Einleitung

Nahezu jedes Hotel arbeitet heutzutage mit einem Online-Buchungssystem, die meisten Handwerker führen eine elektronische Kundenkartei, und kein Krankenhaus funktioniert mehr ohne digitale Patientenakten. Diese neuen Technologien bringen allen Bereichen enormen Fortschritt: Sie beschleunigen und vereinfachen Prozesse, und Aufgaben lassen sich orts- und zeitunabhängig erledigen. Doch Unternehmen werden dadurch auch angreifbarer: Wer auf Digitalisierung setzt, ist potenziell gefährdet, Opfer von Cyberattacken zu werden. Bei dem Gedanken an Datenklau, Hackerangriff, Identitätsdiebstahl, Viren, Trojaner oder sogar Cybererpressung bekommen nicht nur Informatiker feuchte Hände. Doch vor den Folgen können sich Unternehmen und Verbraucher schützen: mit Cyberpolicen¹.

Auch für Versicherer dürfte der junge Markt der Cyberpolicen aktuell der spannendste Trend im Bereich der Firmenversicherung sein: Neue Produkte und ein noch übersichtliches Bewerberfeld aus deutschen und anglo-amerikanischen Anbietern bei sich ständig ändernden Bedrohungslagen und technischen Neuerungen. Wer sich als Versicherer jetzt zurücklehnt, droht langfristig auf der Strecke zu bleiben.

Das Kundenpotenzial für Cyberversicherungen ist für Anbieter riesig. Schließlich ist eine IT-Infrastruktur heute aus keinem Unternehmen mehr wegzudenken – unabhängig davon, ob es sich um einen Industriekonzern oder einen mittelständischen Betrieb handelt.

Wie groß die Angst der Mittelständler vor Hackerangriffen ist

Während große Firmen finanzielle Mittel besitzen, sich mit modernen Lösungen und internen wie externen IT-Experten gegen Cyberattacken zu schützen, sieht es bei kleinen und mittelständischen Unternehmen (KMU) meist anders aus. Dabei ist die Sensibilisierung für das Thema auch bei ihnen durchaus vorhanden. Das belegt die KMU-Studie der Gothaer aus dem Jahr 2019², an der Vertreter von mehr als 1.000 KMU teilgenommen haben. Vor der Coronakrise belegte der Hackerangriff mit 43 Prozent unangefochten Platz eins bei den Risiken, die Unternehmensleiter am meisten fürchten – und ließ damit Einbrüche (36 Prozent) und den Betriebsausfall (35 Prozent) hinter sich. Außerdem ergab die KMU-Studie, dass nahezu jedes fünfte befragte Unternehmen (17 Prozent) bereits Opfer eines Cyberangriffs geworden ist. Die Dunkelziffer dürfte deutlich höher sein, da Unternehmer nicht jede Attacke bemerken oder melden. Am häufigsten betroffen waren mittelständische Unternehmen mit 200 bis 500 Mitarbeitern, die in Deutschland oft Technologieführer in ihrem Bereich und daher ein besonders attraktives Ziel für Angreifer sind.

Das Risiko ist Unternehmern also bekannt. Sie fürchten sich nicht zu Unrecht vor den finanziellen und rechtlichen Folgen von Cyberkriminalität, die erheblich sein und in extremen Fällen bis zur existenziellen Gefährdung des Unternehmens reichen können. Zum Beispiel dann, wenn es zu einer lang anhaltenden Betriebsunterbrechung kommt. Daher ist es umso erstaunlicher, dass gerade Unternehmer die Absicherung dieser Risiken durch eine Cyberversicherung noch verhältnismäßig selten nutzen. In der KMU-Studie der Gothaer gaben nur 13 Prozent der Befragten an, eine Cyberpolice zu besitzen. Immerhin versicherten 23 Prozent aller befragten KMU, in den kommenden zwei Jahren solch einen Schutz abschließen zu wollen. Aber immer noch 41 Prozent planten es nicht, 36 Prozent waren unentschlossen.

