Es war der größte Erpressersoftware-Angriff der Geschichte: Die Cyberattacke mit dem Programm „Wanna Cry“ hat Mitte Mai Zigtausende Computer überall auf der Welt lahmgelegt. Rund 200.000 Organisationen und Einzelpersonen, darunter Krankenhäuser, Logistikunternehmen und die Deutsche Bahn waren betroffen. Fachleute schätzten den Schaden auf mindestens 8 Milliarden Dollar. Und sie warnen davor, dass immer mehr Unternehmen Opfer eines Daten-Knockouts werden. Digitale Wirtschaftsspionage, Sabotage und Datendiebstahl richten nach Einschätzung von McAffee, einem amerikanischen Hersteller von Sicherheitssoftware, jährliche Schäden von 445 Milliarden Dollar an.

Neue Risiken ziehen in der Regel neue Versicherungslösungen nach sich. Gerade im angelsächsischen Raum wächst das Geschäft mit Cyber-Risiken stark und ein Fall wie „Wanna Cry“ macht allen Entscheidern in den Chefetagen bewusst, welch große Gefahr von Internetkriminellen ausgeht. „Solche spektakulären Fälle sind Bestätigung für das was wir tun“, sagt Doris Höpke im Gespräch mit der F.A.Z. Seit einigen Monaten ist die Frau im Vorstand des Rückversicherers Munich Re für das immer wichtiger werdende Ressort Special and Financial Risks zuständig. Cyberversicherungen sind dabei heute schon Bestandteil des Geschäfts. „Wir wollen nicht einfach nur eine Police gegen Cyberrisiken verkaufen, sondern führen immer auch einen Sicherheitscheck durch. Denn der beste Schaden für alle ist der, der gar nicht erst eintritt“, sagt Höpke. Von „Wanna Cry“ war nach ihren Worten kein einziger ihrer Kunden betroffen.

Ein neues, möglicherweise sehr lukratives Geschäft

Die Munich Re arbeitet mit Beazley zusammen, bei Lloyd’s der größte Versicherer von Cyberhaftungsrisiken. Gemeinsam mit den Briten bieten die Münchner den großen Unternehmen in aller Welt eine umfassende Absicherung für ihre digitalen Vermögenswerte und IT-Infrastruktur an.

Ob Munich Re, Aon oder Allianz, für die gesamte Assekuranz ist die Cyberkriminalität in Zeiten von Niedrigzins und Anlagenotstand ein neues, möglicherweise sehr lukratives Geschäft. Nach und nach versichern sie immer mehr Unternehmen gegen Vermögensschäden ab. So bietet seit kurzem der Industrieversicherer HDI einen „Haftpflicht-Rundumschutz“ speziell für Maschinenbauunternehmen an: Sollte etwa die von einem Maschinenbauer mitgelieferte Software bei einem Kunden zum Ausfall des Maschinenparks führen, ist dieser gegen die Schadenersatzansprüche Dritter abgesichert.

Nach einer Studie der Unternehmensberatung KPMG wird die Nachfrage nach Cyberpolicen im deutschsprachigen Raum von heute 90 Millionen Euro auf bis zu 20 Milliarden Euro im Jahr 2036 zulegen. Von Goldgräberstimmung ist in der traditionsreichen Branche indes noch wenig zu spüren. In Deutschland dringen die Versicherer mit ihren Werbebotschaften nicht so leicht durch. Der Gesamtverband der Deutschen Versicherungswirtschaft (GDV) hat in einer Umfrage ermittelt, dass sich nur jedes dritte Unternehmen der Gefahr ausgesetzt sieht, Opfer eines Hackerangriffs zu werden. „Viele Verbraucher und Entscheider in kleinen und mittleren Unternehmen unterschätzen die Gefahr von Cyber-Bedrohungen“, heißt es bei dem Branchenverband.

„Wir wissen, dass wir vieles nicht wissen.“

Andersherum klagen gerade die großen Konzerne über zu geringen Schutz: Die Feuerversicherung über 1 Milliarde Euro sei leicht versicherbar, doch Cyberdeckungen könne man nur bis zu 100 Millionen Euro einkaufen, lautet der Vorwurf aus der Industrie. Zu teuer und zu komplex seien zudem die Verträge. So bleiben viele Cyberrisiken nicht versichert.

Es ist ein echtes Dilemma. Munich-Re-Vorstand Höpke sieht auf Seiten der Unternehmen noch Nachholbedarf, und hier vor allem im Mittelstand: „In der Feuerversicherung prüfen unsere Ingenieure, ob die Produktionsstätte des Kunden ausreichend mit Sprinkleranlagen geschützt ist. Das ist gang und gäbe. Leider ist das Problembewusstsein für einen Hackerangriff heute noch deutlich geringer als bei einem Brandschaden.“

Dass die Cyberdeckungen je Vertrag nicht 100 Millionen Euro übersteigen, dafür hat Höpke eine einfache Erklärung. „Natürlich müssen auch wir unsere Risikoposition unter Kontrolle halten“, sagt sie. Dahinter steckt auch das Eingeständnis, nicht genügend Informationen über die Cyberkriminellen zu besitzen. Der erfolgreiche Angriff auf einen Cloud-Anbieter kann zum Beispiel einen Milliardenschaden auslösen, der für Versicherer mitsamt ihrer Rückversicherer zur Existenzbedrohung wird. „Niemand durchdringt heute die Risiken der Cyber-Welt vollständig. Wir wissen, dass wir vieles nicht wissen.“

Dennoch wird der Markt für Cyberversicherungen gemessen an den Erstversicherungsprämien nach Branchenschätzungen von derzeit 3,5 Milliarden Dollar auf ein Volumen von bis zu 10 Milliarden Dollar im Jahr 2020 zulegen. Die Munich Re bringt es auf einen Marktanteil von knapp 10 Prozent. „Der Markt wird sich bis 2020 ungefähr verdreifachen. Das wollen wir ebenfalls erreichen“, sagt Höpke. „Und abseits der Cyberpolicen arbeiten wir mit Hochdruck an vielen anderen innovativen Produkten, ohne mit Deckungen zu experimentieren, zum Beispiel Leistungsgarantien für Batterien oder im Bereich erneuerbarer Energien. Es gibt noch zahlreiche gut fassbare, mittelfristige Chancen.“