KI versichert

Cyberversicherungen decken technische Vorfälle ab, oft aber nicht moderne Betrugsformen. Welche neuen Strategien und Maßnahmen braucht es zur Risikoabsicherung? Ein Kommentar von Kerstin Keltner, Aon Austria.

Die Cyberversicherung wird in der Außenwirkung oft als Allzweckmittel gegen jegliche Gefahr aus dem Cyberspace erachtet. Dieser Eindruck kann bei genauer Betrachtung aber nicht bestätigt werden. Die Cyberversicherung bietet einen umfangreichen Versicherungsschutz und versichert sogar Schäden durch technische Probleme und Bedienfehler. Im Bereich Cyber-Betrug hält die Versicherungsdeckung aber oftmals nicht das, was die Überschrift verspricht.

Cyberbetrug gehört bereits zum Alltag

Betrugsfälle unter Verwendung von elektronsicher Kommunikation sind heutzutage leider üblich, in unserem Haus begleiten wir aktuell 6 derartiger Schadenfälle. Wöchentlich melden sich unsere Kunden und berichten darüber, dass Sie Opfer einer Betrugsattacke geworden sind. Nur in wenigen Fällen gelingt es die Gelder rechtzeitig einzufrieren und zurückzuholen. Die Täter geben sich dabei entweder als Geschäftsführer aus (Fake President Fraud), senden gefälschte Rechnungen oder bestellen als vermeintlich rechtmäßige Kunden Waren und begleichen nach der Lieferung die Rechnungen nicht. Durch die Verwendung von KI-Tools wird die Durchführung von Betrugskampagnen für die Angreifer zudem immer leichter und die klassischen Mittel zur Erkennung derartiger Attacken helfen nicht mehr. Konnte man früher gefälschte Rechnung oftmals noch am Wortlaut und der Satzstellung erkennen, ist das heutzutage nicht mehr der Fall. Die Formulierung von Betrugsmails ist heutzutage einwandfrei und die Betrüger fälschen sogar vollmachten von Anwaltskanzleien oder verwenden Tools zur Stimmnachahmung. Unternehmen müssen sich aufgrund der raschen Entwicklungen in diesem Bereich ganz neuen Herausforderungen stellen. Ich sage meinen Kunden immer, dass wir aktuell in eine Ära der Paranoia eintreten, wir müssen beginnen alles zu hinterfragen und können oftmals nicht mal unseren eigenen Augen trauen. Der Fall Arup im Jahr 2024 in Hongkong hat das bestehende Risiko auf drastische Weise aufgezeigt. In diesem Fall wurde mittels KI ein Video-Deepfake durchgeführt und ein Mitarbeiter des betroffenen Unternehmen war der Überzeugung, dass er mit dem CFO und zwei weiteren, ihm im realen Leben bekannten Personen per Videocall agiert. Basierend auf der Täuschung hat der Mitarbeiter für ein Geheimprojekt ca 25,6 Millionen USD an die Betrüger überwiesen.

Auch wir haben in unserem Portfolio bereits Schadenfälle unter Verwendung von KI-Tools für die Sprachnachahmung. Der betroffene Mitarbeiter erhält dann einen täuschend echt klingenden Anruf vom Geschäftsführer und wird zur Auszahlung von Geldern verleitet.

Eingriff in das IT-System

Die meisten Cyberversicherungsprodukte bieten in all diesen oben genannten Fällen keinen ausreichenden Versicherungsschutz. Dies ist dem geschuldet, dass in der Cyberversicherung grundsätzlich ein Eingriff in die IT-Landschaft des versicherten Unternehmens vorliegen muss. In den genannten Fällen liegt dieser Eingriff aber grundsätzlich nicht vor. Die Betrüger machen sich nicht die Arbeit, um in das IT-System des Opfers einzudringen, sie senden schlicht und ergreifend gefälschte Nachrichten bzw Rechnungen.

Lediglich in sogenannten Kombinationsprodukten, in denen neben der Versicherungssparte Cyberversicherung auch eine sogenannte Vertrauensschadenversicherung geboten wird, besteht für die zuvor genannten Fälle Versicherungsschutz. Bei derartigen Produkten ist jedoch Vorsicht geboten. Mögen diese Produkte im Kleinst- und Kleinunternehmerbereich noch vollkommen ausreichend sein, sind sie für mittelständische und große Unternehmen meistens nicht geeignet, weil sie keine ausreichende Versicherungssumme zur Verfügung stellen.

Kombinationsprodukte bergen Gefahren

Durch die Kombination der beiden Versicherungssparten in einem Versicherungsvertrag, steht dem versicherten Unternehmen im Schadenfall lediglich eine Versicherungssumme zur Verfügung. Sofern das betroffene Unternehmen in einer Versicherungsperiode sowohl Opfer einer Cyberattacke als auch einer Betrugsattacke wird, kann der Fall eintreten, dass die gewählte Versicherungssumme für beide Schadenfälle nicht ausreicht und das versicherte Unternehmen nicht den gesamten Schaden ersetzt bekommt.

Zudem finden sich in vielen Cyberversicherungsprodukten sehr niedrige Sublimits (eingeschränkte Versicherungssummen) für Betrugsschäden, wir sprechen hier von EUR 250.000,00 bis EUR 500.000,00 an Versicherungssumme. Unserer Erfahrung nach reichen diese Versicherungssummen im Schadenfall nicht aus.