Eines ist doch verwunderlich: Kaum ein Unternehmer verzichtet auf eine Betriebshaftpflicht: 88 Prozent der befragten KMU gaben in der Studie der Gothaer solch einen Vertrag an. Doch wenn ein Hackerangriff derzeit offenbar ihre größte Sorge ist, warum sichern sich immer noch so wenige Firmen mit einer Cyberversicherung gegen die finanziellen und rechtlichen Folgen eines solchen Zwischenfalls ab?

Schaden, ohne dass der Täter je die Firma betreten hat

Ganz langsam setzt ein Umdenken ein. Die Gothaer sieht das an ihren Abschlusszahlen: Im Jahr 2019 verzeichnete sie einen erheblichen Zuwachs an Cyberabschlüssen im Vergleich zum Vorjahr. Wachstumstreiber sind vor allem ein gesteigertes Risikobewusstsein bei den Unternehmensleitern, aber auch die Tatsache, dass im Versicherungsvertrieb die Bedeutung von Cyberversicherungen nach und nach steigt. Auch die zunehmende Medienberichterstattung über prominente Cyberattacken führt regelmäßig vor Augen, dass Firmen – unabhängig von Branche und Größe – ein lohnendes Ziel für Cyberkriminelle sind. Welche Risiken birgt dabei ein Hackangriff für Unternehmen? Die am weitesten verbreiteten Szenarien sind sicherlich der Datenklau und die Datenverschlüsselung. Im Jahr 2016 ist zum Beispiel das Klinikum Neuss Opfer eines Trojaners geworden, der alle nötigen Daten für den Krankenhausbetrieb verschlüsselte. Die Hacker legten das größte Krankenhaus der Stadt lahm, ohne je physisch einen Fuß hineingesetzt zu haben. Nichts ging mehr: Elektronische Patientenakten ließen sich nicht mehr öffnen, Medikamentendatenbanken waren nicht mehr abrufbar – und zum Schutz vor weiterer Ausbreitung schalteten Mitarbeiter fast alle Computer aus. Kurzum: Das Klinikum stand still. Und der Schaden, nachdem IT-Sicherheitsspezialisten jedes einzelne betroffene Computersystem säubern mussten, belief sich auf rund eine Million Euro.

Ähnliches kann auch einem kleinen Handwerksbetrieb oder einer Medienagentur passieren. Ein falscher Klick in den Anhang einer E-Mail, und die enthaltene Schadsoftware verbreitet sich im IT-Netzwerk, sperrt Zugänge und verschlüsselt Daten. Der Schaden liegt dann nicht nur beim Unternehmer, sondern möglicherweise auch beim Kunden, dessen Daten plötzlich nicht mehr sicher auf dem Firmenserver sind. Schlimmstenfalls breitet sich die Schadsoftware vom befallenen Computersystem zudem auf Dritte aus, was erhebliche Schadensersatzansprüche auslösen kann. Gerade ein solches Szenario sollte Selbstständigen zu denken geben: Cyberkriminalität bedroht nicht nur die Arbeitsprozesse und verursacht erhebliche finanzielle Schäden im eigenen Unternehmen – sie greift in manchen Fällen auch die Daten Dritter ab, für die das Unternehmen verantwortlich ist, oder richtet bei anderen einen Schaden an. Richtiges und schnelles Handeln zur Schadensbegrenzung und -behebung im Ernstfall ist somit Pflicht.

Wie Cyberversicherungen helfen

Der größte Mehrwert von Cyberpolicen ist, dass es sich dabei um mehr als eine reine Versicherung handelt, die dem Kunden seine finanziellen Schäden ersetzt. Cyberversicherungen unterstützen ganzheitlich, bieten also Service-Leistungen präventiv vor und unmittelbar nach dem Schadeneintritt – wie ein Krisenmanager.

Die Versicherung greift, vereinfacht gesagt, wenn sich der Versicherungsnehmer einem Hackerangriff ausgesetzt sieht oder ihm Daten gestohlen wurden. Die mitunter existenzbedrohenden Kosten der Wiederherstellung von Daten und Programmen übernimmt dann die Versicherung. Abgesichert sind sowohl Eigen- als auch Drittschäden des Versicherungsnehmers. Enthalten im Deckungskonzept der Gothaer sind zudem Ausgaben für einen nötigen Hardware-Austausch oder Betriebsunterbrechungskosten, auch bei vorsorglicher Systemabschaltung. Zusätzlich reguliert die Gothaer mögliche Schäden an Fertigungserzeugnissen durch den Hackangriff, sollte der Versicherungsnehmer ein Produktionsbetrieb sein.

