Umfragen zeigen, dass Unternehmen Cyberrisiken als die grösste Bedrohung für ihre Organisation betrachten. Dennoch werde das Risiko unterschätzt, vor allem von KMU, sagt uns Tobias Seitz, Leiter Underwriting Technische Versicherungen Region Ost bei Helvetia. Kleinere Firmen würden häufig glauben, dass sie für Kriminelle kein attraktives Ziel seien. "Aber das ist ein Trugschluss", fügt Seitz im Gespräch an. Denn Cyberkriminelle würden meist ungezielt angreifen und den Weg des geringsten Widerstands nehmen. Grosse Unternehmen oder kritische Infrastrukturen seien in der Regel besser geschützt als KMU.

Der Schaden eines Cyberangriffs beläuft sich für ein KMU auf durchschnittlich 100'000 Franken. Die Kosten bei schwerwiegenden Angriffen mit Datendiebstahl und -verschlüsselung könnten in die Millionen gehen, schreiben Helvetia und Gobugfree in einer gemeinsamen Mitteilung. Im Fall der Fälle kann eine Cyberversicherung helfen.

Diese sichert finanzielle Schäden ab, die nach einem Cybervorfall etwa durch die System-Wiederherstellung, Schadenanalyse oder Säuberung der Systeme entstehen. Aber auch der Gewinnausfall und allfällige Ansprüche Dritter sind abgesichert. Wie Helvetia ausführt, erhielten Kunden im Schadenfall auch Zugriff auf ein Expertennetzwerk, das IT-Security-, Rechts- und Kommunikationsexperten umfasse.

Rund 10% der Schweizer KMU haben eine Cyberversicherung. Wenn man bedenke, wie hoch die Abhängigkeit von IT und digitaler Prozesse ist, scheine das noch wenig, so Seitz im Gespräch. Aber die Nachfrage steige, das Thema werde wichtiger.

Wie bei allen Versicherungen fokussieren die Anbieter auch im Cybersicherheitsbereich auf das Thema Prävention. Unabhängig davon, ob eine Cyber-Versicherung abgeschlossen wird, bietet Helvetia gemäss Seitz eine Reihe von Services, darunter E-Learnings für die Sensibilisierung von Mitarbeitenden, Hilfestellung für die Backup-Strategie, einen Cyber-Alert, der auf Sicherheitslücken aufmerksam machen soll oder einen Cyber-Check, der die Überprüfung der eigenen IT-Landschaft ermöglicht.

Neu zum Angebot von Helvetia gehört auch der Community Bugtest in Zusammenarbeit mit Gobugfree. Im Rahmen des Tests suchen ethische Hacker zwei Tage lang nach Lücken in den Systemen der Kunden. Die Friendly Hacker gehören der Gobugfree-Community an und seien vom Unternehmen authentifiziert, erklärt Christina Kistler, CCO Gobugfree.

Der Community Bugtest könne KMU als Standortbestimmung dienen. Mit diesem Ansatz könne eine erste pragmatische Einschätzung der Angriffsfläche und allfälligen Schwachstellen erstellt werden. Kunden erhielten anschliessend einen Bericht und Handlungsempfehlungen, um ihre IT-Sicherheit zu verbessern, führt Kistler aus.

Es sei durchaus denkbar, dass das gemeinsame Angebot ausgebaut wird. Der Bugtest könnte als Einstieg für ein Bug-Bounty-Programm dienen, so Gobugfree. Wer sich für ein langfristiges Bug-Bounty-Programm entscheide, könnte mit einer günstigeren Versicherungsprämie rechnen, ist im Gespräch weiter zu erfahren.

Der Bugtest oder ein Bug-Bounty-Programm müssen als Ergänzung zu bestehenden Massnahmen gesehen werden. Aber sie seien ein Mittel, um Awareness zu schaffen und sich der Securityrisken bewusst zu werden, schliessen die Verantwortlichen.