Unternehmen geraten immer mehr in den Würgegriff von Cyberkriminellen. Wie das Bundeskriminalamt meldet, wurden im Vorjahr österreichweit 65.864 Cyber-Straftaten angezeigt – ein neuer Rekord. Damit hat sich ihre Zahl im Vergleich zu 2019 mehr als verdoppelt. In über 20.000 Fällen griffen die Täter dabei direkt Daten- oder Computersysteme von Firmen an.
Zentrale Ergebnisse der KPMG-Studie „Cybersecurity in Österreich 2024“ untermauern die erschreckende Lage. Ihr zufolge waren 2023 sämtliche 1.158 befragten Unternehmen – vom Kleinbetrieb bis zum Großkonzern – mindestens einem Angriff aus dem Cyber-Raum ausgesetzt. Robert Lamprecht, KPMG-Partner im Bereich IT Advisory und Autor der Studie, warnt: „Die Täter rüsten immer schneller nach, agieren professioneller und ihre technischen Mittel werden ausgefeilter und wirksamer. Anpassung ist deren Erfolgsstrategie.“ Und das zeige Wirkung: So sei nicht mehr jede zehnte Cyberattacke erfolgreich, sondern bereits jede sechste.
Besonders zu schaffen machten den Unternehmen Phishingattacken, also der Einsatz betrügerischer E-Mails, Textnachrichten, Telefonanrufe oder Webseiten, gefolgt von Malware (Schadsoftware) und CEO-/CFO-Fraud (siehe Schaubild). Mit Letzterem ist eine Betrugsmasche gemeint, bei der sich Cyberkriminelle gegenüber entscheidungsbefugten Mitarbeitern als vermeintlicher Geschäftsführer bzw. Finanzvorstand ausgeben, um Geldüberweisungen auszulösen. Nach Angaben der Beratungsgesellschaft weiten sich die Bedrohungsszenarien rasant aus, insbesondere durch die Verwendung von Künstlicher Intelligenz (KI). „KI spielt den Angreifern in die Hände und beschleunigt neue Angriffsarten wie Deepfakes in Form von gefälschten Sprach- und Videonachrichten rasant. Hier wird ein neues Kapitel zur Verbreitung von Desinformation aufgeschlagen“, so der Tenor. Die Studienautoren beziffern den Anstieg gegenüber 2022 auf satte 119 Prozent. Der KPMG-Fachmann nennt einen weiteren Trend: „Wir beobachten auch, dass Cyberkriminelle das eigentliche Ziel, nämlich das Unternehmen, oftmals auf ein schwächeres Glied in der Kette verlagern, sprich: Lieferanten oder Dienstleister.“ Die Studie habe gezeigt, dass Angriffe auf die Lieferkette in den letzten zwölf Monaten um 18 Prozent zugenommen hätten. Lamprechts Botschaft: „Eine Entspannung der Lage zeichnet sich nicht ab, eine Prognose der Angriffsentwicklungen wird immer unberechenbarer.“
Cyberschutz hat top-priorität
Die Verantwortlichen in den Unternehmen haben Internetkriminalität inzwischen als Top-Priorität erkannt und reagieren mit stetig steigenden Investitionen auf wachsende Risiken. Das belegt die Studie „Digital Trust Insights 2025“ des Consultingunternehmens PwC, weltweit durchgeführt in 77 Ländern, darunter auch Österreich. Hierzulande belegt die Angst vor Cyber-Risiken mit 47 Prozent den zweiten Platz gleich nach der Inflation (50 Prozent). 63 Prozent der Befragten gaben an, ihre IT-Sicherheitsbudgets im nächsten Jahr auszuweiten. Während Großunternehmen üblicherweise über eine zureichende interne IT-Infrastruktur und die notwendigen Gelder verfügen, sieht das bei kleinen und mittleren Unternehmen (KMU) anders aus. Gerade für sie sei Cybersecurity eine besondere Herausforderung, da die Betriebe oftmals über keine eigene IT-Abteilung verfügten und somit verhältnismäßig viel Angriffsfläche böten. Lamprecht weiter: „Besonders wachsam sollten auch Firmen sein, die medial bekannt sind oder Produkte anbieten, bei denen sie Weltmarktführer in der entsprechenden Marktnische sind.“