Unterstützung im Krisenfall

Die Cyberversicherung kann auch für kleinere Unternehmen eine Unterstützung sein. Denn während große Konzerne im Versicherungsfall in erster Linie ihre Ausfälle ersetzt haben möchten, brauchen KMU ohne eigene IT-Abteilung und nötige Expertise mehr Hilfe. Eine gute Cyberpolice springt im Krisenfall als Manager ein. Dabei beginnt die Unterstützung mit einer 24/7/365 verfügbaren Hotline, über die Kunden Assistenz-Leistungen im IT-Security-Schadenfall rund um die Uhr erhalten und mögliche Angriffe melden können.

Ein Cyberangriff ist vor allem eines: zeitkritisch. Deshalb reguliert die Gothaer alle Kosten, die in den ersten 48 Stunden nach Schadenmeldung für die eingeschalteten IT-Sicherheitsexperten entstehen, immer – auch wenn sich später herausstellt, dass es keinen Hackerangriff gegeben hat. Auch bevor irgendetwas passiert, sollte ein umsichtiger Cyberversicherer Kunden wichtige Assistenz-Leistungen bieten. Die Gothaer unterstützt ihre Kunden etwa mit Schwachstellen-Scans und zeigt bei Bedarf IT-Sicherheitslücken auf, bevor Hacker sie ausnutzen können. Auch die Sensibilisierung der Belegschaft ist Teil des Produkts. Im Kern orchestrieren Versicherer über ihre Cyberpolicen das, was als Ökosystem und damit als Zukunft von Versicherungsschutz diskutiert wird.

Der Weg zum neuen Cyberprodukt

Ein Versicherer, der ein State-of-the-Art-Produkt anbieten möchte, sollte seinen Kunden neben der ständig verfügbaren Hotline also auch selbst mit Fachwissen zur Seite stehen. Bis die Gothaer an diesem Punkt war, musste sie selbst erst zur Expertin werden. Für die Versicherer, die heute mit einem ernstzunehmenden Cyberprodukt am Markt sind, war der Weg dorthin eine der spannendsten Herausforderungen der vergangenen Jahre. Wir mussten uns fragen: Welche Risiken gibt es überhaupt und welche Schäden in welcher Größenordnung können sie verursachen? Was können, wollen und was müssen wir absichern? Und welche Schutzmaßnahmen setzen wir bei unseren Kunden voraus? Um einen Überblick zu bekommen, war also zunächst viel Recherche nötig. Der Schlüssel für das richtige Pricing waren etwa Schadensszenarien, die wir für unterschiedliche Kundengruppen annahmen. Anhand dieser beispielhaften Schadenfälle schätzten wir Kosten ab und stellten für jedes einzelne Szenario nötige Versicherungsleistungen zusammen.

Eine große Herausforderung im Cyberbereich: Die Entwicklung und Vielfalt der Risiken sind ungebremst hoch und ständig im Fluss. Während sich etwa im Bereich Gebäudeversicherung eher wenig verändert, gleichen Cyberrisiken dem sich windenden, glitschigen Aal, den man mit einem möglichst großen Netz zu fangen versucht. Hier ist unsere Arbeit nicht mit der Produktentwicklung getan. Um unseren Schutz auch während der Vertragslaufzeit auf aktuellem Stand zu halten, sind pausenloses Monitoring und Agilität in der Produktentwicklung wichtig: Was sind aktuelle Gefahrentrends, wohin entwickeln sich Technik und Risiken, und muss das Versicherungsprodukt deswegen angepasst werden? Auf Seite der Kunden haben etwa ein Schreinermeister oder ein niedergelassener Arzt wenig Lust, sich neben der täglichen Arbeit auch noch mit den jeweils aktuellen Bedrohungen der Cyberkriminalität auseinanderzusetzen. Möglicherweise birgt das eine große Chance für Versicherer: Sie nehmen den Kunden diese Recherche ab und stehen ihnen zur Seite – ohne dabei deren individuellen Schutzstatus aus dem Blick zu lassen. Neben der Cyberpolice müssen Versicherungsnehmer schließlich auch selber zur IT-Sicherheit seines Unternehmens beitragen.