Des Weiteren sind in der Cyberversicherung grundsätzlich höhere Selbstbehalte vereinbart, die in der Vertrauensschadenversicherung, dies ist jene Versicherungssparte die Betrugsschäden versichert, nicht üblich sind. Aus den oben genannten Gründen empfehlen wir unseren mittelständischen und großen Kunden immer zwei getrennte, aber aufeinander abgestimmte Versicherungskonzepte einzukaufen.

Vertrauensschadenversicherung – Das Produkt mit fahlem Beigeschmack

Die Vertrauensschadenversicherung gibt es schon seit vielen Jahren, sie hat in der Vergangenheit aber immer ein Schattendasein gelebt. Dies liegt an ihrer ursprünglichen Ausrichtung als Versicherung für Unternehmen gegen kriminelle Straftaten ihrer eigenen Mitarbeiter, der sogenannten Vertrauenspersonen. Dieser etwas fahle Beigeschmack, dass man als Unternehmer seinen eigenen Mitarbeitern nicht trauen kann hat dazu geführt, dass die Vertrauensschadenversicherung lange Zeit nur sehr stiefmütterlich behandelt und kaum eingekauft wurde. Nur ungern haben sich die Unternehmermit dem Gedanken beschäftigt, dass die eigenen Mitarbeiter Gelder veruntreuen und das Unternehmen somit vorsätzlich am Vermögen schädigen. Erst durch die Öffnung der Vertrauensschadenversicherung im Berich der Schäden durch Dritte und das Aufkommen durch Cybercrime Tatbestände hat die Vertrauensschadenversicherung an Popularität gewonnen.

Nun wird das Produkt nicht mehr zum Schutz vor den eigenen Mitarbeiter, sondern zum Schutz vor kriminellen Dritten gekauft. Das Wesen der Versicherung hat sich dadurch aber nicht geändert, die Vertrauensschadenversicherung versichert Vermögensschäden, die durch vorsätzliche und strafbare Handlungen von Vertrauenspersonen oder außenstehenden Dritten verursacht werden. Trotz dieser sehr umfassenden Risikobeschreibung reicht auch eine Vertrauensschadenversicherung alleine nicht aus um das Thema Cybercrime umfänglich zu versichern, weil die Vertrauensschadenversicherung nur unmittelbare Schäden versichert. Aus diesem Grund bietet sie beispielsweise keinen ausreichenden Versicherungsschutz im Falle einer Cybererpressung oder einer cyberbedingten Betriebsunterbrechung.

Auch im Bereich der Betrugsdeckung ist darauf zu achten, dass das Produkt neben der plakativen Deckung für Schäden aufgrund von Überweisungs- und Lieferantenbetrug auch eine sogenannte offene Betrugsdeckung bietet. Nur wenn diese im Bedingungswerk vereinbart ist, besteht umfänglicher Versicherungsschutz für Betrugsszenarien.

Im Rahmen eines guten Versicherungsprodukt erhält der Versicherungsnehmer neben dem Ersatz des eingetretenen Vermögensschaden auch noch Kostenersatz für Rechtsverfolgungs- und Reputationskosten. Insbesondere der Ersatz von Reputationskosten ist nicht zu unterschätzen, da man im Schadenfall manchmal sehr schnell vom Opfer zum unachtsamen Mittäter wird und dann professionelle Unterstützung in der Öffentlichkeitsarbeit benötigt.

Fazit: Abgestimmte Konzepte machen sicher

Um eine vollumfängliche Absicherung zu gewährleisten, muss man die beiden Versicherungssparten aufeinander abstimmen und beide Versicherungssparten einkaufen. Sofern die eigenständigen Versicherungsverträge nicht aufeinander abgestimmt werden, kann es zu Deckungsüberschneidungen und im schlimmsten Fall zu einer Doppelversicherung kommen. Sollten die Versicherungskonzepte nicht aufeinander abgestimmt sein, führt das insbesondere im Schadenfall zu Komplikationen, weil sich unter Umstände beide Versicherungsgesellschaften auf die jeweils andere ausreden und den Kunden wie einen Ping Pong Ball von A nach B schicken. Um derart unglückliche Situationen im Schadenfall zu vermeiden, muss man klare Regelungen in die Versicherungsverträge mitaufnehmen. Strategisch kann es aus diesem Grund auch sinnvoll sein, beide Versicherungsverträge bei einem Versicherer zu platzieren.

Aufgrund der hohen Komplexität der Thematik ist vor Abschluss einer Versicherung dringend anzuraten das Gespräch mit einem spezialisierten Beratungsunternehmen zu suchen, damit die Versicherungskonzepte auf die konkreten Wünsche und Bedürfnisse abgestimmt werden. 

Über die Autorin
Mag. Kerstin Keltner ist Cyber Risk und Insurance Expertin und seit 2022 als Managing Director Specialty bei Aon Austria tätig. Sie ist Lektorin an diversen Bildungseinrichtungen und Auditorin bei Austrian Standards, als Zertifizierungseinrichtung nach dem Code of Conduct für Versicherungsmakler und Berater in Versicherungsangelegenheiten.