Business Circle: Liebe Frau Mag. Keltner, in unserem letzten Interview im Juli 2023 haben wir unter anderem darüber gesprochen, dass man Cybersicherheit nicht anfassen kann. Was hat sich im letzten Jahr getan, sind Cyberattacken häufiger oder eher seltener geworden?
Kerstin Keltner: Cyberattacken nehmen weiterhin zu. Unsere internen Statistiken zeigen im Beobachtungszeitraum von Q1 2019 bis Q4 2023 einen Anstieg von 1.281% bei Ransomware-Angriffen. Eine aktuelle Sophos Studie zeigt auf, dass der Fokus der Angreifer derzeit in Europa liegt, wobei insbesondere auch Österreich zu einem der Länder zählt, in denen im Jahr 2024 die Angriffszahlen erneut gestiegen sind. Zu erkennen ist zudem ein Anstieg im Bereich der Schwachstellen, diese sind, gemäß dem aktuellen Lagebericht des BSI, im Jahr 2023 um 24% gestiegen. Eine Statistik von Check-Point-Research ergibt, dass sich die Verbreitung von Ransomware in Europa im Jahr 2024 zudem um 64% erhöht.
Doch nicht nur Cyberattacken stellen eine Gefahr im Cyberbereich dar. Der aktuelle Crowdstrike-Vorfall hat gezeigt wie verwundbar und abhängig die IT-Infrastruktur ist. Der Fehler eines Dienstleisters führt zu massenhaften Betriebsunterbrechungen weltweit. Dieser Vorfall ist ein Paradebeispiel dafür, dass ein Unternehmen beim Einkauf einer Cyberversicherung nicht nur an Cyberattacken sondern auch an andere logische Ursachen die einen Cybervorfall auslösen können denken sollte.
BC: Meinen Sie damit, dass dieser Vorfall in einer Cyberversicherung versichert ist?
Keltner: Ja, für Unternehmen – Mitausnahme von Unternehmen aus dem Bereich der kritischen Infrastruktur – gehört diese Deckung bereits zum Marktstandard und muss in einer Cyberversicherung inkludiert sein. Fehlt diese Deckung sollte man den Anbieter wechseln. Wir hoffen, dass der aktuelle Vorfall nicht dazu führt, dass diese Deckungen wieder vom Markt genommen werden und sind bereits in intensiven Gesprächen mit Rückversicherern und Erstversicherern um dies zu verhindern.
BC: Was sind denn noch typische Deckungselemente die in einer Cyberversicherung versichert sein sollten?
Keltner: Ein gutes Cyberversicherungsprodukt bietet eine Eigen- und Drittschaden-Komponente und versichert neben den Schäden verursacht durch Hackerangriffe und Datenoffenlegungen auch Schäden aufgrund von Bedienfehlern und technischen Problemen. Die Cyberversicherung bietet dem versicherten Unternehmen Zugriff auf professionelle Incident Response Dienstleister, IT-Forensiker, unabhängige Verhandler, Rechts- und PR-Experten. Neben diesem Experten-Netzwerk genießt der Versicherungsnehmer auch Versicherungsschutz für Erpressungs-Attacken und Betriebsunterbrechungsschäden, hierbei sind sowohl Entgeltfortzahlungen, Mehrkosten zur Aufrechterhaltung des Geschäftsbetriebes als auch der entgangene Gewinn versichert. Die Drittschaden-Komponente bietet Versicherungsschutz für Haftpflichtschäden Dritter bspw aufgrund der Weiterleitung von Schadensoftware oder der Datenoffenlegung.
Ein gutes Produkt sollte nicht nur die eigene IT-Infrastruktur sondern auch die ausgelagerte IT-Infrastruktur versichern. Hierbei geht es nicht darum den externen IT-Dienstleister mitzuversichern, sondern darum die Schäden die dem versicherten Unternehmen entstehen, selbst wenn diese beim externen Dienstleister eintreten, zu versichern. Die Auslagerung der IT-Infrastruktur darf den Versicherungsschutz der Cyberversicherung nicht obsolet machen.
BC: Und zahlt die Versicherung im Schadenfall denn nun wirklich?