Eine weitere Aufgabe in der Cyberproduktentwicklung war neben der Beobachtung von Bedrohungsszenarien die hohe versicherungstechnische Komplexität. Cyberschäden als klassisches Kumulrisiko³ betreffen eine Vielzahl von Sparten, streifen etwa die Haftpflicht-, Betriebsunterbrechungs-, Rechtschutz- und D&O-Versicherung⁴ sowie die Technische Versicherung und die Elektronik- oder auch Vertrauensschadenversicherung. Die Gothaer musste Komponenten all dieser Einzelversicherungen sinnvoll in einem Produkt zusammenziehen, hauptsächlich bezogen auf Vermögensschäden. Schon in der frühen Phase der Produktentwicklung war es wichtig, auch mögliche spätere Implikationen, etwa andere Versicherungssparten, die von Cyberrisiken bedroht sein könnten, im Blick zu halten ⁵.

IT-Sicherheit fällt nicht vom Himmel: Nachweispflichten

Eine Hausratversicherung erhält niemand, der seine Wohnungstür nicht abschließen kann oder gar keine hat. Gleiches gilt für eine Cyberversicherung: Abschlussvoraussetzung bleibt ein Mindestmaß an eigenen Sicherheitsvorkehrungen des Versicherungsnehmers. Unternehmer müssen unter anderem auf allen Computern einen Virenschutz installieren, Geschäftsdaten mit beschränkten Nutzerzugängen vor Unbefugten abschirmen und regelmäßig sichern. Schließlich dürfen sie eines nicht unterschätzen: Der größte Risikofaktor sitzt – salopp gesagt – immer noch vor dem Bildschirm: der Mensch. Die beste Firewall kann nicht schützen, wenn Mitarbeiter ahnungslos auf jeden E-Mail-Link klicken oder unsichere Passwörter benutzen. Deshalb ist es auch an den Unternehmen, ihre Belegschaft für Cyberrisiken zu sensibilisieren. Zugleich müssen Nutzer ermutigt werden, beim Verdacht auf einen Hackerangriff umgehend davon zu berichten, statt aus Verlegenheit zu schweigen, während sich ein potenzieller Schaden ausbreitet.

8 Welches Schutzniveau Versicherungskunden brauchen

Cyberinteressierte Versicherungskunden sollten, wie gesagt, ein Mindestmaß an Sicherheitsvorkehrungen vorhalten – was übrigens nicht nur im Interesse der Versicherung liegt, sondern auch im vitalen Eigeninteresse des Versicherungsnehmers. Keinesfalls lassen sich dabei alle Kundengruppen über einen Kamm scheren. Der Handwerker als Gewerbekunde benötigt eine andere IT-Umgebung und somit einen anderen Schutzstatus als ein mittelständisches Produktionsunternehmen. Trotzdem benötigen beide eine Cyberversicherung.

Daher geben wir als Gothaer unseren Gewerbekunden einen Katalog von fünf technischen Obliegenheiten an die Hand, die sie erfüllen müssen. Dazu gehören unter anderem ein Antivirenprogramm und eine Firewall. Im Industriebereich hingegen muss sich der Versicherungsnehmer hinsichtlich der IT-Sicherheit an den allgemein anerkannten Regeln der Technik orientieren. Daneben gibt es in der täglichen Praxis noch eine Vielzahl von Standards und Normen, die uns teilweise von den Versicherungsnehmern im Risiko-Assessment nachgewiesen werden. Beispiele sind die Standards des Bundesamts für Sicherheit in der Informationstechnik (BSI) als Bestandteile der IT-Grundschutz-Methodik oder die international gebräuchliche und in der Praxis beliebte ISO/IEC Norm 27001.

