Verwundbare Unternehmen

Cyberattacken werden immer häufiger und sind nahezu unvermeidbar. Die Frage ist längst nicht mehr, ob ein Unternehmen von einem Angriff getroffen wird, sondern wann. Das IT-System ist das Rückgrat jeder Organisation – wird es durch Cyberkriminelle verletzt, drohen erhebliche Schäden. Zur Zielscheibe zu werden, gehört für Unternehmen, egal welcher Größe, inzwischen zum Tagesgeschäft. Cybercrime ist international zum Geschäftsmodell geworden, viele Attacken können auf russische Urheber zurückgeführt werden.

Laut einer Studie, die KPMG gemeinsam mit dem Sicherheitsforum Digitale Wirtschaft des Kompetenzzentrums Sicheres Österreich (KSÖ) im Frühjahr 2025 erstellte, hat sich die Anzahl der Angriffe durch »staatlich unterstützte Akteure« von zwölf auf 28 Prozent mehr als verdoppelt. Jede siebte Cyberattacke war 2024 erfolgreich. Aber nur 13 Prozent der 1.391 befragten Unternehmen bestätigten einen Angriff im vergangenen Jahr, der zu Schäden oder Beeinträchtigungen geführt hat. Die Dunkelziffer liegt wohl deutlich höher: Rund ein Viertel der Betriebe meldet den Vorfall erfahrungsgemäß nicht an Behörden, Kunden oder Geschäftspartner, wie die Expert*innen wissen.

Während große Unternehmen ihre Schutzmaßnahmen sukzessive verbessern, haben kleinere Betriebe oftmals erhebliche Sicherheitslücken wie fehlende Multifaktor-Authentifizierung, schwache Passwörter, unzureichende Backup-Strategien oder generell veraltete Software. »Erpresser verlagern ihre Aktivitäten gerade verstärkt auf KMU«, sagt Studienautor und KPMG-Partner Robert Lamprecht. Diese sind leichte Beute für Kriminelle – gerade für kleinere Betriebe können Angriffe jedoch existenzbedrohend sein, wenn Computer und Dateien mehrere Tage oder Wochen nicht zugänglich sind.

Lieferkette als Achillesferse
Neben den »klassischen« Angriffen wie Datendiebstahl, Erpressung mit Ransomware und der Manipulation gesamter Geschäftsprozesse werden zunehmend Scam-Anrufe verzeichnet, mit denen sich Angreifer, z. B. unter dem Vorwand einer Bewerbung, interne Informationen über das Unternehmen verschaffen. Bereits bei jedem zehnten Angriff werden zudem Deepfake-Technologien genutzt, um Sprach- und Videonachrichten täuschend echt zu manipulieren. Cyberkriminelle richten ihre Angriffe auf das schwächste Glied in der Kette, oftmals die Lieferanten. »Unzureichende Sicherheitsstandards bei Lieferanten und Dienstleistern öffnen den Cyberkriminellen Tür und Tor. Ein Cyberangriff auf nur ein einziges Glied in der Kette kann verheerende Konsequenzen für das Unternehmen haben und einen Dominoeffekt auslösen«, sagt Lamprecht.

Hier setzt die europäische Regulatorik an. EU-Verordnungen wie NIS-2 und DORA drängen heimische Betriebe, ihre digitale Resilienz zu stärken. Mihajlo Milanovic, Practice Leader Financial Lines bei GrECo International, geht davon aus, dass sich das Sicherheitsniveau erhöhen wird: »Die NIS-2-Richtlinie verpflichtet zu strengeren Schutzmaßnahmen und zur Meldung von Sicherheitsvorfällen. Dadurch sollen Unternehmen widerstandsfähiger gegen Cyberangriffe werden.« Unternehmen, die ihre IT-Sicherheitsstrategien vernachlässigen, setzen sich nicht nur großer Gefahr durch Angriffe aus, sie machen sich nun auch strafbar. Bei Verstößen drohen hohe Bußgelder von bis zu zehn Millionen Euro oder zwei Prozent des weltweiten Jahresumsatzes – je nachdem, welcher Betrag höher ist.

