Gefährlich: Versicherer warnen vor flexiblem Homeoffice
Die Versicherer erwarten durch Home-Office-Arbeit mehr Schäden durch Cyber-Attacken und Betrug. „Betrugsschäden, werden oft erst viel später erkannt“, sagte Rüdiger Kirsch, Global Fidelity Expert bei Euler Hermes und Vorsitzender der GDV-Arbeitsgemeinschaft Vertrauensschadenversicherung (VSV) auf einer virtuellen Pressekonferenz.
Daher erwartet Kirsch für 2021 deutlich mehr Schäden. „Die Schadenwelle, die 2020 im Homeoffice verursacht wurde, werden wir als Versicherer erst 2021 oder 2022 merken.“ Euler Hermes sei besonders betroffen, weil die Assekuranz als Marktführer besonders viele Policen mit hohen Summen im Portfolio habe. Im vergangenen Jahr war der Schadenaufwand bei VSV branchenweit um rund sechs Prozent auf 168 Mio. Euro zurückgegangen. Ein Grund sei der Lockdown gewesen, der viele geschäftliche Aktivitäten auch zum Erliegen gebracht hat.
Flexibles Arbeiten gefährdet Sicherheit
„Das Home-Office ist aber weiterhin ein Treiber für Vertrauensschäden“, so Kirsch. Grund sei, dass es keine informelle Kommunikation zwischen den Mitarbeitern gebe, wie das im Büro möglich sei. In manchen Unternehmen würde die Sicherheit im Homeoffice sogar bewusst vernachlässigt. So hätten zwölf Prozent der Arbeitnehmer in einer Umfrage von YouGov bestätigt, dass sie die Compliance- und Sicherheitsregeln beim mobilen Arbeiten nicht vollständig befolgen müssen und sie stattdessen „flexibel“ handhaben könnten. „Ein solches Umfeld ist für Betrüger ein Eldorado“, warnte Kirsch. An der Online-Umfrage nahmen im Juli und August über 2.000 Arbeitnehmer teil.
VSV- und Cyber-Police kombinieren
„Die Kombination von VSV- und Cyber-Police ist für Unternehmen sehr ratsam. Beide Versicherungen setzen sich mit den Gefahren des Home-Office auseinander“, erläuterte Ole Sieverding, Underwriting Manager Cyber bei Hiscox und Mitglied der GDV-Projektgruppe Cyberversicherung. So sei Veruntreuung, Diebstahl und Betrug durch Mitarbeiter durch Cyberpolicen nicht gedeckt. Cyberschutz wirke wie eine Feuerwehr, wenn das Haus brenne. Ersetzt würden die Kosten für Krisenberater, IT-Experten, Datenschutzanwälte und der Betriebsunterbrechungsschaden.
Laut der beiden Experten wäre das Interesse an Versicherungsschutz durch die Corona-Pandemie deutlich größer geworden. Selbst für Handwerksbetriebe wäre die VSV empfehlenswert. Sie koste für Kleinstunternehmen rund 1.000 Euro im Jahr. Kirsch: „Ein Schaden von 30.000 oder 50.000 Euro kann für ein solches Unternehmen lebensbedrohend sein.“ Zahlungen von Lösegeld spielten in der Regulierungspraxis der Cyberversicherung trotz steigender Erpressungsschäden eine vollkommen untergeordnete Rolle. Es ginge meist darum, das IT-System wieder neu aufzusetzen.
Lösegeldzahlungen unnötig
Von Lösegeldzahlungen rät Sieverding grundsätzlich ab. Es sei nicht klar, ob Erpresser, die das IT-System mit Ransom-Software lahmlegt hätten, es nach einer Zahlung wieder freigeben würden. Zudem wären die Daten „kompromittiert“. Der Hacker sei ja ins System eingedrungen. Sieverding erinnerte daran, dass Unternehmen nur dann Cyberversicherungsschutz bekommen, wenn sie eine Risikoprüfung bestanden haben. Unternehmen, die die Mindestanforderungen erfüllen würden, bräuchten keine Angst vor Lösegelderpressung zu haben. Sieverding: „Dann hat das Unternehmen nämlich eine Offline-Datensicherung.“ Branchenweite Schadenzahlen aus dem Bereich Cyber-Kriminalität gibt es laut Sieverding bisher noch nicht. „Wir hatten aber 2020 Großschäden.“ Der Gesamtschaden für 2020 soll im „mittleren zweistelligen“ Millionenbereich liegen.
Keine privaten Geräte nutzen
Zur Sicherheit von Unternehmen und Angestellten raten die Experten dazu, im Home-Office nur Firmengeräte zu nutzen. „Der persönliche Laptop ist eine Black-Box. Besser ist immer ein Gerät, das die Firmen-IT-Verantwortlichen kontrollieren können“, so Sieverding. Private Daten, die Angestellte während der Arbeit verlieren, sind von der Cyber-Versicherung nicht abgedeckt. Experte Kirsch schilderte einen Betrugsfall, bei dem eine Buchhalterin im Homeoffice aufgrund einer Mail, die sie angeblich vom privaten Account ihres Geschäftsführers erhielt, Geldanweisung in Höhe von 350.000 Euro ausführte. Auch die zweite Kollegin – ebenfalls im Home-Office – die nach dem Vier-Augen-System die Überweisungen freigeben musste, ließ sich von der gefälschten Nachricht täuschen.
Kirsch: „Dabei wäre der Geschäftsführer telefonisch erreichbar gewesen. Doch im Home-Office fehlte den Mitarbeiterinnen die private Handynummer des Chefs.“ Den Vermögensschaden hätte Euler-Hermes über die VSV ersetzt. Die Assekuranz konnte aber über einen schnell hinzugezogenen Spezialanwalt das Geld in vollem Umfang zurückholen. Daher musste der Versicherer lediglich die Anwaltskosten begleichen. „Im Betrugsfall sollte man umgehend mit Banken, Anwälten – und falls möglich – mit seinem Versicherer Kontakt aufnehmen, um den Schaden zu begrenzen“, rät Kirsch.
Autor: Uwe Schmidt-Kasparek