Interview des Monats

Die VersicherungsPraxis24 im Gespräch mit:

 

Rüdiger Kirsch, Global Fidelity Expert bei Euler Hermes und Vorsitzender der Arbeitsgemeinschaft Vertrauensschadenversicherung im GDV

Mehr Compliance-Fehler im Homeoffice

Autorin: Susanne Görsdorf-Kegel

Seit 18 Monaten ist das Arbeiten von Zuhause aus fast schon zu einer Selbstverständlichkeit geworden. Dies bringt neben vielen Vorteilen aber auch Nachteile für die Unternehmen mit sich. Ein wichtiger Aspekt dabei rückt erst allmählich ins Bewusstsein, nämlich die möglichen Schäden durch Cyberattacken und Betrug. Versicherungspraxis24 sprach mit Rüdiger Kirsch, Global Fidelity Expert bei Euler Hermes und Vorsitzender der Arbeitsgemeinschaft Vertrauensschadenversicherung im GDV, darüber, wie groß er das Risiko einschätzt und was dagegen getan werden sollte.

Wie grenzen Sie Cyber- und Vertrauensschadenversicherungen voneinander ab - gibt es dabei Überschneidungen?

Kirsch: Zu einer klassischen Cyber-Versicherung gehören vor allem Bausteine aus Haftpflicht-, Betriebsunterbrechungs- und Rechtschutzversicherung. Zudem sind beispielsweise auch Lösegeldzahlungen bei Erpressungen möglich – bei einer Vertrauensschadenversicherung nicht. Cyberkriminalität ist bei der Vertrauensschadenversicherung eingeschlossen, wenn es sich um zielgerichtete Angriffe und Betrugsthemen handelt. Da greift wiederum eine Cyberversicherung in den meisten Fällen nicht. Dazu gehört z.B. das Vortäuschen einer falschen Identität wie beispielsweise bei Fake President, aber natürlich auch die typischen Betrugsfälle mit Unterschlagung oder dass der Mitarbeiter Gelder abzweigt.

Laut GDV war 2020 ja ein eher gutes Jahr für die Vertrauensschadenversicherung. Stimmen Sie dieser Einschätzung zu?

Kirsch: Aus meiner Sicht war es kein gutes Jahr. Es gab zwar eine günstige Schadenquote, aber trotzdem haben die Versicherer viel an die Kunden ausbezahlt. Dazu hat vor allem das Thema Homeoffice beigetragen, das die Unternehmen und ihre Mitarbeiter ziemlich unvorbereitet getroffen hat. Zu Beginn gab es unterschiedliche Kompetenzen, wie man damit umgehen soll, und die Mitarbeiter wussten oft nicht, wie sie sich in Hinsicht auf die Compliance verhalten sollen. Sie waren unsicher und konnten keinen Kollegen mal eben fragen, was sie machen sollen. Dass es nicht zu einem Anstieg der Schadenquote gekommen ist, lag vor allem daran, dass der Geschäftsbetrieb durch Lockdown- und Quarantäne-Maßnahmen heruntergefahren wurde.

Erwarten Sie, dass es 2021 zu höheren Schadenquoten kommen wird?

Kirsch: Ich erwarte einen Anstieg der Schäden durch vorgetäuschte Identitäten. Bei der Vertrauensschadenversicherung gibt es ja immer einen Nachhall, weil Betrügereien erst später entdeckt werden, und erst wenn der Schadenfall anfängt, betrifft es uns. Ein häufiger Fall ist auch im Homeoffice die Betrugsmasche „Fake President“, d.h., ein gefälschter Chef gibt Mitarbeitern den hochvertraulichen Auftrag, Überweisungen zu tätigen für einen vermeintlichen Unternehmenszukauf oder in den Anfangszeiten von Covid-19 auch für den Kauf von Schutzmasken. Damit verwandte Betrugsmaschen wie Zahlungs- oder Bestellerbetrug leiten mithilfe von gefälschten Rechnungen Zahlungsströme um oder bestellen als falsche Kunden Waren an eine abweichende Lieferadresse. Das dürfte 2021 vermehrt auftreten und darüber müssen die Firmen intensiv aufgeklärt werden.

Inwieweit spielt dabei das Homeoffice eine Rolle?

Kirsch: Dort spielen von Menschen gemachte Probleme eine größere Rolle, indem der Mitarbeiter beispielsweise aus Neugier einen falschen Knopf drückt oder generell die Sicherheitsregeln außen vor lässt. Für Hacker sind Mitarbeiter im Homeoffice ein leichteres Ziel als im Büro im Unternehmen. Die Versicherungswirtschaft hat in den letzten Jahren die Kunden und die Öffentlichkeit gewarnt und darauf hingewiesen, wie wichtig Sicherheit ist, damit die Schäden nicht so exorbitant nach oben gehen. Diese Prävention hat erste Früchte getragen.

Was können denn Unternehmen tun, wenn sie sich systematisch absichern wollen?

Kirsch: Sie sollten vor allem die möglichen Opfer, insbesondere die Buchhalter, schulen, damit sie eine gefakte Mail von einer richtigen Mail unterscheiden können. Unabhängig von Schulungen muss der Mitarbeiter aber auch die Richtlinien einhalten. Das Homeoffice ist kein Freibrief für kreative Mitarbeiter, sich über alles hinwegzusetzen. Wichtig ist außerdem, dass alle Mitarbeiter gut erreichbar sind und sich mit ihren Kollegen jederzeit beraten können. Das ist in der Realität teilweise ein Problem. Stattdessen wird oft per WhatsApp kommuniziert – davor möchte ich dringend warnen, das ist wirklich sehr, sehr gefährlich. Es sollte verboten werden, WhatsApp im Büroalltag für mehr als eine Rückrufbitte zu verwenden, dafür ist es einfach zu unsicher.

Gibt es Mindestanforderungen an die technische Ausrüstung, die im Homeoffice erfüllt sein sollten?

Kirsch: Der Mitarbeiter sollte nicht seinen privaten Computer benutzen, sondern die Firma sollte ihm einen Firmenlaptop stellen, auf dem die unternehmenseigene IT installiert ist und der auch mit Updates gewartet wird. Sie muss dafür Sorge tragen, dass ein häufiger Passwortwechsel stattfindet. Das technische Equipment muss einfach gut sein, das ist der beste Schutz vor Cyberattacken. Auch Compliance-Richtlinien müssen die aktuellen und zukünftigen Gegebenheiten abbilden mit dem permanenten Wechsel zwischen Büro und Homeoffice. Kurz gesagt: An der Ausstattung mit tragbaren Laptops und IT-Überwachung sollten Unternehmen nicht sparen. Und Mitarbeitern sollten im Zweifelsfall lieber eine Mail zu viel löschen als zwei zu wenig, weil das Risiko, mit einem fatalen Klick Opfer einer Cyberattacke zu werden, sehr hoch ist, gerade auch mit Ransomware.