Benachrichtigung aktivieren Dürfen wir Sie in Ihrem Browser über die wichtigsten Nachrichten des Handelsblatts informieren? Sie erhalten 2-5 Meldungen pro Tag.
Fast geschafft Erlauben Sie handelsblatt.com Ihnen Benachrichtigungen zu schicken. Dies können Sie in der Meldung Ihres Browsers bestätigen.
Benachrichtigungen erfolgreich aktiviert Wir halten Sie ab sofort über die wichtigsten Nachrichten des Handelsblatts auf dem Laufenden. Sie erhalten 2-5 Meldungen pro Tag.
Jetzt Aktivieren
Nein, danke

Schutz gegen Hacker Wie die Versicherer gegen Cyberangriffe vorgehen

Die Zahl der Hackerangriffe nimmt täglich zu – ebenso rasant steigt die Nachfrage nach Cyberversicherungen. Für die Versicherer sind diese schwer zu kalkulieren.
Kommentieren
Für die Rückversicherer birgt die Netzsicherheit schwer einschätzbare Risiken. Quelle: Berthold Steinhilber/laif
Großrechner

Für die Rückversicherer birgt die Netzsicherheit schwer einschätzbare Risiken.

(Foto: Berthold Steinhilber/laif)

Frankfurt Für Peter M. ist seit einigen Monaten vieles nicht mehr so, wie es einmal war. An einem Sommerabend ruft den Chef eines mittelständischen Unternehmens aus Baden-Württemberg sein EDV-Beauftragter an und meldet den Verdacht, dass sich im Firmennetz ein Virus breitgemacht haben könnte. Am nächsten Tag ist aus der Sorge Gewissheit geworden.

Ein Trojaner hat sich über eine Sicherheitslücke im Computersystem eingenistet und alle Firmendaten verschlüsselt. Erst nach Zahlung von 50 000 Dollar in Bitcoins schalteten die Cyberkriminellen die Daten wieder frei. „Wir waren auf alles vorbereitet, nur nicht auf das“, bekundete der Firmenchef später in der Regionalpresse ernüchtert. „Ich hätte nie gedacht, dass das auch so ein kleines Unternehmen wie unseres treffen könnte.“

Was für Peter M. ein Schockerlebnis war, ist für viele Rückversicherer allerdings in erster Linie etwas anderes: ein wachsender, aber schwieriger Markt. Der Markt für Versicherungen gegen Cyberangriffe wird sich nach Meinung des weltgrößten deutschen Rückversicherers Munich Re in den nächsten Jahren sprunghaft entwickeln.

„Wir sehen die Cyberpolicen als ein Schlüsselfeld für die Branche an“, sagt Doris Höpke voraus, im Vorstand zuständig für Spezial- und Finanzrisiken. Schon heute verursachten Cyberattacken weltweit Schäden von schätzungsweise 450 Milliarden Dollar. Im Jahr 2021 würden es nach den Prognosen schon sechs Billionen Dollar sein.

Für die Rückversicherer geht es damit um viel. Die Münchener schätzen das weltweite Prämienvolumen bei Cyber derzeit bei rund vier Milliarden Dollar, von denen der Großteil noch auf die USA entfallen. Die Vorstandsfrau geht jedoch davon aus, „dass Europa in den nächsten Jahren massiv aufholt, wenngleich die USA auf absehbare Zeit der größte Markt bleiben werden“.

Grafik

Bis 2020 erwartet der weltgrößte Rückversicherer einen Anstieg des Prämienvolumens auf weltweit 8,5 bis neun Milliarden Dollar. „Wir selbst wollen im Zeitraum bis 2020 unseren Marktanteil von derzeit zehn Prozent halten“, betonte Höpke. „Konkret bedeutet das, dass wir unsere Prämieneinnahmen von rund 400 Millionen Dollar auf bis zu 900 Millionen Dollar zum Ende des Jahrzehnts steigern wollen.“

Experten sehen das ähnlich optimistisch. Nach einer Studie der Unternehmensberatung KPMG wird sich die Nachfrage nach Cyberpolicen auf dem heimischen Markt in den nächsten Jahren explosionsartig entwickeln. Das Prämienvolumen für Cyberversicherungen dürfte sich im deutschsprachigen Raum von heute circa 90 Millionen Euro jährlich auf bis zu 26 Milliarden Euro Jahresprämie im Jahr 2036 erhöhen, und selbst wenn sich die hochgesteckten Erwartungen nicht erfüllten, sollte das Normalmaß sich dabei auf 20 Milliarden Euro belaufen, schätzen die Berater.

