Kerstin Keltner ist Director Financial Lines & Cyber bei Aon Austria. Sie spricht über Krisenmanagement, Notfallpläne und warum es so wichtig ist, sich gut nach allen Seiten abzusichern.

Wie steht es generell um die Sicherheitslage? Sind Cyberattacken häufiger geworden?

Kerstin Keltner: Cyberattacken nehmen weiterhin zu. Unsere internen Statistiken zeigen im Beobachtungszeitraum von Q1 2019 bis Q4 2023 einen Anstieg von 1.281 % bei Ransomware-Angriffen. Eine aktuelle Sophos-Studie zeigt auf, dass der Fokus der Angreifer derzeit in Europa liegt, wobei insbesondere auch Österreich zu einem der Länder zählt, in denen im Jahr 2024 die Angriffszahlen erneut gestiegen sind. Zu erkennen ist zudem ein Anstieg im Bereich der Schwachstellen, diese sind, gemäß dem aktuellen Lagebericht des BSI, im Jahr 2023 um 24% gestiegen. Eine Statistik von Check-Point-Research ergibt, dass sich die Verbreitung von Ransomware in Europa im Jahr 2024 zudem um 64% erhöht.

Doch nicht nur Cyberattacken stellen eine Gefahr im Cyberbereich dar. Der aktuelle Crowdstrike-Vorfall hat gezeigt, wie verwundbar und abhängig die IT-Infrastruktur ist. Der Fehler eines Dienstleisters führt zu massenhaften Betriebsunterbrechungen weltweit. Dieser Vorfall ist ein Paradebeispiel dafür, dass ein Unternehmen beim Einkauf einer Cyberversicherung nicht nur an Cyberattacken, sondern auch an andere logische Ursachen, die einen Cybervorfall auslösen können, denken sollte.

Welche typischen Deckungselemente sollten in einer Cyberversicherung versichert sein?

Keltner: Ein gutes Cyberversicherungsprodukt bietet eine Eigen- und Drittschaden-Komponente und versichert neben den Schäden, verursacht durch Hackerangriffe und Datenoffenlegungen, auch Schäden aufgrund von Bedienfehlern und technischen Problemen. Die Cyberversicherung bietet dem versicherten Unternehmen Zugriff auf professionelle Incident-Response-Dienstleister, IT-Forensiker, unabhängige Verhandler, Rechts- und PR-Experten. Neben diesem Expertennetzwerk genießt der Versicherungsnehmer auch Versicherungsschutz für Erpressungsattacken und Betriebsunterbrechungsschäden, hierbei sind sowohl Entgeltfortzahlungen, Mehrkosten zur Aufrechterhaltung des Geschäftsbetriebes als auch der entgangene Gewinn versichert. Die Drittschaden-Komponente bietet Versicherungsschutz für Haftpflichtschäden Dritter beispielsweise aufgrund der Weiterleitung von Schadensoftware oder der Datenoffenlegung.

Ein gutes Produkt sollte nicht nur die eigene IT-Infrastruktur sondern auch die ausgelagerte IT-Infrastruktur versichern. Hierbei geht es nicht darum den externen IT-Dienstleister mitzuversichern, sondern darum die Schäden die dem versicherten Unternehmen entstehen – selbst wenn diese beim externen Dienstleister eintreten, zu versichern. Die Auslagerung der IT-Infrastruktur darf den Versicherungsschutz der Cyberversicherung nicht obsolet machen.

Und zahlt die Versicherung im Schadensfall denn nun wirklich?

Keltner: Ja, das tut sie. Wir haben bei Aon dank unserer globalen Präsenz eine ausgereifte Schadenerfahrung und können unsere Kunden daher optimal im Schaden begleiten, um die Versicherungsleistung sicherzustellen. Die professionelle Begleitung im Cyberschaden ist essenziell, um die Durchsetzung der Versicherungsansprüche zu gewährleisten. Im Cyberschaden trifft den Kunden und die beteiligten Dienstleister, insbesondere wenn der Kunde nicht auf die Dienstleister des Versicherers zurückgreift, eine umfassende Dokumentationspflicht. Wenn dieser nicht nachgekommen wird, wird die Durchsetzung der Versicherungsleistung erschwert. Im schlimmsten Fall wird diese sogar unmöglich. Aus diesem Grund kann ich nur jedem Unternehmen, das eine Cyberversicherung eingekauft hat, anraten, die Versicherung und den beauftragten Makler im Schadenfall eng einzubinden. Sollte der Makler keine Erfahrung im Cyberschaden aufweisen können, sollte man in dieser Sparte unverzüglich den Berater wechseln.

Womit sollte ein Unternehmen beginnen, um mit wenig Aufwand die größten Risiken abzudecken?

Keltner: Mit einem ordnungsgemäßen Risiko-Assessment – nur wenn ich meine Risiken kenne, kann ich diese reduzieren. Auch in diesem Bereich kann die Cyberversicherung unterstützen. Die Fragen, die von den Risikoträgern vor der Eindeckung einer Versicherungslösung gestellt werden, und die Maßnahmen, die die Versicherer vorschreiben, resultieren immer aus der Schadenerfahrung der Risikoträger. Ergo führen diese Maßnahmen dazu, den Eintritt eines Vorfalles zu verhindern. Ein derartiges Assessment mit einem professionellen Risiko- und Versicherungsberater durchzuführen, wäre ein erster wesentlicher Schritt. Des Weiteren sollten sich Unternehmen besser auf den Ernstfall vorbereiten und diesen im Zuge von Tabletop-Übungen durchspielen, um im Fall der Fälle rasch und koordiniert reagieren zu können. Ein effektives Notfallmanagement ist unerlässlich, um einen Cyberschaden zu mindern.

Ist ein funktionierendes Notfallmanagement auch aus Sicht der Versicherer wichtig?

Keltner: Im Zuge der Eindeckung wird dieser Punkt oftmals angefragt. Unternehmen die unter die Kategorie der großen Unternehmen fallen, können Versicherungsschutz nur beziehen, wenn Sie ein Notfallmanagement vorweisen können.

Die von der Versicherung angebotene Krisenunterstützung muss Bestandteil des eigenen Notfallmanagements werden. Das versicherte Unternehmen muss seine internen Abläufe anpassen und die Versicherung aktiv in das Notfallmanagement miteinbeziehen. Sollte dies nicht gewünscht sein, muss dies vorab mit dem jeweiligen Risikoträger geklärt werden. Wir informieren unsere Kunden im Zuge der Eindeckung immer über die ordnungsgemäße Vorgehensweise im Cyberschaden. Mit unseren Kunden aus dem Großrisiko-Bereich führen wir sogar eigene Schaden-Workshops durch, um die ordnungsgemäße Abwicklung im Cyberschaden zu gewährleisten.

Das Gespräch ist im Vorfeld der Konferenz PriSec 2024 unter https://businesscircle.at/news/datenschutz/wider-die-ernstfallvergessenheit-bei-cyberattacken-kerstin-keltner-im-gespraech/?option=com_content&Itemid=1611 erschienen.