Keltner: Ja, das tut sie. Wir haben bei Aon, Dank unserer globalen Präsenz schon eine sehr ausgereifte Schadenerfahrung und können unsere Kunden daher optimal im Schaden begleiten um die Versicherungsleistung sicherzustellen. Die professionelle Begleitung im Cyberschaden ist essentiell um die Durchsetzung der Versicherungsansprüche zu gewährleisten. Im Cyberschaden trifft den Kunden und die beteiligten Dienstleister, insbesondere wenn der Kunde nicht auf die Dienstleister des Versicherers zurückgreift, eine umfassende Dokumentationspflicht. Wenn dieser nicht nachgekommen wird, wird die Durchsetzung der Versicherungsleistung erschwert, im schlimmsten Fall wird diese sogar unmöglich. Aus diesem Grund kann ich nur jedem Unternehmen das eine Cyberversicherung eingekauft hat anraten, die Versicherung und den beauftragten Makler im Schadenfall eng einzubinden. Sollte der Makler keine Erfahrung im Cyberschaden aufweisen können, sollte man in dieser Sparte unverzüglich den Berater wechseln.
Ein effektives Notfallmanagement ist unerlässlich
BC: Je besser man sich vorbereitet, um so einfacher hat man es: Welches sollten die ersten Schritte sein, womit sollte ein Unternehmen beginnen, um mit wenig Aufwand die größten Risiken abzudecken?
Keltner: Mit einem ordnungsgemäßen Risiko-Assessment, nur wenn ich meine Risiken kenne, kann ich diese reduzieren. Auch in diesem Bereich kann die Cyberversicherung unterstützen. Die Fragen, die von den Risikoträgern vor der Eindeckung einer Versicherungslösung gestellt werden und die Maßnahmen die die Versicherer vorschreiben, resultieren immer aus der Schadenerfahrung der Risikoträger, ergo führen diese Maßnahmen dazu, den Eintritt eines Vorfalles zu verhindern. Ein derartiges Assessment mit einem professionellen Risiko- und Versicherungsberater durchzuführen wäre ein erster wesentlicher Schritt.
Des Weiteren sollten sich Unternehmen besser auf den Ernstfall vorbereiten und diesen im Zuge von Table-Top-Übungen durchspielen, um im Fall der Fälle rasch und koordiniert reagieren zu können. Ein effektives Notfallmanagement ist unerlässlich, um einen Cyberschaden zu mindern.
BC: Ist ein funktionierendes Notfallmanagement auch aus Sicht der Versicherer wichtig?
Keltner: Ja, im Zuge der Eindeckung wird dieser Punkt oftmals angefragt. Unternehmen die unter die Kategorie der großen Unternehmen fallen, können Versicherungsschutz nur beziehen, wenn Sie ein Notfallmanagement vorweisen können.
BC: Muss man in diesem Bereich nach dem Abschluss der Versicherung irgendetwas beachten?
Keltner: Die von der Versicherung angebotene Krisenunterstützung muss Bestandteil des eigenen Notfallmanagements werden. Das versicherte Unternehmen muss seine internen Abläufe anpassen und die Versicherung aktiv in das Notfallmanagement miteinbeziehen. Sollte dies nicht gewünscht sein, muss dies vorab mit dem jeweiligen Risikoträger geklärt werden. Wir informieren unsere Kunden im Zuge der Eindeckung immer über die ordnungsgemäße Vorgehensweise im Cyberschaden, mit unseren Kunden aus dem Großrisiko-Bereich führen wir sogar eigene Schaden-Workshops durch, um die ordnungsgemäße Abwicklung im Cyberschaden zu gewährleisten.
BC: Liebe Frau Mag. Keltner, wir danken Ihnen für dieses Gespräch und freuen uns, Sie bald zur PriSec zu begüßen!
Mag. Kerstin Keltner ist Cyber Risk und Insurance Expertin und seit 2022 als Director Financial Lines & Cyber bei Aon Austria tätig. Sie ist Lektorin an diversen Bildungseinrichtungen und Auditorin bei Austrian Standards, als Zertifizierungseinrichtung nach dem Code of Conduct für Versicherungsmakler und Berater in Versicherungsangelegenheiten. Im Rahmen der PriSec 2024 ist sie Gastgeberin eines Impulses & Espresso-Talks zum Thema: „Vom Incident bis zur Nachbereitung und der unternehmerischen Absicherung“