Cyberversicherungen bieten diesbezüglich zumindest eine finanzielle Absicherung, zumal Geschäftsführer*innen persönlich für Schäden haften, die durch Missachtung ihrer Pflichten im Risikomanagement entstehen. Von umfassenden Sicherheitsstrategien und technischen Abwehrmechanismen entbindet eine Versicherung freilich nicht, wie Expertin Judit Tumpek beim Security-Talk der Fachgruppe UBIT in der Wirtschaftskammer Salzburg erläuterte: »Cyberversicherungen sind keine universelle Lösung. Jedes Unternehmen muss sein spezifisches Risiko analysieren und geeignete Maßnahmen ergreifen, um Schäden zu minimieren. Der Versicherer hat das Recht, Schadensansprüche abzulehnen, wenn grundlegende Sicherheitsvorkehrungen nicht getroffen wurden.«

Restrisiko bleibt
Tatsächlich ist eine Cyberversicherung der letzte Punkt eines Risikomanagementplans und deckt nur das verbleibende Restrisiko ab. Zuvor sollte das IT-Sicherheitssystem so weit optimiert werden, um technische Angriffe erfolgreich abzuwehren. Schwieriger ist es im Falle von sogenanntem »Social Engineering«, wenn Mitarbeiter*innen getäuscht und angehalten werden, vertrauliche Daten preiszugeben. Regelmäßige Schulungen und erhöhte Awareness machen sich hier bezahlt: Gemäß der KPMG-Studie konnten 62 Prozent der Cyberangriffe mithilfe des eigenen Personals identifiziert werden – noch bevor technische Lösungen Alarm schlugen.

Einige Versicherungsunternehmen bieten auch speziell für KMU konzipierte Modulsysteme an, mit denen der Basisschutz durch optionale Zusatzpakete ergänzt werden kann. Kleine und mittelständische Betriebe unterschätzen oft ihre Angriffsfläche. »Wir sind zu klein, um ein Ziel zu sein«, gilt nicht mehr. »Vor allem durch Homeoffice und Remote-Arbeit steigt das Risiko für Cyberattacken«, warnt Peter Wollenschläger, Leiter Firmenkunden bei Helvetia Österreich. Ungesicherte oder gar private Endgeräte sind für Kriminelle ideale Eintrittstore in das IT-System der Firma. Oftmals wird der Angriff längere Zeit nicht erkannt, da Schadsoftware unbemerkt im Hintergrund läuft und Daten absaugt oder verschlüsselt.

Auch die Vienna Insurance Group (VIG) adressiert mit dem im Oktober 2024 gegründeten Tochterunternehmen Cyber Risk Solutions GmbH (CyRiSo) an KMU als primäre Zielgruppe. Das Serviceportfolio umfasst umfangreiche Unterstützung zur Reduktion von Cyberrisiken, u. a. durch technische und organisatorische Vorkehrungen. »Findet trotz der präventiven Maßnahmen ein Cyberangriff statt, so sind wir zur Stelle, um mit dem Unternehmen gemeinsam den Sicherheitsvorfall möglichst schnell zu beheben«, erklärt Christiana Bruckner, Co-Geschäftsführerin von CyRiSo.

Vor Abschluss eines Versicherungsprodukts sollten Unternehmen abklären, welche Leistungen inkludiert sind. Die Spannbreite möglicher Schäden reicht von IT-Wiederherstellungskosten über Umsatzverluste durch Betriebsunterbrechungen bis zu Lösegeldzahlungen bei Ransomware-Angriffen. »Nicht oder nur in Ausnahmefällen gedeckt sind Pönalzahlungen aufgrund verspäteter Lieferungen, ungeplante Systemverbesserungen, die mit erheblichem Mehraufwand verbunden sind, sowie die Unzufriedenheit des All-In-Personals, insbesondere wenn Überstunden nicht abgegolten werden«, sagt Cybersecurity-Experte Milanovic, der beim Versicherungsspezialisten GrECo Unternehmen in den Bereichen Risikoawareness und Risikotransfer sowie Managerhaftungsrisiken berät. Kaum abzugelten, ist freilich der Reputationsverlust bei Kunden und Partnern – vermutlich auch der Grund, weshalb erfolgreiche Angriffe häufig verschwiegen werden.

