Immer mehr Cyber-Versicherungen
Mit Cyber-Versicherungen wollen sich Unternehmen häufiger vor den Folgen von Hackerangriffen, Erpressungstrojanern oder auch Datenschutzpannen schützen.
(Bild: Europol)
Die Versicherungsbranche befürchtet Risiken auf dem Wachstumsmarkt der Cyber-Versicherungen. Einerseits sichern sich immer mehr Firmen mit solchen Policen gegen die finanziellen Folgen von Datenpannen ab. Andererseits sind die Risiken für die Versicherer besonders hoch.
In der Cyber-Versicherung liefert die Vergangenheit keine zuverlässigen Indizien für die Wahrscheinlichkeit eines Schadens. Das ist anders als bei Bränden oder Autounfällen: Auf Grundlage historischer Daten lässt sich ziemlich genau vorhersagen, wie wahrscheinlich und wie hoch die Schäden in der Zukunft sein werden. Cyber-Risiken müssen dagegen mit aufwändigen Modellrechnungen simuliert werden.
Innovative Kriminelle
Cyber-Kriminelle sind ebenso innovativ wie gesetzestreue IT-Firmen. "Wir sehen, dass immer wieder Schäden entstehen durch völlig neue Arten von Angriffen", sagt Doris Höpke, im Vorstand des weltgrößten Rückversicherers Munich Re zuständig für Spezial- und Finanzrisiken.
2016 war Online-Erpressung der große Trend. "Wir hatten bei Ransomware im letzten Jahr einen enormen Anstieg", berichtet Höpke. Ebenfalls weit verbreitet haben sich Attacken, die die IT-Infrastruktur der Opfer durch massenhafte Datenabfrage lahmlegen sollen: "Denial of Service ist sehr prominent geworden."
(Bild: Kaspersky)
Für die Zukunft gehen Fachleute davon aus, dass Cyberangriffe mit Hilfe vernetzter Maschinen und Geräte zunehmen. "Das Ganze zu kategorisieren, ist extrem schwer, auch weil es ganz unterschiedliche Motivationslagen der Täter gibt", sagt Höpke. "Vom ideologisch getriebenen Terroristen bis zum 15-Jährigen, der seine Fähigkeiten testen möchte."
Eine einzige Cyber-Attacke kann ebenso wie eine Naturkatastrophe Tausende oder Zehntausende von Unternehmen gleichzeitig treffen - diese Risiken können auf einen Schlag immens teure Schäden verursachen.
Milliarden-Markt
Laut Gesamtverband der Versicherungswirtschaft bieten in Deutschland inzwischen gut 15 Versicherer Cyber-Policen an, überwiegend für die Industrie. Die Zahl der Hackerangriffe nimmt stetig zu. "Bei jeder zehnten Cyber-Police wird ein Schaden gemeldet", sagt Andreas Berger, Vorstandsmitglied bei Allianz AGCS. Und Brüssel verschärft die Regulierung. "Die Nachfrage wird mit Inkrafttreten der EU-Datenschutzgrundverordnung im nächsten Jahr rapide zunehmen. Die sieht eine verschärfte Meldepflicht für Cyberattacken vor."
Noch ist der Markt für Cyberpolicen klein. Die Munich Re geht weltweit von derzeit 3,6 Milliarden Dollar aus, davon entfallen rund 85 Prozent auf die USA, wie Doris Höpke sagt. Sie erwartet bis 2020 einen Anstieg auf weltweit 8 bis 10 Milliarden US-Dollar Prämieneinnahmen. Andreas Berger erwartet bis 2027 ein weltweites Marktvolumen von zwanzig Milliarden Euro.
Manche IT-Anbieter verkaufen Produkte, die die Kosten für Cyber-Versicherung senken sollen: Etwa Apple und Cisco mit einer Referenzarchitektur für höhere Sicherheit.
Risiko Betriebsunterbrechung
Die globale Vernetzung zieht globale Domino-Effekte nach sich. "Weltweites Risiko Nummer eins ist die Betriebsunterbrechung", sagt Allianz-Mann Berger. "Es reicht nicht, wenn nur das eigene Werk geschützt wird."
Schwierig ist die Frage, was eigentlich versichert werden kann. "Das Einfachste ist die Versicherung der IT-Infrastruktur des Kunden vor Ort", sagt Munich-Re-Vorstand Höpke. "Die nächste Komplexitätsstufe könnte sein, dass Kundendaten nach außen geraten. Die übernächste Komplexitätsstufe könnte sein, dass (...) ein Sachschaden entsteht - etwa eine computergesteuerte Produktionsanlage Feuer fängt." Und wenn es in die indirekten Schäden gehe, werde es wirklich kompliziert. "Diese Risiken sind noch mal schwieriger zu erkennen und zu bewerten als in der Welt der Sachschäden."
In vielen Unternehmen fehlt es offenbar an Vorsorge: "Es ist erstaunlich, wie viele - auch schwere - Schäden immer noch durch vermeintlich simple Nachlässigkeiten entstehen", sagt Höpke. "Ganz simple Sachen wie zu einfache Administratoren-Kennwörter, sodass ein Angreifer von außen nicht nur einen E-Mail-Account knackt, sondern sich Zugriff auf ein ganzes Firmennetzwerk verschafft." (dpa) / (ciw)