Cyber als Hoffnungsträger

Für die Versicherer avancieren Cyberpolicen damit zum wichtigen Hoffnungsträger. Denn das bisherige Kerngeschäft der Rückversicherer, der Schutz von anderen Versicherern gegen Hurrikans und andere Großschäden, stagniert nun schon seit Jahren. Fieberhaft fahndet die Branche deshalb nach neuen Wachstumsfeldern – doch das ist gar nicht so einfach. So finden neue Policen gegen Pandemien, kontinentübergreifende Seuchen also, bisher nur verhaltene Nachfrage.

Bei Cyberversicherungen ist es dagegen anders. Die Wirtschaft ist angesichts von Attacken wie der durch den Virus Wannacry, der weltweit Computer lahmlegte, inzwischen aufgeschreckt und interessiert sich für entsprechenden Schutz. Es hat sich herumgesprochen, dass eine erfolgreiche Attacke die Produktionen für Tage stillstehen lassen kann – mit Millionenschäden für die betroffenen Firmen. So sieht auch das Bundesamt für die Sicherheit in der Informationstechnik (BSI) die Gefährdungslage in Deutschland durch eine neue Qualität von Cyberattacken verschärft, wie aus dem jüngst vorgelegten Lagebericht hervorgeht.

Die Zahl der Schadprogramme ist dem Bericht zufolge weiter gestiegen. Insgesamt seien von ihnen mittlerweile mehr als 800 Millionen bekannt. Pro Tag kämen etwa 390 000 neue Varianten hinzu. Für Mobilgeräte gebe es bereits mehr als 27 Millionen Schadprogramme allein für Android-Betriebssysteme. So nimmt die Zahl der Hackerangriffe stetig zu. Zumal die Angriffsflächen größer werden. „Zwischen den Jahren 2017 und 2030 wird die Zahl vernetzter Geräte auf der Welt von 27 auf 125 Milliarden steigen“, sagt Munich-Re-Vorstandsfrau Höpke voraus.

Doch für viele Versicherer ist das neue Geschäftsfeld auch ein heikler Balanceakt. Sie wissen um das wirtschaftliche Potenzial der Policen, aber sie fürchten zugleich die schwer einschätzbaren Risiken. So erwarten die Konzerne in den nächsten zwölf Monaten steigende Verluste aus Cybervorfällen bei ihren Kunden – verursacht durch die wachsende Abhängigkeit von Technologien ebenso wie durch häufigere Hackerangriffe, wie eine aktuelle Studie des Versicherungsmaklers Willis Re ergibt.

Bislang sei das Segment „kaum erforschtes Terrain“, räumt Höpke ein. Denn das vergleichsweise junge Geschäftsfeld der Cyberversicherung hat für die zahlengetriebene Branche einen unangenehmen Schönheitsfehler: Es mangelt bisher an verlässlichen Daten über jahrelange Vergleichszeiträume, mit denen die Risikomanager der Assekuranzen das eigene Risiko genau taxieren können.

So deckt die Munich Re, die bei dem Thema mit dem Spezialversicherer Beazley zusammenarbeitet, bei ihren Cyberversicherungen maximal Schäden von bis zu 100 Millionen Dollar ab. Denn die Kosten für einen globalen Internet- oder einen großflächigen Stromausfall über Stunden und Tage würden die Rückversicherer überfordern. „Es ist schwer, um einen Cyberschaden einen Zaun zu legen“, sagt Höpke. „Eine einzige Attacke auf Daten- und Computernetze kann binnen Sekunden Schäden in der ganzen Welt auslösen.“

Für viele Großkonzerne sind 100 Millionen Deckungssumme allerdings nicht allzu viel. So führt die Deckelung der Schadenssummen aufseiten der Versicherungskunden dazu, dass die Schäden bei Großkonzernen schnell den Versicherungsschutz übersteigen. Der Schaden durch Erpressungssoftware beim Pharmahersteller Merck in den USA etwa lag nach Schätzungen von Experten im Milliardenbereich, während nur 275 Millionen Dollar davon die Versicherer getragen hätten.
Ein Beispiel, das zugleich zeigt, wie riskant die Versicherungen für die Branche werden könnten. Vorerst konzentriert sich die Munich Re deshalb vor allem auf kleine und mittelgroße Unternehmen. „Die Munich Re deckelt ihren Schutz bei 100 Millionen Euro, weil wir uns nicht naiv Risiken ins Buch schaufeln wollen, die wir nicht komplett abschätzen können“, erläutert Höpke.