Bild: Mihajlo Milanovic ist Practice Leader Financial Lines bei GrECo, einem auf Risikomangement spezialisierten Versicherungsunternehmen.

Lösegeld – ja oder nein?
Bezüglich Erpressungsversuchen ist die Empfehlung von Behörden und Fachleuten eindeutig: Lösegeldforderungen sollten möglichst nicht bedient werden. Die Zahlung von Lösegeld, um verschlüsselte Daten wiederzubekommen, ist dabei »nicht nur eine wirtschaftliche Überlegung, sondern wirft vor allem auch straf- und haftungsrechtliche Fragen auf«, wie Rechtsanwalt Elias Schönborn von der Kanzlei es.law, erläutert: »Entscheidend ist, ob der bzw. die Geschäftsführung die Sorgfaltspflichten erfüllt und im Einklang mit der Sorgfalt ordentlicher und gewissenhafter Geschäftsleute gehandelt hat.« Liegt eine wissentliche Pflichtverletzung oder eine vorsätzliche Schadenverursachung vor, behält sich die Versicherung in der Regel einen Risikoausschluss vor.

»Ob eine Lösegeldzahlung erfolgen kann, ist eine Einzelfallfrage«, meint Andreas Schütz, Partner und CEE Head of IT & Datenschutz bei Taylor Wessing: »Bei deren Beantwortung müssen u. a. rechtliche Vorgaben, die Versicherungsbedingungen, die technischen Möglichkeiten zur Datenwiederherstellung – ein Backup verhindert nicht den Verkauf der betroffenen Daten auf dem Schwarzmarkt – und behördliche Empfehlungen berücksichtigt werden.« Versicherer prüfen im Rahmen einer Risikoabwägung, ob eine Zahlung in Frage kommt und binden dabei Experten aus Recht, Forensik und IT-Sicherheit ein.

Rund jedes dritte Unternehmen hat laut KPMG im Vorjahr Lösegeld gezahlt, um rasch den Zugang zu Daten und Systemen wiederzuerlangen. Diese Hoffnung erfüllt sich nicht immer: Wer einmal mitspielt, läuft Gefahr, immer wieder Opfer zu werden. In der kriminellen Szene spricht sich herum, welche Unternehmen zahlen.

Gespräch: »Ein ständiges Katz-und-Maus-Spiel«

Bild: Michael Ganzwohl leitet gemeinsam mit Christiana Bruckner das neu gegründete Sicherheitsunternehmen CyRiSo.

Cyberkriminelle ändern laufend ihre Angriffsmethoden. Umso wichtiger ist es, Sicherheitsmaßnahmen in den Prozessen zu verankern, erklärt Michael Ganzwohl, Geschäftsführer der Cyber Risk Solutions GmbH.

Gibt es einen hundertprozentigen Schutz gegen Cyberangriffe?

Michael Ganzwohl: Die klare Antwort ist Nein. IT ist nicht statisch und die ständigen Veränderungen bergen das Risiko für neue Schwachstellen. Cyberkriminelle finden ständig neue Methoden, um Angriffe besser zu planen und durchzuführen. Das ist ein ständiges Katz-und-Maus Spiel. Deshalb ist es so wichtig, Cybersecurity nachhaltig in den Prozessen zu verankern. So können neue Bedrohungen und Angriffe frühzeitig erkannt und verhindert werden. Je schwieriger ein Unternehmen für den Hacker erscheint, desto größer ist auch die Chance, dass die Angreifer einfachere Opfer ins Visier nehmen.

Welche Schäden können durch eine Versicherung abgedeckt werden und welche nicht?

Ganzwohl: Üblicherweise enthält eine Cyberversicherung mehrere Deckungsbausteine. Beispielsweise ist der Einsatz von Spezialist*innen, um Angriffe abzuwehren und Schäden zu minimieren Teil der Deckung. Weiters werden Datenverlust oder Datenbeschädigung, Weitergabe von Computerviren an Dritte, Datenwiederherstellung bis hin zu den Kosten einer Betriebsunterbrechung versichert. Ausschlüsse sind von Versicherung zu Versicherung unterschiedlich. Aber üblicherweise sind Terrorismusauswirkungen, Angriffe im Rahmen von Kriegen und staatliche Angriffe oder Verwaltungsstrafen nicht versicherbar.

