Die Branchenriesen Allianz und Munich Re erwarten für die kommenden Jahre im Bereich Cyber-Versicherung eine Vervielfachung des Geschäfts. "In zehn Jahren könnte es ein weltweites Marktvolumen von zwanzig Milliarden Euro geben", sagt Andreas Berger, Vorstandsmitglied bei Allianz AGCS, die die großen Firmenkunden betreut.
Noch ist der Markt für Cyberpolicen klein. Die Munich Re geht weltweit von derzeit 3,6 Milliarden Dollar aus, davon entfallen rund 85 Prozent auf die USA, wie Doris Höpke sagt, im Vorstand zuständig für Spezial- und Finanzrisiken. Der weltgrößte Rückversicherer erwartet bis 2020 einen Anstieg auf weltweit 8 bis 10 Milliarden Dollar Prämieneinnahmen.
Versicherer mit Cyber-Policen profitieren von EU-Datenschutzgrundverordnung
Laut Gesamtverband der Versicherungswirtschaft bieten in Deutschland inzwischen gut 15 Versicherer Cyber-Policen an, überwiegend für die Industrie. Die Zahl der Hackerangriffe nimmt stetig zu. "Bei jeder zehnten Cyber-Police wird ein Schaden gemeldet", sagt Berger. Und Brüssel verschärft die Regulierung. "Die Nachfrage wird mit Inkrafttreten der EU-Datenschutzgrundverordnung im nächsten Jahr rapide zunehmen. Die sieht eine verschärfte Meldepflicht für Cyberattacken vor."
Doch die Cyber-Versicherung ist ein schwieriges Geschäft. Cyber-Kriminelle sind ebenso innovativ wie gesetzestreue IT-Unternehmen. "Wir sehen, dass immer wieder Schäden entstehen durch völlig neue Arten von Angriffen", sagt Höpke.
Von Denial of Service bis Ransomware
2016 war Online-Erpressung der große Trend. "Wir hatten bei Ransomware im letzten Jahr einen enormen Anstieg - verdoppelt, verdreifacht, vervierfacht, welche Statistik auch immer man greift", berichtet die Munich-Re-Managerin. Ransomware infizieren Computer, sperren diese und verlangen eine Art Lösegeld. Ebenfalls weit verbreitet haben sich Attacken, die die IT-Infrastruktur der Opfer durch massenhafte Datenabfrage lahmlegen sollen: "Denial of Service ist sehr prominent geworden."
Für die Zukunft gehen Fachleute davon aus, dass Cyberangriffe mit Hilfe vernetzter Maschinen und Geräte zunehmen. "Das Ganze zu kategorisieren, ist extrem schwer, auch weil es ganz unterschiedliche Motivationslagen der Täter gibt", sagt Höpke. "Vom ideologisch getriebenen Terroristen bis zum 15-Jährigen, der seine Fähigkeiten testen möchte."
Eine einzige Cyber-Attacke kann ebenso wie eine Naturkatastrophe Tausende oder Zehntausende von Unternehmen gleichzeitig treffen - diese Risiken können auf einen Schlag immens teure Schäden verursachen.
Die globale Vernetzung zieht globale Domino-Effekte nach sich. Ein Produktionsstopp in einer chinesischen Zündkerzen-Fabrik kann einen europäischen Autohersteller treffen, der selbst gar nicht angegriffen wird.
Betriebsunterbrechung bleibt Risiko Nummer 1
"Weltweites Risiko Nummer eins ist die Betriebsunterbrechung", sagt Allianz-Mann Berger. "Es reicht nicht, wenn nur das eigene Werk geschützt wird. .. Wir haben ein Analyse-Tool entwickelt, mit dem wir die Zulieferketten bis zur vierten Ebene analysieren können."
Ebenso schwierig wie die Abschätzung von Domino-Effekten ist die Frage, was eigentlich versichert werden kann. "Das Einfachste ist die Versicherung der IT-Infrastruktur des Kunden vor Ort", sagt Munich-Re-Vorstand Höpke.
"Die nächste Komplexitätsstufe könnte sein, dass Kundendaten nach außen geraten. Die übernächste Komplexitätsstufe könnte sein, dass nicht nur Daten verloren gehen oder in falsche Hände geraten, sondern dass ein Sachschaden entsteht - etwa eine computergesteuerte Produktionsanlage Feuer fängt." Und wenn es in die indirekten Schäden gehe, werde es wirklich kompliziert. "Diese Risiken sind noch mal schwieriger zu erkennen und zu bewerten als in der Welt der Sachschäden."
Angreifer suchen nach Nachlässigkeiten
In vielen Unternehmen fehlt es offenbar an Vorsorge: "Es ist erstaunlich, wie viele - auch schwere - Schäden immer noch durch vermeintlich simple Nachlässigkeiten entstehen", sagt Höpke. "Ganz simple Sachen wie zu einfache Administratoren-Kennwörter, so dass ein Angreifer von außen nicht nur einen E-Mail-Account knackt, sondern sich Zugriff auf ein ganzes Firmennetzwerk verschafft."
Weiteres Erschwernis: In der Cyber-Versicherung liefert die Vergangenheit keine zuverlässigen Indizien für die Wahrscheinlichkeit eines Schadens. Das ist anders als bei Bränden oder Autounfällen: Auf Grundlage historischer Daten lässt sich ziemlich genau vorhersagen, wie wahrscheinlich und wie hoch die Schäden in der Zukunft sein werden. Bei Cyber müssen Risiken dagegen mit aufwändigen Modellrechnungen simuliert werden.
Geschäftsrisiko Nummer 1
Als warnende Stimme in Sachen Cyber-Risiken ist der Schweizer Rückversicherer Swiss Re bekannt. Dessen Chef Christian Mumenthaler erklärte im September, Cyber-Risiken seien "wahrscheinlich nicht versicherbar", wie das Online-Branchenportal "Reinsurance News" berichtete.
Doch bei den Kunden der Versicherer nimmt das Gefühl der Bedrohung zu: "Das Thema Cyber ist aber nach unserem Risiko-Barometer inzwischen weltweit auf Platz drei (der Geschäftsrisiken), in Deutschland sogar auf dem ersten Platz", sagt Allianz-Manager Berger. (dpa/rs)