Wien – Dass der russische Präsident Wladimir Putin via Hackerangriffe in den US-Wahlkampf eingegriffen haben soll, ist nur die derzeitige Spitze der Meldungslage zum Thema Cyberangriffe. Bei Yahoo wurden bei einem Hackerangriff zuletzt Informationen über mehr als eine Milliarde Nutzerkonten gestohlen. Auch im Internet gebuchte Flugtickets sind für Cyberdiebe leichtes Gut, weil die Tickets nicht mit Passwort geschützt sind und in so manchen Buchungssystemen offenbar Sicherheitslücken klaffen.

Bei Nachrichten wie diesen denkt man oft, dass nur große Konzerne Ziel solcher Attacken sind. Ein Blick in den Sicherheitsbericht 2015 des Bundeskriminalamts zeigt aber, dass die Anzeigen auch hierzulande im Vergleich zu 2014 um 11,6 Prozent auf mehr als 10.000 Fälle angestiegen sind.

Zunehmende Bedrohung

Für österreichische Unternehmen wird Cyberkriminalität zu einer größer werdenden Bedrohung, denn auch Klein- und Mittelbetriebe werden zunehmend Opfer von Hackern. Laut einer KPMG-Studie sind sich 92 Prozent der Unternehmer der Gefahr von Cyberangriffen bewusst, knapp die Hälfte war schon von so einer Attacke betroffen, und 30 Prozent haben dadurch einen Schaden erlitten. Laut einer E&Y-Studie sind aber fast 90 Prozent der Unternehmen nicht gut genug gegen diese Angriffe geschützt, 57 Prozent wurden jüngst Opfer eines Cyberangriffs. Für die Umfrage hat EY 1700 IT-Sicherheitsexperten aus mehr als 20 Industriesektoren weltweit befragt.

Ein blockierter Webshop, eine manipulierte Homepage, lahmgelegte Buchungstools oder Maschinen. Die Schadenshöhe eines Hackerangriffs bewegt sich im Schnitt bei 80.000 Euro – für KMUs kann das existenzbedrohend sein – ganz zu schweigen vom Reputationsverlust. "Wird man Opfer eines Hackerangriffs, ist Schnelligkeit ein zentrales Thema", sagt Doris Wendler, Vorstandsdirektorin der Wiener Städtischen Versicherung. Das Problem muss lokalisiert werden, Spezialisten müssen Daten wiederherstellen oder Systeme neu aufsetzen und wieder zum Laufen bringen. In einigen Fällen muss eine Hotline für Kunden eingerichtet werden, Spezialisten für Krisenkommunikation werden gebraucht.

Alles aus einer Hand

Doch wie ist so ein Team zusammenzustellen, wenn im Unternehmen gerade Feuer am Dach ist?

Um all diese Probleme aus einer Hand zu lösen, hat die Wiener Städtische nun die Versicherung "Cyber-Protect" ins Leben gerufen. Wendler sieht diese Versicherung als "Ergänzung zu unserem All-Risk-Produkt, das Elementarrisiken von Unternehmen deckt". Im Basispaket werden Datenverlust und Beschädigung abgedeckt. Optional können sich Unternehmen gegen Reputationsschäden schützen – hierbei werden etwa die Kosten für ein professionelles Krisenmanagement von der Versicherung übernommen. Auch die Kosten für eine Betriebsunterbrechung aufgrund von Datenverlust und Fremdschäden werden abgedeckt. Zudem organisiert die Assekuranz jene IT-Experten, deren es zum Auffinden des Schadens und zur Wiederherstellung des Betriebs bedarf.

Die Versicherungssummen bewegen sich zwischen 100.000 Euro und einer Million Euro. Kunden können ihr Sicherheitscyberpaket individuell zusammenstellen. Für 800 bis 1000 Euro pro Jahr könnte bereits ein "ordentliches" Cyberpaket geschnürt werden. "Die Prämienhöhe hängt dabei auch von der vorhandenen IT-Sicherheit ab", erklärt Wendler.

Drei Prozent versichert

Da erst rund drei Prozent der Unternehmer gegen das Risiko von Hackerangriffen versichert sind, sieht Wendler ein großes Potenzial für das neue Produkt. Zahlen dazu will sie nicht nennen. Das Ziel sei aber, dass das Cyberpaket zu einem fixen Bestandteil wird. "Derzeit haben sieben von zehn KMUs eine Versicherung gegen Feuer, Einbrüche oder Zerstörung des Lagerbestands. In ein paar Jahren soll das Cyberthema ähnlich etabliert sein", sagt Wendler. Das Bewusstsein, dass es so einen Schutz braucht, würde jedenfalls steigen.

Auch andere Versicherungen arbeiten derzeit, wie zu hören ist, an einem Cyberschutzprodukt. Bisher waren vor allem ausländische Anbieter mit solchen Versicherungen am Markt vertreten. Auch der Gesetzgeber hat die Wichtigkeit dieses Themas erkannt. Strategisch wichtige Unternehmen des Energie-, Verkehrs-, Banken- und Gesundheitsbereichs oder auch Internetsuchmaschinen und Cloud-Anbieter müssen künftig nachweisen, dass sie sich gegen Hacker-Angriffe schützen. Das sieht die EU-Richtlinie vor, die in Österreich mit dem Cybersicherheitsgesetz umgesetzt werden soll. Der Gesetzesentwurf soll bis zur Jahresmitte fertig sein. In der zweiten Jahreshälfte soll er begutachtet werden und dann fristgerecht bis Mai 2018 in Kraft treten. (Bettina Pfluger, 19.1.2017)