INDUSTRIEMAGAZIN: Herr Milanovic, erzählen Sie uns doch bitte etwas über GrECo und Ihre Rolle im Unternehmen.
Mihajlo Milanovic: GrECo ist Österreichs größter Risikoberater und Versicherungsmakler – ein familiengeführtes Unternehmen, das in 19 Ländern tätig ist. Neben der klassischen Vermittlung von Versicherungen sehen wir uns vor allem als Berater, der Unternehmen bei der Identifikation, Vermeidung und Absicherung von Risiken unterstützt. Besonders in der Sparte Financial Lines, für die ich verantwortlich bin, bieten wir umfassende Lösungen an, von denen Cyberversicherungen ein Teil sind.
Wie wichtig sind solche Cyberversicherungen für Ihr Unternehmen?
Milanovic: Cyberversicherungen sind ein stark wachsender Bereich. Wir betreuen etwa 50 bis 60 Prozent des österreichischen Marktes. Dabei ist uns wichtig, dass die Kunden nicht nur eine Versicherung abschließen, sondern ihre IT-Sicherheitsmaßnahmen so weit wie möglich optimieren, bevor das verbleibende Restrisiko ausgelagert wird. Eine Versicherung ist der letzte Schritt in einem umfassenden Risikomanagementprozess.
Welche typischen Schwachstellen begegnen Ihnen in Unternehmen?
Milanovic: Das hängt stark von der Unternehmensgröße ab. Kleinere Firmen haben oft grundlegende Sicherheitslücken wie fehlende Multifaktor-Authentifizierung, ein schwaches Patch-Management oder keine klaren Backup-Strategien. Größere Unternehmen hingegen haben häufig Herausforderungen in der Segmentierung ihrer Netzwerke oder bei der Rekrutierung spezialisierter Fachkräfte. Generell zeigt sich aber: Unternehmen, die frühzeitig in ihre IT-Sicherheit investieren, profitieren langfristig durch geringere Schadensrisiken und bessere Versicherungsbedingungen.
Social Engineering ist ein häufiger Angriffsvektor. Kann man sich dagegen absichern?
Milanovic: Ja, allerdings muss man zwischen zwei Szenarien unterscheiden: Wenn Social Engineering dazu führt, dass IT-Systeme kompromittiert werden, greift die Cyberversicherung. Bei reinem Betrug, etwa durch Fake-Präsident-Fälle oder gefälschte Zahlungsaufforderungen, sind Vertrauensschadenversicherungen gefragt. Es gibt zwar kombinierte Produkte, doch in der Praxis sind oft mehrere Polizzen erforderlich, um alle Risiken abzudecken.
Salopp gefragt: Ist das überhaupt noch bezahlbar?
Milanovic: Interessanterweise wird es wieder bezahlbarer. Wir hatten tatsächlich seit 2020 einen starken Anstieg bei Prämie und Selbstbehalten, und gleichzeitig einen rapiden Rückgang, was die Konditionen betrifft. Seit Ende 2023 beobachten wir hier eine leichte Entspannung. Versicherer honorieren endlich bessere IT-Sicherheitsstandards mit günstigeren Prämien und Konditionen, anstatt wie früher an starren Bedingungen festzuhalten.
Welche Rolle spielt Künstliche Intelligenz bei der Risikobewertung?
Milanovic: Derzeit eigentlich keine. Uns ist eigentlich nur ein Fall bekannt, indem der Versicherer das Thema in der Risikoerhebung abgefragt hat. Das heißt aber nicht, dass die KI-Problematik nicht irgendwann angegangen wird. Vielleicht brauchen die Versicherer einfach noch ein bisschen länger, bis sie das Thema überschauen.
Welche Schäden entstehen typischerweise durch Cyberangriffe?
Milanovic: Die Spannbreite reicht von IT-Wiederherstellungskosten über Umsatzverluste bis hin zu Lösegeldzahlungen bei Ransomware-Angriffen. Schwieriger zu beziffern sind Reputationsverluste oder der Abgang von Schlüsselpersonal. Wir haben Fälle gesehen, in denen IT-Leiter nach einem Angriff krankheitsbedingt ausfielen oder sogar in den Burnout gingen. Solche Folgeschäden sind oft nicht versicherbar, weshalb Prävention auch hier entscheidend ist.
Wie steht es um die Cyber-Sicherheit in der österreichischen Industrie?
Milanovic: Die Sensibilität für IT-Sicherheitsfragen ist in den letzten Jahren deutlich gestiegen und sie wird immer besser. Das liegt definitiv auch an den diversen bekannt gewordenen Hacks und wohl auch an den gestiegenen Anforderungen der Versicherer.
Wie sieht es mit der Bereitschaft aus, sich zu versichern?
Milanovic: Es gibt keine offiziellen Zahlen, aber ich würde schätzen, dass nur etwa 20 bis 25 Prozent der österreichischen Unternehmen cyberversichert sind. Das zeigt, dass noch großes Potenzial nach oben besteht. Allerdings müssen sich die Unternehmen auch immer die Frage stellen, ob eine solche Versicherung für das jeweilige Unternehmen überhaupt sinnvoll ist. Wenn ich etwa ein Einzelunternehmer bin, und ich mich selbst um meinen Laptop kümmere, dann wird sich eine solche Versicherung wohl nicht rechnen. Auch als sehr großes Unternehmen, kann ich mir die Frage stellen: Will ich das Schadenrisiko vielleicht doch selbsttragen? Insgesamt ist das Interesse an einer Versicherung bei solchen Firmen aber hoch. Ich glaube, dass sich kein österreichisches Unternehmen jenseits 500 Mio. Euro Umsatz nicht schon mit dem Thema Cyberversicherung beschäftigt hat. Ob es sich dann für einen Abschluss entschieden hat, steht aber auf einem anderem Blatt.
Welche Erfahrungen haben Sie mit der neuen NIS-2-Richtlinie gemacht?
Milanovic: NIS-2 wird das Sicherheitsniveau in Europa und Österreich anheben. Auch wenn die Richtlinie hierzulande noch nicht wirklich umgesetzt ist, zeigt sich, dass Unternehmen mit internationalen Verbindungen oft bereits strenger reguliert sind. Das wird langfristig dazu beitragen, Sicherheitslücken zu schließen und das Risikomanagement auf ein höheres Niveau zu heben.
Zum Abschluss: Haben Sie einen Tipp für Unternehmen, die mit Ransomware-Attacken konfrontiert sind?
Milanovic: Professionelle Unterstützung ist essenziell. Neben rechtlicher Beratung – um beispielsweise Sanktionen oder rechtliche Probleme bei Lösegeldzahlungen zu vermeiden – sollten spezialisierte Verhandlungsführer hinzugezogen werden. Diese können nicht nur die Forderungen minimieren, sondern auch sicherstellen, dass Zahlungen korrekt abgewickelt werden. Wer unvorbereitet agiert, riskiert, die Situation zu verschlimmern.
