"IT-Sicherheit und Versicherung gehen Hand in Hand"

Lebenslanges Lernen gehört für die Mitglieder der Fachgruppe Versicherungsmakler und Berater in Versicherungsangelegenheiten quasi zum Alltag. Denn laut Gesetz sind die Branchenmitglieder zur Weiterbildung verpflichtet. Und die Fachgruppe bietet dazu umfassende Möglichkeiten – wie zum Beispiel den BildungsKickOff, der am 30. und 31. Jänner über die Bühne ging. Fachgruppenobmann Franz Ahm begrüßte an beiden Tagen ein volles Haus. 120 Teilnehmende waren vor Ort und rund 500 im Livestream zugeschaltet. Ahm sagt: "2020 haben wir mit dem BildungsKickOff im regionalen Rahmen mit rund 100 Teilnehmenden begonnen. Coronabedingt wurden Präsenzveranstaltungen untersagt und wir haben aus diesem Grund die Veranstaltung in den virtuellen Raum verlegt. Heute wird das Programm österreichweit hybrid angeboten und es wird so gut angenommen, dass es unsere Erwartungen übertroffen hat."

Das Programm der beiden Tage ist für die Branche maßgeschneidert. So servierte Isabelle Vonkilch einen Überblick über Grundfragen der AVB-Kontrolle sowie über die aktuelle Klauseljudikatur des OGH und des EuGH. Das Thema von Raphael Toman war die „Weiterentwicklung des Versicherungsvertriebs: Revolution oder Evolution?“. Und der zweite Tag stand mit Norbert Jagerhofer ganz im Zeichen der Cyberversicherung und wie man sich gegen sogenannte Cyberevents absichern kann. Mehr dazu gibt es im untenstehenden Interview.

Herr Jagerhofer, worauf müssen Unternehmen bei sogenannten Cyberevents achten? 

Norbert Jagerhofer: Das ist eine Frage, die schwer zu beantworten ist, weil die Angriffsfaktoren der Hacker vielfältig sind. Es kann sein, dass die gesamte IT verschlüsselt wird und man mit Lösegeldforderungen konfrontiert ist. Es kann sein, dass Sie eine „Man in the middle-Attacke“ haben und monatelang ausspioniert werden, ohne dass Sie es bemerken, und der Hacker greift dann zu und leitet Zahlungsströme um. Da brauchen Sie dann nicht nur eine Cyberversicherung, sondern eine Vertrauensschadenversicherung, weil nicht alle Cyberversicherungsprodukte, die die Umleitung von Zahlungsströmen oder das Abhandenkommen von Waren oder Geld decken. Hacker können auch Dokumente von mir abziehen und mich damit erpressen. Dann habe ich ein Datenschutzproblem, muss zu einem Anwalt, der spezialisiert ist und muss möglicherweise die Datenschutzbehörde einschalten - das alles binnen 72 Stunden ab dem Zeitpunkt wo ich es bemerke. Also dadurch, dass die Angreifer so kreativ sind, ist es nicht vorherzusehen, wo sie mich erwischen. 

Kann man die häufigsten Fehler von den Unternehmen nennen, die passieren? 

10 Prozent aller Schäden kommen aus einer schlechten Passwortqualität. Wenn ich ein komplexes Passwort wähle mit Sonderzeichen, mit Buchstaben und Groß- und Kleinschreibung und es zwölfstellig ist, dann tut sich ein Hacker schon einmal beim Überwinden des Passworts schwer. Ein weiteres Thema ist die Mulitfaktor-Authentifizierung, also dass ich mich in 2 Schritten am PC anmelden kann. Das ist eine gute Vorsorge. Offene Ports sind die nächste Eindringquelle. Offene Ports sollten nach der Wartung sofort geschlossen werden. Die Mitarbeiterschulung ist ebenfalls ein großes Thema geworden - sensibilisieren Sie Ihre Mitarbeiter dahingehend, dass sie nicht jedes E-Mail öffnen oder auf jeden Link oder jedes Attachement klicken, wenn sie nichts erwarten. Es ist wichtig, das Hirn einzuschalten. Aber der Forscherdrang und die Neugier der Menschen ist natürlich groß und das nutzen die Täter aus. 

Worin besteht der Unterschied zwischen der Cyberversicherung und der Vertrauensschadenversicherung? 

Bei der Cyberversicherung werden Daten versichert. Das heißt ich bekomme dort die Wiederherstellung der Daten vom Versicherer bezahlt. Also zum Beispiel den Forensiker, der den Cyberevent lokalisiert, der das Datenleck schließt und die Daten wiederherstellt, und die ganzen Rundherumarbeiten bis hin zur Betriebsunterbrechung. Eine Vertrauensschadenversicherung brauche ich überall dort, wo mir Geld oder Waren abhandenkommen. Das bedeutet, wenn der Angreifer eine Rechnung manipuliert und zum Beispiel den IBAN fälscht. Bis das auffällt, ist ein Monat oder zumindest eine Zahlungsfrist von 14 Tagen vorbei, und das Geld ist weg. Das bekomme ich dann wieder nur aus der Vertrauensschadenversicherung und ich habe natürlich auch den Vorteil bei der Vertrauensschadenversicherung, dass ich den Betrug durch eigene Mitarbeiter ebenso mitversichert habe.

Gibt es aus Kundensicht jetzt schon eine große Nachfrage nach solchen Versicherungen? 

Das wird immer mehr. Seitdem die Datenschutzgrundverordnung eingeführt wurde, haben wir einen richtigen Run auf die Cyberversicherung erlebt. Wir haben uns 15 Jahre lang mit dem Thema beschäftigt, als es im deutschsprachigen Raum noch keine Anbieter gab. Vom kleinen bis zum mittelständischen Unternehmen, kann es bereits jeden treffen und es waren schon viele an der Reihe. Dadurch ist die Nachfrage groß und auch die Abschlüsse sehr interessant. Die Kunden merken, dass ein IT-Angriff richtig Geld kostet und dass die Versicherungslösung sehr guten Support leistet. Support deswegen, weil ich auch sofort eine Erstversorgung bekomme – von der Hotline bis hin zum Forensiker.

Was die Unternehmer am meisten interessiert: Was kostet mich sowas? 

Die Einstiegsmodelle für Kleinstunternehmen kosten zwischen 600 und 1.500 Euro im Jahr - je nachdem, was für Versicherungssumme man wählt. Und bei großen Unternehmen ist es natürlich individuell auf die Risikosituation zu bemessen. Ich habe bei uns im Bestand Verträge mit 600 Euro und der größte, teuerste kostet 1.000.000 Euro - nur dass man das Spektrum sieht. 

Das heißt, wenn ich eine Versicherung habe, muss ich mir keine Sorgen mehr machen? 

Nein, nein, das stimmt nicht. Das Allererste, was ich bei einer Cyberversicherung brauche, ist eigenes Riskmanagement. Ich bin nicht versicherbar, wenn ich bei der eigenen IT-Sicherheit schlampig bin. Die IT-Sicherheit und die Versicherung gehen Hand in Hand. Die Versicherung kann nur das Restrisiko abdecken, aber nicht ein ungesichertes IT-System.