Die wachsende Zahl von Hackerangriffen eröffnet Versicherern ein neues Geschäftsfeld – die Cybersicherung. In Deutschland besitzen nach Schätzungen aber erst einige Hundert Unternehmen eine solche Police.

Banken, Filmkonzerne, selbst das Computersystem des Hochofens eines deutschen Stahlkonzerns; Beispiele für erfolgreiche Hackerangriffe gab es in den vergangenen Wochen zahlreiche. Ein gezielter Angriff auf ein Unternehmen kann dieses Millionenbeträge kosten. Trotz diverser Sicherungs- und Abwehrstrategien, einen hundertprozentigen Schutz gegen Hacker gibt es für Firmen nicht. Je mehr sich diese Erkenntnis sowohl in großen Firmenzentralen als auch in kleinen Handwerksbetrieben verfestigt, desto stärker wächst in Deutschland der Markt für Cyberversicherungen.

 

Während sich in den USA jedes dritte Unternehmen gegen Cyberkriminalität absichert, haben in Deutschland nach Schätzungen von Experten bisher nur einige Hundert Unternehmen entsprechende Policen. Die fehlende Police kann Unternehmen teuer zu stehen kommen. Die Studie „Industriespionage 2014“ von Corporate Trust schätzt, dass deutsche Unternehmen allein 2013 etwa 11,8 Milliarden Euro Verlust durch Cyberattacken erlitten, Tendenz steigend. Während größere Mittelständler eine IT-Abteilung haben, um entsprechende Angriffe abzuwehren, sind sich kleinere Betriebe meist nicht bewusst, dass ihre Daten für Hacker überhaupt interessant sind.

Wenn die Betriebshaftpflicht nicht greift

Erst wenn ein Schadenfall bemerkt wird, erkennen Unternehmer, dass ihre klassische Betriebshaftpflicht nicht greift. Diese deckt nur Sachschäden ab, nicht aber die Folgekosten von manipulierten, gelöschten oder gestohlenen Daten – ganz zu schweigen von dem Imageschaden, den ein Datendiebstahl mit sich bringt. In solchen Fällen greifen Cyberversicherungen.

Die Tarife sind für Kunden selten auf einen Blick vergleichbar. Sie richten sich nach Branche und vorhandenen Sicherheitsstandards. Je länger ein Unternehmen beispielsweise braucht, um seine Netzwerke nach einem erfolgreichen Angriff wieder hochzufahren, desto größer wird der Schaden. Für eine Police mit einer Deckungssumme von zehn Millionen Euro muss ein mittelständisches Unternehmen zum Beispiel bei der Allianz mit einem jährlichen Beitrag zwischen 50 000 und 90 000 Euro rechnen. Kleinere Betriebe können sich bei Wüstenrot und Württembergischer von 500 Euro an jährlich versichern, allerdings umfasst die Police dann nur eine Deckungssumme von 125 000 Euro.

„Große Unternehmen sind täglich ernsthaften Angriffen im zweistelligen Bereich ausgesetzt“, sagt Jens Krickhahn, Experte für Cyberversicherungen bei der Allianz. Das Risiko-Barometer 2015 des Versicherungskonzerns listet Internetspionage und IT-Versagen als fünftgrößtes unternehmerisches Risiko auf – nach Betriebsunterbrechungen, Naturkatastrophen, Feuer und Gesetzesänderungen.

In der Industrie nimmt die Sensibilität zu

Die Informationstechnologie von Unternehmen im Finanzsektor ist das beliebteste Ziel von Cyberattacken, doch auch im produzierenden Gewerbe steigt das Bewusstsein für die Anfälligkeit der eigenen IT. Beispielsweise dort, wo Produktionsmaschinen per Online-Ferndiagnose gewartet werden. Laut dem Verband deutscher Maschinen- und Anlagenbau erlitt knapp ein Drittel der Unternehmen bereits einen Produktionsausfall infolge einer Cyberattacke.

