https://www.faz.net/-iot-9emxz
Verlagsspezial

: Versicherungen gegen finanzielle Schäden

  • -Aktualisiert am

Bild: Sergey Nivens/AdobeStock

Bereits 28 Prozent aller Mittelständler haben einen finanziellen Schaden durch Angriffe aus dem Web erlitten. Cyberversicherungen werden daher immer wichtiger.

          IT-Sicherheitsexperten warnen vor neuen digitalen Angriffen auf deutsche Unternehmen und Privatpersonen. Juan Andrés Guerrero-Saade von der IT-Security-Firma Kaspersky Labs erwartet Attacken vor allem gegen Softwarehersteller „mit Hilfe des Einbaus von Backdoors in beliebte oder regional häufig genutzte Programme“. Helko Kögel von Rohde & Schwarz Cybersecurity befürchtet, dass kriminelle Profis, die in Hacker-Communities und staatlich unterstützten Teams arbeiten, große Industrie- und Infrastrukturbetreiber direkt angreifen, um deren betriebliche Prozesse zu unterbrechen. Die enge digitale Vernetzung der Wirtschaft begünstige Dominoeffekte: „Bekommen Hacker Zugriff auf Lieferketten, können sie viele Unternehmen einer Branche oder mehrerer Branchen gleichzeitig schädigen.“ Ein Produktionsstopp in einer Airbag-Fabrik trifft auch zahlreiche Autohersteller. Kögel erwartet zudem noch mehr Vorstöße gegen die wichtigsten Werte des Mittelstands, beispielsweise Akquisitionspläne, finanzielle Daten und Patente. Letztere seien das „Gold der deutschen Wirtschaft“ und für ausländische Hacker Objekte der Begierde. Neben Produktionsbetrieben sieht er Firmen der Finanzwirtschaft, des Gesundheitswesens und „Betreiber kritischer Infrastrukturen“ bedroht. Kleinen und mittleren Unternehmen rät er, sich wirksamere „Schutzschilder“ gegen Netzangriffe zuzulegen: „Es fehlen dort effektive Methoden, um Sicherheitslücken zu entdecken und zu schließen und dezidierte Systeme für die Zugriffsverwaltung.“

          Die Risiken durch Cyberüberfälle wie zuletzt WannaCry oder Petya haben die Versicherungswirtschaft auf den Plan gerufen. Laut dem Gesamtverband der Branche haben bereits 28 Prozent aller Mittelständler einen finanziellen Schaden durch Angriffe aus dem Web erlitten. Im Schnitt, so der „Hiscox Cyber Readiness Report 2017“, kostet eine digitale Überrumpelung eine Firma mit weniger als 100 Mitarbeitern rund 22 000 Euro. Kein Wunder, dass mittlerweile in Deutschland zwischen 15 und 20 Versicherer Cyberpolicen anbieten, mit denen Betriebe sich gegen Folgen wie Betriebsunterbrechungen oder Ansprüche Dritter absichern können. Die Branchenriesen Allianz und Munich Re erwarten, dass die Nachfrage nach solchen Verträgen steigen wird. Sie würden Standardprodukte werden wie Feuer- oder Vermögensschadenhaftpflicht-Versicherungen. Andreas Berger, Vorstand des Industrie- und Spezialversicherers der Allianz Gruppe AGCS, hört schon die Versicherungsbeiträge in den Kassen klimpern: „In zehn Jahren könnte es ein weltweites Marktvolumen von 20 Milliarden Euro geben.“ Vorsichtiger ist Dr. Andreas Reinhold, Bereichsleiter Sach/Haftpflicht-Produktmanagement bei Signal Iduna: „Sollte unser Unternehmen bis Ende 2019 ein Beitragsvolumen von über eine Million Euro generieren können, wäre das ein echter Erfolg.“ Hoffnung macht ihm, „dass Firmenchefs allmählich klarwird, dass Cyberversicherungen ein wichtiger Teil des betrieblichen Risikomanagements sind.“ 

          „Die Kalkulation einer Cyberpolice ist schwierig“, weiß Helko Kögel. Munich-Re-Vorstand Dr. Doris Höpke stimmt ihm zu. Während die Versicherung der IT-Infrastruktur des Kunden vor Ort „das Einfachste“ sei, werde es bei indirekten Schäden kompliziert. Hier seien die Risiken „schwieriger zu erkennen“. Weiteres Problem: Den Versicherern fehlen für Cyberpolicen historische Daten, auf deren Grundlage man vorhersagen kann, wie wahrscheinlich und wie hoch die Schäden in der Zukunft sein werden. Deshalb müssen sie die Risiken mit aufwendigen Modellrechnungen simulieren. Das macht auch Signal Iduna so. Vorteil: Auf diese Weise lassen sich „Maßanzüge“ schneidern wie den „Digitalen Schutzschild“ für kleine und mittlere Firmen mit einem Jahresumsatz von bis zu 1,5 Millionen Euro. Das Besondere an dem Produkt, das von dem auf IT-Security spezialisierte Start-up Perseus mitentwickelt wurde: Es vereint in sich die Komponenten Prävention und Absicherung. So wird den versicherten Unternehmen angeboten, ihre Mitarbeiter zu schulen. „Ihnen kommt bei der Cybersicherheit in einem Betrieb ein entscheidender Faktor zu. Deshalb müssen sie für das Thema sensibilisiert werden“, betont Perseus-Mitgründer Steffen Teske. „Solche Maßnahmen erhöhen die Sicherheit signifikant, denn eine Hauptursache von Cyberschäden liegt nun mal im menschlichen Versagen.“

