Cyberschutz: Haben sich Versicherer verkalkuliert?

Im vergangenen August drangen Hacker in das System des Osnabrücker Kupferherstellers KME ein, verschlüsselten Daten und blockierten den größten Teil der IT. Zeitweise musste der Konzern sogar die Produktion zurückfahren – es drohten Schäden in Millionenhöhe. Und es kam noch dicker: In einem Erpresserschreiben forderten die Hacker 7,5 Millionen US-Dollar Lösegeld. Der Kupferhersteller schaltete die Polizei ein. Nach tagelangen, zähen Verhandlungen zahlte KME, und die Hacker gaben die gekaperten Daten wieder frei.

Das Beispiel zeigt: Hackerangriffe können Unternehmen völlig lahmlegen. Cyberversicherungen sollen Schutz gegen digitalen Vandalismus und virtuelles Kidnapping wie dieses bieten. Lange galten diese „Feuerversicherungen des 21. Jahrhunderts“ für Makler als schwer vermittelbar, denn einige Unternehmen sahen in Cybergefahren kein wirkliches Risiko. Mit der Pandemie und dem Digitalisierungsschub hofften viele Cyberversicherungsmakler nun auf wachsendes Geschäft: Noch nie wurden so viele deutsche Unternehmen Opfer von Angriffen aus dem Netz wie im Jahr 2020. Laut einer Studie des Allianz-Cyberversicherers AGCS haben Unternehmen bereits in den ersten neun Monaten des Corona-Jahres 770 Fälle von Cyberkriminalität gemeldet – fast so viele wie im ganzen Jahr 2019 und zehnmal so viele wie noch 2016.

Nicht nur bei Großkonzernen, sondern auch bei Mittelständlern wächst entsprechend das Interesse an Cyberversicherungen, belegen Zahlen des Gesamtverbands der deutschen Versicherungswirtschaft (GDV): Lehnten im Jahr 2019 noch 66 Prozent der Mittelständler eine Cyberversicherung ab, war es im vergangenen Jahr nur noch knapp die Hälfte. „Inzwischen begreifen immer mehr mittelständische Unternehmen, dass sie mit Angriffen rechnen müssen und sogar besonders gefährdet sind“, sagt Hanno Pingsmann, Gründer und Geschäftsführer der Vermittlungsplattform Cyberdirekt. Die Nachfrage nach Cyberversicherungen steige zurzeit rasant.

Doch ausgerechnet jetzt, wo die digitalen Schadenspolicen den Durchbruch schaffen könnten, passen viele Versicherer ihre Verträge an. Der Grund: Die Regulierungskosten pro Fall sind zuletzt explodiert. Hierzulande verursachte ein Cyberangriff im Jahr 2020 Schäden von durchschnittlich 72.000 Euro pro Unternehmen – das Sechsfache im Vergleich zum Jahr davor.

Zudem sind durch den völlig unerwarteten Homeoffice-Boom die bisherigen Risikomodelle teilweise überholt. Viele Unternehmen haben beim Wechsel ins Homeoffice vernachlässigt, auch den heimischen Arbeitsplatz gegen mögliche Gefahren aus dem Netz abzusichern. „Die Mitarbeiter verbinden sich von zu Hause mit dem IT-Systems ihres Unternehmens“, erklärt Peter Grass, Cyberexperte beim GDV. „Im schlimmsten Fall ohne Verschlüsselung und mit ihrem privaten Computer oder dem Smartphone.“ Diese oft ungeschützte Schnittstelle können Hacker nutzen, um Lücken im System zu finden.

Weil das zurzeit massenhaft passiert, entstehen Kumulrisiken. Also die Gefahr, dass ein Schadensereignis viele Versicherungsnehmer gleichzeitig trifft. In der Feuerversicherung ist es zum Beispiel eher unwahrscheinlich, dass zwanzig Fabriken gleichzeitig abbrennen. Bei Cyberattacken ist es durchaus möglich, dass ein und derselbe Computervirus sehr viele IT-Systeme von Unternehmen gleichzeitig lahmlegt.

Seite 1: Wachsendes Interesse an CyberversicherungenSeite 2: Vermittler entdecken den Mittelstand

All das treibt die Kosten: Viele Versicherungen sehen sich seit rund drei Jahren gezwungen, die Prämien zu erhöhen, um die wachsenden Schadenskosten zu decken. Experten der Branche sprechen von Beitragserhöhungen von mehr als 50 bis 100 Prozent. Zeitgleich reduzieren Anbieter seit Jahren die Deckung. Das bedeutet vor allem für große Unternehmen, dass Sie immer mehr Versicherungen abschließen müssen, um die benötigte Deckungssumme zusammenzustellen.

Versicherungsexperte Grass wirbt um Verständnis für eine gewisse Selbstfindung des Segments. Cyberpolicen hätten auf dem deutschen Markt schließlich erst in den Jahren 2017 und 2018 Fuß gefasst – da fehle es noch an Erfahrungswerten. „In so einer jungen Branche ist es üblich, dass Versicherer immer wieder ihre Angebote anpassen“, sagt Grass.

Für Makler bedeutet das jedoch weiterhin Kärrnerarbeit. Viele Vertriebe konzentrieren sich derzeit stark auf mittelständische Kunden, sagt Grass. Doch diese Klientel ist auch besonders fordernd. Viele kleine und mittelständische Unternehmen kennen sich mit dem Thema kaum aus: So schätzen laut einer Analyse des GDV nur 28 Prozent aller mittelständischen Unternehmen das Cyberrisiko für sich als hoch ein. Die meisten werden erst aktiv, wenn sie einen Schaden erlitten haben oder sich ein Hackerangriff im näheren Umfeld ereignet. „Weil Cyberschäden für viele Mittelständler noch nicht wirklich greifbar sind, benötigen die meisten Unternehmen einen direkten Impuls“, bestätigt Pingsmann, der sich ausschließlich auf die Vermittlung von Cyberpolicen spezialisiert hat. Dabei kann ein Hackerangriff für ein mittelständisches Unternehmen durchaus die Insolvenz bedeuten, wie bei der Thüringer Spedition Blitz Logistik oder beim Schweizer Fensterhersteller Suisse Windows AG.

Den potenziellen Kunden ist zudem oft nicht klar, dass eine gute Cyberversicherung nicht nur die Kosten der Schäden deckt – etwa durch einen Produktionsausfall – sondern dass sie zum Beispiel auch PR-Maßnahmen übernimmt, um den Ruf des Unternehmens wiederherzustellen. „Hier sind die Vermittler gefragt“, sagt Pingsmann. „Ihre Aufgabe ist es, die Produkte vorzustellen, die noch bestehenden Wissenslücken zu schließen und die Angebote auf dem Markt zu vergleichen.“

Es ist also noch einiges zu tun auf dem jungen Markt für Cyberversicherungen: Zwar ist das Prämienvolumen nach Angaben des GDV von 2019 auf 2020 um 40 Prozent gewachsen – von 76 Millionen Euro auf nun knapp 105 Millionen Euro. Doch „in der Praxis bleiben die Abschlüsse im Firmenkundengeschäft noch hinter den Erwartungen zurück“, bemängelt Pingsmann. Auch andere Branchenexperten bewerten die aktuelle Geschäftslage laut der Studie „Quo vadis Cyber-Insurance?“ der Unternehmensberatung Assekurata derzeit als „schwach“. Das Potential des Cyberversicherungsmarktes liegt jedenfalls weitaus höher.

Seite 1: Wachsendes Interesse an CyberversicherungenSeite 2: Vermittler entdecken den Mittelstand