Nur kleinere Betriebe unterschätzten das Risiko von Hackerangriffen meist, sagt Thilo Bleidt, der Experte für Cyberversicherungen bei Wüstenrot und Württembergischer. „Doch auch sie haben Informationen, die zu Geld gemacht werden können“, sagt Bleidt. Er meint damit sowohl Daten zu Ausschreibungen als auch Kundendaten wie E-Mail-Adressen. Für diese ließen sich am Schwarzmarkt zwischen zwei und fünf Euro erzielen.

Zu den größten Tätergruppen von Angriffen auf die Informationstechnologie gehören neben dem organisierten Verbrechen vor allem die eigenen Beschäftigten eines Unternehmens, Letztere nicht immer freiwillig. Durch das geschickte Ausfragen von Mitarbeitern, Social Engineering genannt, versuchen Täter beispielsweise Schwachstellen in der Firewall zu finden. Mit einer Cyberversicherung können Firmen zumindest einen Teil des finanziellen Risikos auslagern. Doch auch diese Policen haben ihre Grenzen. Patente zum Beispiel fallen nicht unter den Versicherungsschutz, weil sich deren Wert nur schwer bemessen lässt.

Ein Markt mit Tücken

Doch auch wenn die Versicherer großes Wachstumspotenzial im Bereich der Cyberpolicen sehen, der Markt hat seine Tücken. Eine davon liegt in mangelnder Bereitschaft von Unternehmen, staatlichen Stellen mitzuteilen, dass sie Opfer eines Hackerangriffs geworden sind. „Würden Unternehmen Informationen über Cyberattacken an staatliche Stellen wie das Bundeskriminalamt weitergeben, könnte man viele Angriffe schon im Vorfeld verhindern“, sagt Thilo Bleidt. Meldepflichten von Cyberattacken gibt es bislang nur für Einrichtungen, die für das Gemeinwesen relevant sind, etwa für Energieversorger. Je später Angriffe aber abgewehrt werden können, desto teurer wird es für die Versicherung. Die Verantwortlichen in den Unternehmen fürchten jedoch den Imageschaden, der mit einer Cyberattacke einhergeht, und den daraus resultierenden Weggang von Kunden. Zudem fehlt vielen Unternehmern das Vertrauen in die Kompetenz der staatlichen Organe.

Datensicherheit ist nicht nur eine Frage der Technik

Egal wie groß ein Betrieb ist, eine Firewall auf dem Firmencomputer bringt nichts, wenn Mitarbeiter mit ihren privaten Smartphones oder Laptops auf sensible Firmendaten zugreifen können, zumal diese Geräte nicht selten überhaupt keinen Passwortschutz haben. Nur ein Zehntel der Unternehmen hat jedoch laut der Studie „Industriespionage 2014“ überhaupt Regelungen für den Umgang mit privaten Smartphones, Computern und USB-Sticks getroffen. Doch selbst wenn Mitarbeiter firmeneigene Laptops auf Reisen nutzen, birgt das Sicherheitsrisiken. Sichtschutzfolien verhindern zum Beispiel, dass Fremde im Zug oder Flugzeug, den Laptopbildschirm sehen können.

Das Ausmaß der technischen Sicherheitsvorkehrungen hängt natürlich auch von der Betriebsgröße ab. Einem kleinen Betrieb reicht womöglich schon ein ständig aktualisierter Virenschutz, um eine Cyberversicherung abschließen zu können. Größere Unternehmen müssen sich mit viel weitreichenderen Fragen auseinandersetzen: von der Objektsicherheit über abhörsichere Kommunikation bis hin dazu, wie Mitarbeiter, die auf Auslandsreisen gehen, für Spionageversuche sensibilisiert werden. Auch lassen die wenigsten Firmen ihre Besprechungsräume regelmäßig auf Abhörtechnologie überprüfen.

Zudem ist beim Arbeiten mit Clouds Vorsicht geboten. Beim Cloud-Computing werden Daten in externen Rechenzentren gespeichert. Der Vorteil liegt darin, dass Mitarbeiter von unterschiedlichen Standorten auf gleiche Daten zugreifen können. Das technische Set-up der Rechenzentren sollte aber ebenso überprüft werden wie die Standorte der Rechner. Je nach Gesetzeslage in dem Land, in dem das Rechenzentrum steht, ist beispielsweise ein staatlicher Zugriff auf die Daten erlaubt.