          Sollte trotzdem ein Schadenfall eintreten, ist auch die Fahrlässigkeit eines Mitarbeiters abgedeckt, etwa wenn er versehentlich einen virenverseuchten E-Mail-Anhang öffnet. Selbst Kosten für IT-Forensiker, die Art und Umfang des Schadens beurteilen und beheben, übernimmt Signal Iduna. Nicht versichert sind Personen- und Sachschäden. Reinhold: „Die lassen sich über eine Betriebshaftpflicht darstellen.“ Auch Lösegeldzahlungen – sie waren in den letzten zwei Jahren der große Trend – sind nicht abgedeckt. Aus gutem Grund, so der Signal Iduna-Manager: „Das würde Cyber-Kriminelle ermuntern, denn wer einmal gezahlt hat, gerät zumeist wieder in das Visier der Täter.“ Stattdessen zahle die Versicherung dafür, die Systeme wieder zu entsperren: „Das ist laut Experteneinschätzung die sinnvollere Strategie.“ Eine Cyber-Versicherung bei Signal Iduna gibt es ab 220 Euro im Jahr.

          Rohde & Schwarz-Manager Kögel beklagt, dass nicht alle Versicherungsgesellschaften von ihren Kunden besondere Sicherheitsmaßnahmen gegen Netzattacken verlangen: „Das wäre dringend notwendig. Die durch Basel II und Basel III festgeschriebenen Forderungen wie die Redundanz wichtiger IT-Systeme und die Installation von Instrumenten zur Abwehr von Angriffen auf die IT-Systeme von innen und außen reichen nicht mehr aus.“ Die Konzerne sollten Mindeststandards festlegen, die jeder Versicherte einhalten muss. Ohne eine gut abschließbare Wohnungstür ist auch Hausrat nicht versicherbar. Ihnen dabei helfen könnten spezialisierte Sicherheitsfirmen. Die sind auch in der Lage, bei den Kunden einen Security-Health-Check durchführen, um die kritischen Werte im Unternehmen zu identifizieren und dann punktgenau abzusichern.“  So mancher IT-Dienstleister bietet inzwischen selbst als dritte Säule neben Beratung und Security-Maßnahmen die Vermittlung von Cyberversicherungen an. Kooperiert wird dabei meistens mit einem Versicherungsmakler – idealerweise mit einen unabhängigen. Eine Zusammenarbeit ist auch für die Nachsorge relevant, wenn bei einem IT-Sicherheitsvorfall rasch eine Schadensregulierung auf Basis von Security-Level-Agreements erfolgen muss.

          Topmeldungen

          Cyberangriffe: Wenn die Sicherheitssysteme einen Hackerangriff melden oder die IT-Systeme von außen lahmgelegt werden, gibt es in gerade einmal 43 Prozent der Unternehmen ein Notfallmanagement.

          : Feind auf der Festplatte

          Spionage, Sabotage, Datendiebstahl: Einige unbedachte Klicks, der Aufruf einer attackierenden Website oder der unvorsichtige Umgang mit USB-Sticks und schon hat sich der Aggressor Zugang zur Festplatte verschafft. Immer wieder gelingt es kriminellen Hackern, in Netzwerke und Rechner von Unternehmen und Organisationen einzudringen.

          : Clouds verschiedener Anbieter

          Diskussionen darüber, ob Unternehmen für ihren zukünftigen Erfolg Multi-Cloud-Strategien benötigen, sind müßig. Der Einsatz von Multi-Cloud-Konzepten, also IT-Infrastrukturen, in denen verschiedene Cloud-Computing-Systeme nebeneinander zum Einsatz kommen, ist längst Realität.
          Sicherheitsanforderung: Der Hersteller muss nur  Schwachstellen absichern, deren Ausnutzung durch Hacker vorherzusehen sind.

          : Haftung bei IT-Sicherheitsverstößen

          In immer mehr Betrieben laufen heute Maschinen, die Abläufe messen, steuern und regeln. Diese Maschinen sind vernetzt. Damit drohen neue IT-Gefahren und Sicherheitslücken. Doch wer haftet eigentlich, wenn die Technik nicht „wasserdicht“ ist?
          Cybersecurity: Für Hacker bietet die vernetzte Medizintechnik ein lohnendes Feld. Durch Angriffe können oftmals umfassende Gesundheits- und Patientendaten erbeutet werden.

          : Per Mausklick ins Jenseits

          Moderne Medizintechnik ist vernetzt, selbst Implantate funken ins Internet. Deshalb können Sicherheitslücken in digitaler Medizintechnik tödliche Folgen haben.