Die Gefahr aus dem Netz
Hackerattacken größtes Risiko für deutsche Firmen – Versicherer hoffen auf gute Geschäfte
MÜNCHEN (dpa) - Die Cyber-Versicherung gegen Hackerangriffe boomt. Die Branchenriesen Allianz und Munich Re erwarten für die kommenden Jahre eine Vervielfachung des Geschäfts. „In zehn Jahren könnte es ein weltweites Marktvolumen von zwanzig Milliarden Euro geben“, sagt Andreas Berger, Vorstandsmitglied bei Allianz AGCS, die die großen Firmenkunden betreut.
Noch ist der Markt für Cyberpolicen klein. Die Munich Re geht weltweit von derzeit 3,6 Milliarden USDollar aus, davon entfallen rund 85 Prozent auf die USA, wie Doris Höpke sagt, im Vorstand zuständig für Spezial- und Finanzrisiken. Der weltgrößte Rückversicherer erwartet bis 2020 einen Anstieg auf weltweit acht bis zehn Milliarden USDollar Prämieneinnahmen.
Laut Gesamtverband der Versicherungswirtschaft bieten in Deutschland inzwischen gut 15 Versicherer Cyber-Policen an, überwiegend für die Industrie. Die Zahl der Hackerangriffe nimmt stetig zu. „Bei jeder zehnten Cyber-Police wird ein Schaden gemeldet“, sagt Berger. Und Brüssel verschärft die Regulierung. „Die Nachfrage wird mit Inkrafttreten der EU-Datenschutzgrundverordnung im nächsten Jahr rapide zunehmen. Die sieht eine verschärfte Meldepflicht für Cyberattacken vor.“ Schwieriges Geschäft Doch die Cyber-Versicherung ist ein schwieriges Geschäft. Cyber-Kriminelle sind ebenso innovativ wie gesetzestreue IT-Firmen. „Wir sehen, dass immer wieder Schäden entstehen durch völlig neue Arten von Angriffen“, sagt Höpke.
2016 war Onlineerpressung der große Trend. „Wir hatten bei Ransomware im letzten Jahr einen enormen Anstieg – verdoppelt, verdreifacht, vervierfacht, welche Statistik auch immer man greift“, berichtet die Munich-Re-Managerin. Ransomware infizieren Computer, sperren diese und verlangen eine Art Lösegeld. Ebenfalls weit verbreitet haben sich Attacken, die die IT-Infrastruktur der Opfer durch massenhafte Datenabfrage lahmlegen sollen: „Denial of Service ist sehr prominent geworden.“
Für die Zukunft gehen Fachleute davon aus, dass Cyber-Angriffe mit Hilfe vernetzter Maschinen und Geräte zunehmen. „Das Ganze zu kategorisieren, ist extrem schwer, auch weil es ganz unterschiedliche Motivationslagen der Täter gibt“, sagt Höpke. „Vom ideologisch getriebenen Terroristen bis zum 15-Jährigen, der seine Fähigkeiten testen möchte.“
Eine einzige Cyber-Attacke kann ebenso wie eine Naturkatastrophe Tausende oder Zehntausende von Unternehmen gleichzeitig treffen – diese Risiken können auf einen Schlag immens teure Schäden verursachen.
Die globale Vernetzung zieht globale Dominoeffekte nach sich. Ein Produktionsstopp in einer chinesischen Zündkerzenfabrik kann einen europäischen Autohersteller treffen, der selbst gar nicht angegriffen wird.
„Weltweites Risiko Nummer eins ist die Betriebsunterbrechung“, sagt Allianz-Mann Berger. „Es reicht nicht, wenn nur das eigene Werk geschützt wird. Wir haben ein Analysetool entwickelt, mit dem wir die Zulieferketten bis zur vierten Ebene analysieren können.“
Ebenso schwierig wie die Abschätzung von Dominoeffekten ist die Frage, was eigentlich versichert werden kann. „Das Einfachste ist die Versicherung der IT-Infrastruktur
„Bei jeder zehnten Cyber-Police wird ein Schaden gemeldet.“
des Kunden vor Ort“, sagt MunichRe-Vorstand Höpke.
„Die nächste Komplexitätsstufe könnte sein, dass Kundendaten nach außen geraten. Die übernächste Komplexitätsstufe könnte sein, dass nicht nur Daten verloren gehen oder in falsche Hände geraten, sondern dass ein Sachschaden entsteht – etwa eine computergesteuerte Produktionsanlage Feuer fängt.“Und wenn es in die indirekten Schäden gehe, werde es wirklich kompliziert. „Diese Risiken sind noch mal schwieriger zu erkennen und zu bewerten als in der Welt der Sachschäden.“In vielen Unternehmen fehlt es offenbar an Vorsorge: „Es ist erstaunlich, wie viele – auch schwere – Schäden immer noch durch vermeintlich simple Nachlässigkeiten entstehen“, sagt Höpke. „Ganz simple Sachen wie zu einfache Administratoren-Kennwörter, sodass ein Angreifer von außen nicht nur einen E-Mail-Account knackt, sondern sich Zugriff auf ein ganzes Firmennetzwerk verschafft.“
Andreas Berger, Vorstandsmitglied der Allianz AGCS
Weiteres Erschwernis: In der Cyber-Versicherung liefert die Vergangenheit keine zuverlässigen Indizien für die Wahrscheinlichkeit eines Schadens. Das ist anders als bei Bränden oder Autounfällen: Auf Grundlage historischer Daten lässt sich ziemlich genau vorhersagen, wie wahrscheinlich und wie hoch die Schäden in der Zukunft sein werden. Bei Cyber müssen Risiken dagegen mit aufwendigen Modellrechnungen simuliert werden. Geschäftsrisiko Nummer eins Als warnende Stimme in Sachen Cyber-Risiken ist der Schweizer Rückversicherer Swiss Re bekannt. Dessen Chef Christian Mumenthaler erklärte im September, Cyber-Risiken seien „wahrscheinlich nicht versicherbar“, wie das Onlinebranchenportal „Reinsurance News“berichtete.
Doch bei den Kunden der Versicherer nimmt das Gefühl der Bedrohung zu: „Das Thema Cyber ist aber nach unserem Risikobarometer inzwischen weltweit auf Platz drei (der Geschäftsrisiken), in Deutschland sogar auf dem ersten Platz“, sagt Allianz-Manager Berger.