Hacker lesen auch Bilanzen
Gegen Schäden nach Cyberangriffen kann man sich versichern, gegen Erpressung nicht. Die Kosten sind erheblich.
Seit Dienstagabend ist die IT der SalzburgMilch lahmgelegt. Gegen Schäden nach Cyberangriffen kann man sich versichern, gegen Erpressung nicht. Die Kosten sind erheblich.
WIEN, SALZBURG. Seit Dienstagabend hat die SalzburgMilch keinen Zugriff mehr auf die eigenen Daten. Hacker haben die gesamte IT der Molkerei lahmgelegt. Bis auf Weiteres kann keine Ware mehr ausgeliefert werden (siehe Lokalteil).
Angriffe wie diese sind keine Seltenheit mehr. 60 Prozent der Unternehmen gaben in der jüngsten Cyber-Studie von KPMG an, in den vergangenen zwölf Monaten Opfer eines Angriffs geworden zu sein. „Wir sehen eine deutliche Häufung der Vorfälle“, sagt Andreas Tomek, Partner bei KPMG. Er leitet ein 40köpfiges Team von Spezialisten, das Unternehmen berät und bei einem Hackerangriff vor Ort hilft. „Der Ernstfall tritt leider regelmäßig ein.“Neben IT-Hilfe und Krisenmanagement übernehmen die Experten bei Bedarf auch die Kommunikation mit Erpressern. Schließlich seien Rabatte durchaus üblich.
Laut KPMG-Studie lassen sich 31 Prozent der heimischen Unternehmen versichern. Im Vorjahr waren es nur 25 Prozent. Vor allem größere Firmen sorgen vor. Für ein Fünftel war ein Sicherheitsvorfall Auslöser für den Abschluss einer Cyberversicherung. Ein Viertel gab an, für den Fall der Fälle Rücklagen zu bilden.
Ein Cyberangriff ziehe schnell enorme Kosten nach sich, von Lösegeld gar nicht zu sprechen, sagt Tomek: „Es kommt zu Produktionsausfällen, es braucht neue IT-Infrastruktur, Krisenkoordination, eine forensische Untersuchung, Datenschutzexperten und Anwälte. Das wird selbst bei mittelständischen Unternehmen schnell sechsstellig.“
Die Kosten einer Versicherung richten sich stark nach Deckungssumme und Risiko und sind zuletzt gestiegen. „Ein bis drei Prozent der Deckungssumme sind üblich. Früher waren wir im Bereich fünf bis sieben Promille“, sagt der KPMGPartner.
Deckungssummen von mehr als 100 Mill. Euro seien durchaus möglich. Neue Verträge hätten auch oft andere Ausschlussklauseln oder noch höhere Selbstbehalte.
Versicherer wie die Wiener Städtische merken seit der Coronakrise einen sprunghaften Anstieg der Nachfrage. „Im Vorjahr gab es ein Plus von 35 Prozent“, sagt Vorstandsdirektorin Doris Wendler. Für größere Firmen gibt es individuelle Lösungen, für kleinere mit maximal 100.000 Euro Versicherungssumme eine Basisvariante. Abgedeckt sind dabei Eigen- und Fremdschäden, etwa Datenverlust, Datenschutzverletzungen, Betriebsunterbrechungen oder Kosten für Krisenmanagement. Schäden an der Hardware oder an Maschinen werden nicht abgedeckt, ebenso wenig wie „CEO-Fraud“, wie 2016 beim oberösterreichischen Luftfahrtzulieferer FACC. Bei dieser Betrugsmasche gibt sich ein Krimineller als Chef aus und veranlasst Überweisungen. Auch Lösegeldzahlungen bei Cybererpressung seien nicht gedeckt, „weil sie in der Regel gesetzlich nicht erlaubt sind“, sagt Wendler.
Der Salzburger Kranbauer Palfinger, der im Jänner Opfer eines Cyberangriffs war, hatte eine Versicherung. Die Kosten für Umsatzentgang, aber auch danach angefallene Mehrarbeit hoffe man teils zurückzubekommen, sagte Palfinger-Vorstand Andreas Klauser bei der Bilanzpressekonferenz. Gehen dürfte es um Millionensummen, immerhin waren die weltweit 35 Werke teils bis zu zwei Wochen lahmgelegt. Den Schaden exakt zu berechnen sei langwierig und komplex.
Wichtige Infrastrukturunternehmen wie die Bahn, die Post oder Energieversorger sind bisher von großen Hackerattacken verschont geblieben. „Gott sei Dank“, sagt ÖBB-Sprecherin Gabi Zornig. Die Staatsbahn hat derzeit keine Versicherung. Der Diskussionsprozess dazu sei am Laufen, so Zornig.
Die Österreichische Post ist schon weiter und hat bereits eine Ausschreibung für eine Cyberversicherung laufen. Der teilstaatliche Konzern gibt sich aber wortkarg, ebenso wie die Telekom Austria (A1), die nicht sagen will, ob es eine Versicherung gibt oder nicht. Anfang Juni 2020 hatte der heimische Telekom-Marktführer berichtet, dass unbekannte Angreifer ein halbes Jahr lang Zugriff auf die Systeme hatten – nicht jedoch auf Kundendaten. Die Spionageattacke wurde letztlich abgewehrt.
Die Salzburg AG hat seit einigen Jahren eine Cyber-Security-Versicherung, um das „finanzielle Restrisiko“zu minimieren, wie es dort heißt. Man investiere „schon lange und kontinuierlich in Sicherheitsmaßnahmen und relevante Technologien, um den ständig wachsenden und sich ändernden Bedrohungen entgegenzuwirken bzw. sie nach Möglichkeit verhindern zu können“– nicht zuletzt durch Sensibilisierung der Mitarbeiter.
Das Bundeskriminalamt rät, auf Lösegeldforderungen nicht einzugehen. Die Praxis sieht anders aus, auch wenn Unternehmen nicht darüber reden wollen. „In 95 Prozent der Fälle werden die Daten nach der Zahlung auch entschlüsselt. Die Hacker sind an sich sehr verlässlich, weil sie sonst ihr eigenes Geschäftsmodell zerstören würden“, sagt Tomek. Die meisten Gruppierungen würden ähnlich einem FranchiseModell arbeiten und andere Hacker anwerben. Das Vorgehen sei sehr professionell. „Hacker können auch Bilanzen lesen“, sagt Tomek. So hatte er selbst den Fall eines Kunden, der die Lösegeldsumme mit Verweis auf fehlende Mittel nicht zahlen wollte. „Da hat der Angreifer mit Verweis auf die Unternehmenszahlen widersprochen.“
„Nachfrage ist sprunghaft angestiegen.“
Doris Wendler, Wiener Städtische