Meist fehlt es an personellen und finanziellen Ressourcen, was KMU umso verletzlicher macht und ernsthaft gefährden kann. Auch das notwendige Risikobewusstsein gegenüber Bedrohungen aus dem Netz ist kaum vorhanden. Benjamin Schilling, Underwriter CyberRisk bei der R+V Versicherung, warnt: „Bei kleineren Unternehmen wird keine Bewusstseinsbildung für Cyber-Risiken gelebt, also Beschäftigte nicht regelmäßig geschult.“ Ein großer Risikofaktor für die IT-Sicherheit seien noch immer die Mitarbeiter. Es gebe nach wie vor eine hohe Anzahl an Kleinunternehmen, die überzeugt seien, sowieso kein attraktives Ziel für Hacker darzustellen. Mangelnde Sensibilität also, die besonders vor dem Hintergrund bedenklich ist, dass KMU als Rückgrat der heimischen Wirtschaft 57 Prozent zur Wertschöpfung im Lande beitragen. Manchem Betrieb könne der ökonomische Zusammenbruch drohen, denn „die Höhe des Schadens hängt stark vom Unternehmen und den betroffenen Systemen ab“, wie Othmar Nagl, Generaldirektor der Oberösterreichischen Versicherung, ausführt. „Mit bis zu 100.000 Euro muss man allein für die externen Kosten rechnen“, selbst wenn die Daten dank guter Sicherung zu retten seien, kein Lösegeld gezahlt würde und keine Strafe der Datenschutzbehörde, Kosten für Krisenkommunikation oder Vertragsstrafen für verspätet abgelieferte Aufträge anfielen. Nicht zu unterschätzen sei, dass neben dem finanziellen Ausfall Betrieben bei einem Cyberangriff noch etwas anderes verloren gehe, „sie verspielen auch das Vertrauen ihrer Kunden“. Nagls unmissverständliche Botschaft ist: „Fachleute sind sich einig: Rund 80 Prozent der Schäden könnten vermieden werden, würden die Unternehmen mehr in die IT-Sicherheit investieren. Drei von vier erfüllen derzeit die Anforderungen nicht.“
wichtige zusatzleistungen
Neben der Zusammenarbeit mit einem externen IT-Dienstleister, falls notwendige Sicherheitsmaßnahmen nicht intern bewältigt werden können, bietet eine Cyber-Versicherung wertvolle Unterstützung gegen die ausufernde Gefährdungslage bei teils massiven wirtschaftlichen Verlusten. Die Konstrukte kann man als Kombination aus einer Haftpflicht- und einer Eigenschadenversicherung verstehen. Sie setzen sich aus übergreifenden Serviceleistungen sowie den Kategorien Eigen- und Drittschäden zusammen.
Die Module sind je nach Produktgestaltung teils integriert oder werden als Zusatzleistung angeboten. Die Assekuranzen bedienen sich hierfür eines Netzwerks spezialisierter Dienstleister aus verschiedenen Bereichen, um stets optimale Unterstützung zu gewährleisten. Im Vorfeld kann z. B. eine Beurteilung der IT-Sicherheit samt Implementierung von Security-Maßnahmen, Beratung zu regulatorischen Anforderungen und Mitarbeitertrainings stehen.