Was raten Sie Unternehmen, die von einer Ransomware-Attacke betroffen sind?

Ganzwohl: Im Ernstfall wird der Notfallplan aktiviert. Es ist äußerst wichtig, die organisatorische Handlungsfähigkeit des Unternehmens aufrechtzuerhalten – insbesondere die Kommunikation. Aus technischer Sicht ist zu analysieren, woher der Angriff kommt, welche Techniken angewendet werden und welche Systeme in Mitleidenschaft gezogen werden. Die betroffenen Bereiche sind umgehend zu isolieren, um eine Ausbreitung der Ransomware zu unterbinden. Parallel wird an der Eliminierung des Angriffs gearbeitet, gefolgt vom Wiederanlauf der Systeme mit höchster Priorität. In diesem Schritt zeigt sich, ob das Unternehmen über ausreichende Datensicherungen und umsetzbare Wiederanlaufpläne verfügt und den Angriff gut überstehen kann.

Analyse: Das Risiko minimieren

Bild: Philipp Zumbo ist Partner und CEE Head of Dispute Resolution der Rechtsanwaltskanzlei Taylor Wessing.

Selbst wenn Unternehmen umfassende Schutzmaßnahmen treffen, besteht die Gefahr, dass Cyberkriminelle über unentdeckte Schwachstellen sensible Daten entwenden. Cyberversicherungen sind eine sinnvolle Vorsorge, um Kosten im Schadensfall abzudecken. Entsprechende Produkte unterscheiden sich oft in wesentlichen Details. Üblicherweise ist das Vermögen des Unternehmens nicht im Versicherungsschutz enthalten – Zahlungen, die infolge von Cyberbetrug (z.B. CEO-Fraud) erfolgen, werden daher nicht ersetzt.

Der konkrete Versicherungsbedarf sollte vorab in einer Risikoanalyse ermittelt werden. »Beim Abschluss einer Cyberversicherung sollten Unternehmen prüfen, ob versicherte Ereignisse und Deckungsausschlüsse, Deckungssummen (Caps) und Sublimits zum individuellen Risiko passen. Das erfordert eine umfassende betriebliche, technische und rechtliche Prüfung«, sagt Philipp Zumbo, Partner und CEE Head of Dispute Resolution bei Taylor Wessing. »Wichtige Kriterien sind Anforderungen an die IT-Sicherheit, Einbindung von Dienstleistern, verfügbare Support-Leistungen (z.B. Forensik), Krisenmanagement und Krisenkommunikation, Meldefristen sowie rechtliche Beratung im Schadensfall.«

Folgende Leistungen werden meist durch eine Cyberversicherung abgedeckt:

- Notfallhilfe durch Expert*innen aus den Bereichen IT, PR, Recht und Datenschutz
- Unterstützung bei Datenschutzverletzungen bzw. Haftpflichtansprüchen Dritter
- Optimierung des Cybersecurity-Managements zur Prävention
- Schutz vor Gewinnausfall
- Absicherung von außerordentlichen, nicht kalkulierbaren Kosten
- Wiederherstellung der IT-Systeme und Daten

Erweiterter Schutz - Bei einigen Anbietern gibt es frei wählbare Zusatzmodule

Betriebsunterbrechung. Der Versicherer ersetzt den Ertragsausfall, wenn wegen einer Störung oder eines Angriffs nicht gearbeitet werden kann. Außerdem werden Mehrkosten übernommen, die etwa durch Nutzung fremder Systeme, Inanspruchnahme von Fremddienstleistungen oder bei der Information der Kunden und Partner entstehen.

Erpressung. DDoS- oder Ransomware-Attacken sind meist mit der Forderung nach Lösegeld verbunden. Die Versicherung übernimmt die Kosten für eine Krisenberatung zur Schadensabwehr, nach vorheriger Absprache mitunter auch die Kosten für die Lösegeldzahlung.

Haftpflicht. Diese Versicherung deckt Haftungsansprüche von Dritten ab. Dabei geht es um reine Vermögensschäden inkl. immaterieller Schäden, z.B. durch Datenschutzverletzungen, sowie Haftungsansprüche in Straf- und Verwaltungsverfahren.