompromittierung am größten ist.

Zur Entlastung der Belegschaft sollte für Standardsoftware wie Betriebssysteme und Browser ein automatisches Deployment eingerichtet werden. Zudem braucht es verbindliche Regeln: Ein klares SLA sollte festlegen, dass kritische Schwachstellen binnen 72 Stunden geschlossen werden. Fehlen im Betrieb die eigenen IT-Kapazitäten, hilft meist der Weg zu einem externen Managed Service Provider (MSP), dem diese Patch-Pflichten vertraglich fest vorgeschrieben werden.

Ihr Head of Cybersecurity, Andrew Saula, betont im Report, dass bei automatisierten Credential-Stuffing-Angriffen die Komplexität eines Passworts völlig irrelevant ist, wenn MFA fehlt. Wenn die Lösung so simpel ist: Warum machen Versicherer MFA nicht flächendeckend zur harten, unverhandelbaren Obliegenheit für jede Deckungszusage, unabhängig von der Betriebsgröße?

Wir haben unser Cyberversicherungsprodukt Cyber Safe zuletzt umfassend weiterentwickelt – angefangen beim gesamten Antragsprozess über das Bedingungswerk bis hin zur Bepreisungslogik der Risiken.

Im Zuge dieser Modernisierung haben wir sehr genau analysiert, welche konkreten Sicherheitsmechanismen in der Praxis tatsächlich zum Erfolg führen. Eine wesentliche Erkenntnis daraus ist: Die Multi-Faktor-Authentifizierung (MFA) ist ein entscheidender Hebel für die IT-Sicherheit.

Das spiegelt sich nun auch direkt in unserem Cyber Safe-Produkt wider: Unternehmen mit einem Umsatz von bis zu 100 Millionen Euro, die MFA konsequent einsetzen, profitieren ab sofort von einer zweifachen Maximierung der Versicherungssumme sowie von erhöhten Sublimits bei erpressungsbedingten Zahlungen und Belohnungsaufwendungen. Damit honorieren wir konsequent dort, wo Sicherheit für das Unternehmen messbar entsteht.

Gleichzeitig bleibt unser Ansatz partnerschaftlich: Wir wollen keine unverhandelbaren technischen Obliegenheiten oder starren Barrieren aufbauen.

Ihr Report zeigt eine paradoxe Schwachstelle bei Großunternehmen über 100 Millionen Euro Umsatz auf: 46 % führen keine Phishing-Simulationen durch, obwohl Business Email Compromise (37 %) und First-Party Losses wie Phishing (39 %) die Hauptursachen für finanzielle Schäden sind. Unterschätzen ressourcenstarke Konzerne den Faktor Mensch zu sehr?

Investitionen in hochentwickelte Tools wie EDR, SIEM-Systeme oder umfassende Zero-Trust-Architekturen sind zwar absolut essenziell, sie erzeugen in der Praxis jedoch viel zu oft ein trügerisches Gefühl digitaler Unverwundbarkeit. Man wiegt sich in Sicherheit und vergisst, dass keine Software der Welt lückenlos vor psychologisch raffiniert aufgebauten Angriffen schützen kann. Der Mensch bleibt für Cyberkriminelle schlichtweg ein verlässlicher Angriffsvektor. Da kontinuierlich neue Sicherheitslücken entstehen und die Methoden für fortschrittliches Phishing immer ausgefeilter werden, greifen rein technische Barrieren oft zu kurz. Wo die Technik versagt, entscheidet allein die Wachsamkeit des Angestellten – und genau diese wird leider häufig vernachlässigt.

Erschwerend kommt hinzu, dass sich die Bedrohungslage durch den rasanten Einzug künstlicher Intelligenz fundamental verändert hat. Durch KI sind Cyberattacken heute so hochgradig personalisiert und authentisch, dass sie von herkömmlichen Sicherheitsfiltern kaum noch abgefangen werden können. Beim modernen Spear Phishing generiert die KI perfekt auf das Opfer zugeschnittene Betrugsmails, die im normalen Arbeitsalltag optisch und sprachlich nicht mehr als solche zu erkennen sind. Sogar Deepfake-Audio wird bereits eingesetzt, um Stimmen von Vorgesetzten oder Geschäftspartnern täuschend echt zu imitieren und so kritische Freigaben zu erzwingen. Wenn Cyberkriminelle dann noch über die Lieferkette angreifen und kompromittierte Accounts von externen Dienstleistern nutzen, werden rein interne Awareness-Maßnahmen komplett umgangen. Wir bieten unseren Versicherungsnehmern daher regelmäßig kostenlose Phishing-Simulationen und Awareness-Trainings an, um die Mitarbeiter für die Gefahren zu sensibilisieren.

Bei der Analyse von 245 realen Ransomware-Fällen zeigen Sie, dass Erstforderungen oft über der Millionen-Dollar-Marke liegen. Gleichzeitig sank der Endpreis durch den Einsatz von Incident-Response-Experten im Schnitt um 51 %. Dennoch zahlten 77 % der betroffenen Unternehmen letztlich überhaupt kein Lösegeld, weil Backups funktionierten. Ist die Angst vor Ransomware in der Öffentlichkeit größer als das reale Risiko, wenn das Krisenmanagement stimmt?

Die Zahlen zeigen vor allem eines: Ein professionelles Krisenmanagement und eine saubere Vorbereitung wirken. Unternehmensverantwortliche dürfen dennoch die Bedrohung durch Ransomware in keinem Fall unterschätzen. Ransomware ist und bleibt eines der gefährlichsten digitalen Risiken unserer Zeit. Selbst wenn dank funktionierender Back-ups kein Lösegeld gezahlt wird, darf man den eigentlichen Schaden nicht übersehen: Die Betriebsunterbrechung. Wenn Bänder stillstehen, Lieferketten reißen oder digitale Dienstleistungen über Tage oder Wochen ausfallen, entstehen schnell finanzielle Schäden, die für Unternehmen schlicht existenzbedrohend sind. Hier greift dann die Cyberversicherung, um den finanziellen Schaden aufzufangen, aber unser Anliegen und das unserer Kunden ist es es gar nicht erst zum Schaden kommen zu lassen. Bei Ransomware-Attacken liegt die Angriffsfrequenz unserer Kunden um 77 % unter dem Marktdurchschnitt. Das reale Risiko lässt sich also massiv senken – aber eben nur, wenn man Prävention, Abwehr und Krisenmanagement als kontinuierliche, ineinandergreifende Aufgabe versteht.