Cyber-Kriminelle perfektionieren ihre Methoden fortlaufend: Mit KI-generierten Deepfakes lassen sich Mitarbeitende leichter denn je täuschen, etwa um Zahlungen zu veranlassen oder sensible Daten abzugreifen. Unternehmen nehmen häufig an, dass in solchen Fällen die Cyber-Police für Schäden aufkommt. Tatsächlich greift aber in vielen Fällen vorrangig die Vertrauensschadenversicherung. Die Unterschiede zwischen beiden Policen sind aufgrund von teils ähnlicher Deckungsbausteinen nicht immer klar – für einen umfassenden Schutz sind beide notwendig.
Ende 2015 war der österreichische Flugzeugteilehersteller FACC Opfer einer Cyber-Betrugsmasche geworden [1]. Es handelte sich um einen sogenannten Fake-President-Vorfall: ein Vorgehen, bei dem sich Kriminelle per Telefon oder E-Mail als Geschäftsführer ausgeben und Mitarbeitende anweisen, eine Zahlung auszuführen – und zwar möglichst zügig. So auch das Vorgehen bei FACC: Auf Anweisung des vermeintlichen Vorstandschefs überwies die Finanzbuchhaltung 50 Mio. Euro ins Ausland. Lediglich 10,8 Mio. Euro konnten die Behörden auf chinesischen Konten sicherstellen. Anfang 2025 erhielt FACC das Geld zurück.
Zehn Jahre später sind Fake-President-Vorfälle immer noch weit verbreitet und durch den technologischen Fortschritt besser getarnt denn je. Mithilfe Künstlicher Intelligenz erstellen die Täter gefälschte Ton- oder Videoaufnahmen, die es den Beschäftigten in Unternehmen erheblich erschweren, einen Betrug zu erkennen.
Jedes Unternehmen kann es treffen – eine versicherungstechnische Absicherung ist daher unerlässlich. Viele Firmen setzen dabei ausschließlich auf die Cyber-Versicherung. Ein naheliegender Gedanke, handelt es sich doch um einen Betrug, der im digitalen Raum stattfindet. Auch die Produktwerbung für Cyber-Policen suggeriert, dass Social-Engineering-Attacken grundsätzlich durch diese abgedeckt sind. Dies ist jedoch ein Irrglaube, der im Schadenfall zu fehlendem Deckungsschutz führen kann. Gefragt ist in solchen Fällen meistens die Vertrauensschadenversicherung (VSV). In jedem Fall sind die Zuständigkeiten der VSV und Cyber-Versicherung immer individuell zu prüfen.
Die Vertrauensschadenversicherung war ursprünglich darauf ausgelegt, Vermögensschäden durch vorsätzlich kriminelle Handlungen von Vertrauenspersonen zu decken. Dazu zählen sämtliche Mitarbeitende sowie externe Dienstleister und Fremdpersonal, das im Auftrag des Unternehmens arbeitet (IT-Dienstleister, Rechtsanwälte, Steuerberater etc.). Typische Schadenfälle waren Diebstahl, Betrug, Veruntreuung von Geldern, Sabotage oder Weitergabe von Betriebsgeheimnissen. Im Laufe der Zeit hat sich der Anwendungsfall auch auf den Betrug durch Externe ausgeweitet. Hier kommen Cyber-Risiken in Form von Social Engineering wie Fake-President-Vorfälle oder Phishing-Angriffe ins Spiel. Vor diesem Hintergrund stellt sich allerdings die Frage: Wo endet der Schutz der VSV – und wo beginnt der der Cyber-Versicherung?
Der große Unterschied liegt im Auslöser des Schaden- falls. Die Cyber-Versicherung greift in der Regel nur, wenn eine Netzwerksicherheitsverletzung vorliegt. Das heißt: Ein Hacker muss sich aktiv Zugang zum Netzwerk verschafft haben, beispielsweise durch den Einsatz von Malware. Ist dies gegeben, werden Kosten für Datenwiederherstellung und Betriebsunterbrechungen, Haftpflichtansprüche Dritter oder Lösegeldforderungen bei Ransomware übernommen. Darüber hinaus deckt die Cyber-Police auch nicht-zielgerichtete Angriffe ab, bei denen Täter Schadsoftware breit streuen und keine bestimmte Organisation ins Visier nehmen.
Die VSV deckt zwar auch Netzwerksicherheitsverletzungen, allerdings nur im Falle von zielgerichteten Angriffen. Der Versicherer verlangt darüber einen Nachweis, bevor er eine Versicherungssumme auszahlt. Dies kann unter Umständen sehr schwierig sein, weshalb in vielen Situationen die VSV den Cyber-Angriff gar nicht abdeckt und die Cyber-Versicherung vorrangig zur Anwendung kommt.
Trotz gewisser Ähnlichkeiten unterscheiden sich also die Voraussetzungen und abgesicherten Schadensarten erheblich. Dadurch wird deutlich: Erst die Kombination der Policen bietet Unternehmen einen lückenlosen Schutz. Wichtig ist, dass beide Deckungen gut aufeinander abgestimmt und an das jeweilige Geschäftsmodell angepasst sind. Als Spezialmakler berät und unterstützt Willis dabei, den Versicherungsschutz auf individuelle Bedürfnisse zuzuschneiden.
Zu einem vorausschauenden Risikomanagement gehört neben der versicherungstechnischen Absicherung auch die Prävention. Unter anderem ist regelmäßig zu analysieren, wie Zahlungsfreigaben organisiert sind: Wie werden Zahlungen angeordnet? Wer darf diese freigeben? Welche Schutzmechanismen sind etabliert?
Auch technisch gilt es, alle erdenklichen Einfallstore zu schließen: Zahlreiche IT-Sicherheitslösungen wie die Multifaktor-Authentifizierung, gezieltes Monitoring und Privilegienmanagement haben sich dafür etabliert. Zwingend notwendig sind auch eindeutige Regeln bezüglich der Nutzung eigener Endgeräte von Mitarbeitenden (BYOD). Ebenso wichtig sind Mitarbeiterschulungen, um die Beschäftigten für Social-Engineering-Angriffe zu sensibilisieren.
Und dennoch: Die Täter agieren äußerst professionell und erzeugen gezielt Druck auf das schwächste Element in einem Prozess – den Menschen. Ein Restrisiko bleibt also immer bestehen – doch genau das lässt sich mit der richtigen Versicherungslösung auffangen.