Wichtig ist der akute Support bei der Krisenbewältigung – im Ernstfall wird via 24-Stunden-Hotline professionelle Ersthilfe bereitgestellt, um alle nötigen Sofortmaßnahmen zu ergreifen, eine Ausweitung der Attacke zu verhindern und umgehend Sicherheitslücken zu ermitteln und zu schließen. Finanzielle Schäden nach einem Angriff sind gleichsam gedeckt, etwa die Übernahme der Kosten für die Wiederherstellung bzw. -beschaffung von Daten und Reparatur von Geräten. Auch Aufwendungen für längerfristige Maßnahmen wie Kommunikation nach innen und außen werden beglichen. Hinzu kommen Rechtsberatung und -vertretung, falls Haftungsansprüche Dritter entstanden sind. Von höchster Bedeutung ist für Benjamin Schilling von der R+V das Thema Betriebsunterbrechung: „Der größte Absicherungsbedarf für Unternehmen liegt in diesem Risiko, es ist ein sehr relevanter Faktor.“ In nahezu jedem Schadenfall komme es zu einer Beeinträchtigung des Betriebes, die im Schnitt drei bis sieben Wochen dauere, bis die Störung vollständig behoben werden konnte.
Wer den Schutz vereinbaren will, muss einige Mindeststandards bei der IT-Sicherheitsstruktur erfüllen. Fehlen sie, wird der Antrag abgelehnt. Um eine Cyberversicherung zu erwerben, sind laut Schilling mindestens drei Basismaßnahmen für die Risikoermittlung unverzichtbar: „Wir ermitteln, ob ein ordentliches Lizenzmanagement für die Standardsoftware besteht und wöchentlich die Daten räumlich und technisch von der IT getrennt gesichert werden, Stichwort Backup-Management.“ Weiters werde überprüft, ob permanent eine aktuelle und automatisch aktualisierte Virensoftware und Firewall verwendet wird. Bei der R+V komme hinzu, ob die Administratorenrechte im Unternehmen ausschließlich für Tätigkeiten von IT-Administratoren eingesetzt werden.
Der Markt bietet Chancen. Laut KPMG-Studie besaß per Ende 2023 mehr als jede fünfte der Firmen eine solche Polizze, um finanzielle Folgeschäden aufzufangen. „Acht Prozent planen, eine Cyber-Versicherung abzuschließen, fünf Prozent sind aktuell in Gesprächen mit einem Anbieter“, wie Robert Lamprecht ermittelt hat. Positive Signale sieht man ebenfalls bei der Oberösterreichischen: „Aus unserer Sicht ist der Versicherungsgrad noch relativ gering, wobei wir feststellen, dass insbesondere in den letzten ein bis zwei Jahren das Interesse an derartigen Lösungen steigt und Unternehmer sich öfters bei ihrem Vermittler dazu erkundigen“, so Nagl. Für ihn steht außer Frage: „Das Thema Cybersecurity muss zur Chefsache erklärt werden.“ Es könne zwar jede Firma treffen, aber jede Firma könne sich rüsten. Auch mit dem Baustein Versicherung.
Da das Leistungsprofil der Produkte unterschiedlich ausfällt, erfordert es ein individuell geschnürtes Paket. Einen versierten Versicherungsmakler oder -berater hinzuzuziehen ist Pflichtprogramm, um den spezifischen Bedarf im Rahmen einer umfassenden Risikoanalyse zu ermitteln. In der Branche bestehen noch Informationsdefizite. „Das Thema Cyber-Versicherung stellt den Vertrieb vor echte Herausforderungen“, weiß Michaela Steininger, Cyberspezialistin bei der Helvetia Versicherung. „Oft scheuen sich Makler und Berater, es in der Beratung aktiv anzusprechen.“ Die Sorge, mit technischen Fragen außerhalb ihrer Expertise konfrontiert zu werden, sei hoch. Bei Helvetia stehe eine Expertenhotline bereit, die Berater sowohl während des Verkaufsprozesses als auch bei der Antragstellung unterstützt. Steininger: „Unser Ziel ist es, Makler und Berater durch Schulungen und Beratungstools zu stärken, damit sie das Vertrauen gewinnen, Cyber-Versicherungen erfolgreich zu vermitteln.“