Doch die Topmanagerin glaubt fest daran, dass die Branche mutiger werden wird, sobald die Versicherer mehr über die Risiken gelernt hätten. Deckungssummen von 100 Millionen Euro seien nicht in Stein gemeißelt. „Je mehr wir über das Thema lernen, desto mehr können wir auch in Zukunft an Schutz anbieten“, versichert sie. „Ich halte es für möglich, dass wir auf Dauer auch höhere Deckungen als 100 Millionen Dollar anbieten werden.“

Nicht nur der weltgrößte Rückversicherer ist davon überzeugt, dass die Branche Antworten auf die neuen Cyberbedrohungen finden muss. „Selbst wenn Cyberrisiken von Kunden in den Policen nicht explizit versichert wurden, können sie in bestimmten Fällen unter Haftpflicht- und Sachversicherungen gedeckt sein“, warnt Jan-Oliver Thofern, Chef des deutschen Rückversicherungsmaklers Aon. In der Branche wird dieses Phänomen als „Silent Cyber“ beschrieben. Ein Thema, das den Managern zunehmend Kopfschmerzen bereitet. Für Versicherungsunternehmen sei es daher wichtig, sich intensiv mit diesen Risiken zu befassen, rät Thofern.

Eine diese Woche publizierte Umfrage von Wills Re zeigt, dass viele Manager das inzwischen ebenso sehen. Über 60 Prozent der Befragten erwarten ein Anwachsen des „Silent Cyber“-Faktors bei den Schäden. „Versicherer betrachten ‚Silent Cyber‘ derzeit als weitaus größeres Risiko als je zuvor“, glaubt Mathias Pahl, Head of Corporate Risk and Broking bei Willis Towers Watson in Deutschland. Als besonders gefährdet gelten die Infrastrukturen für IT, Telekommunikation und öffentliche Versorgung. Für diese Unternehmen erwarten 42 Prozent der Befragten wahrscheinlich zehn oder mehr cyberbezogene Schäden pro hundert Fällen.

Konkurrenten zurückhaltend

Auch Munich-Re-Managerin Höpke sieht keine andere Möglichkeit, als sich der Cybergefahr zu stellen. Die Versicherer müssten dieses Thema abdecken und dürften nicht davor zurückschrecken, „wenn wir als Branche relevant bleiben wollen“, sagt sie. Gemeinsam mit großen Konzernen wie Microsoft, Nokia, Airbus, Barclays, Walmart und Cisco investieren die Münchener gerade insgesamt 85 Millionen Euro in die Entwicklung neuer Cyberlösungen. Die technologische Leitung werden die Cyberexperten vom israelischen Start-up Team 8 übernehmen, das von ehemaligen Mitarbeitern des israelischen Militärs gegründet worden war.

Die Politik sieht ebenfalls Handlungsbedarf. Bundesinnenminister Horst Seehofer warnte jüngst davor, Cyberangriffe würden flexibler und auch professioneller. Deshalb will er im nächsten Jahr ein IT-Sicherheitsgesetz 2.0 in den Bundestag einbringen. Damit will der CSU-Politiker die Voraussetzungen für ein einheitliches IT-Sicherheitskennzeichen schaffen.

Doch nicht jeder in der Branche mag in den Optimismus beim Thema Cyberversicherung einstimmen. Der größte Konkurrent der Munich Re, die Swiss Re, gibt sich bei diesem Thema deutlich defensiver. „Ich bin bei Cyber sehr zurückhaltend“, sagte noch vor rund einem Jahr Christian Mumenthaler, Vorstandschef des weltgrößten Rückversicherers Swiss Re, dem Handelsblatt. Er fürchte, dass sich die Risiken einer großen Virusattacke hochschaukeln könnten und kaum beherrschbar seien.
Inzwischen sind allerdings auch die Schweizer mit einer Cyberpolice auf dem Markt. „Wir sind gerade dabei, mit einigen deutschen Erstversicherungskunden Cyberpolicen für den Privatkundenbereich zu entwickeln“, kündigt Frank Reichelt, Deutschland- und Nordeuropa-Chef des weltweit zweitgrößten Rückversicherers, an. „Auch im Segment für kleinere und mittlere Unternehmen sehen wir noch großes Potenzial.“ 

Dennoch schlagen die Schweizer in Sachen Cyberschutz-Policen weiterhin eher vorsichtige Töne an. „Wir sind uns vielleicht stärker als mancher andere bewusst, dass wir inzwischen viel über Cyber wissen, aber immer noch in bestimmten Bereichen mit Annahmen arbeiten“, sagt Reichelt. Die große Erfahrung sei einfach noch nicht da. „Wir treten dem Risiko mit Respekt gegenüber.“

Einem Respekt, der auch bei Unternehmenschef Peter M. seit diesem Sommer deutlich gewachsen sein dürfte.

Startseite

Mehr zu: Schutz gegen Hacker - Wie die Versicherer gegen Cyberangriffe vorgehen

0 Kommentare zu "Schutz gegen Hacker: Wie die Versicherer gegen Cyberangriffe vorgehen"

Das Kommentieren dieses Artikels wurde deaktiviert.

Serviceangebote