Wie Cyberversicherungen Standards setzen

Cyberpolicen haben das Potenzial, Maßstäbe zu setzen. Voraussetzung dafür ist allerdings, dass sich im Cyberversicherungsmarkt künftig einheitliche Standards für Sicherheitsmaßnahmen etablieren, die Versicherungsnehmer derzeit fordern. Dabei müssen stets auch die wettbewerbs- und kartellrechtlichen Restriktionen berücksichtigt werden. Momentan gleicht dieser Markt noch eher einem Flickenteppich. Denn jeder Versicherer erwartet Unterschiedliches von den Kunden. Fragt der eine Versicherer per Fragebogen nur rudimentäre Anforderungen ab, verlangt der andere in einem langen Katalog detaillierte Obliegenheiten. Würde der Markt hier einheitliche Grundstandards entwickeln, die von allen Cyberversicherungskunden vorgehalten werden müssten, hätte dies sicherlich positive Auswirkungen auf die gesamtgesellschaftliche Cybersicherheit.

Auch was die Instrumente betrifft, die Versicherer bei der Risikoanalyse und bei der Schadenregulierung einsetzen, bietet sich am Cyberversicherungsmarkt ein uneinheitliches Bild. Hier gilt abermals: Eine Vereinheitlichung könnte Standards schaffen, die zu mehr IT-Sicherheit in der Breite führen.

Die Kehrseite der Medaille: Die Vereinheitlichung von geforderten Sicherheitsmaßnahmen und angebotenen Dienstleistungen könnte den Wettbewerb schwächen. Denn gerade über das Angebot von sehr unterschiedlichen Prozessen, Dienstleistungen und Instrumenten lassen sich möglicherweise vorteilhafte Positionen in diesem jungen Markt einnehmen – und somit Kunden gewinnen und halten. Wir sehen: Bei der Cyberversicherung ist noch vieles im Fluss und niemand weiß, wie das Gesamtfeld der Versicherer und ihr Angebotsspektrum in einigen Jahren aussehen wird.

Chancen und Risiken von Cyberversicherern

Cyberpolicen sind für Versicherungsunternehmen sowohl Chance, als auch Herausforderung und Risiko. Positiv für Versicherer ist die seltene Möglichkeit, ein Produkt in einem ungesättigten Markt anbieten zu können, ohne dabei einem reinen Verdrängungswettbewerb ausgesetzt zu sein. Zusätzlich ist mit einem überdurchschnittlichen Wachstum auf der Beitragsseite zu rechnen. Eine Prognose, die in den vergangenen Jahren von einem namhaften Beratungsunternehmen erstellt wurde, geht in den nächsten 20 Jahren sogar von erreichbaren Beitragsgrößenordnungen von zweistelligen Milliardenbeträgen für die DACH-Region aus. Aber auch wenn solche Größenordnungen nicht erreicht werden sollten, ist dieses Segment derzeit die Versicherungssparte mit der größten Wachstumsprognose.

Das Riskante: Im Gegensatz zu etablierten Sparten stehen für Cyberversicherungen derzeit kaum belastbare aktuelle oder vergangene Daten zur Verfügung. Das macht die Risikobewertung, -modellierung und Schadeneinschätzung versicherungstechnisch anspruchsvoll. Die Erfahrungswerte, die zur Verfügung stehen, stammen zudem meist aus anglo-amerikanischen Märkten und sind nur begrenzt auf den deutschen Markt übertragbar. Ein weiterer erschwerender Faktor ist die Tatsache, dass es sich um eine Sparte mit Risiken handelt, die einem sehr schnellen und großen Änderungsrisiko unterliegt, was die Bedrohungslage und die technologische Entwicklung betrifft. Daraus resultiert, dass die zu erwartenden Schäden sowohl in ihrer Quantität als auch in ihrer Qualität nur mit einer begrenzten Bestimmtheit in die Betrachtung und Bewertung aufgenommen werden können. Getroffene Annahmen und Szenarien sind somit einem permanenten Monitoring zu unterziehen, um diese dann validieren und anpassen zu können.

Fazit: Unterstützung durch das Ökosystem

Um mögliche Auswirkungen von Cyberschäden für Versicherungsunternehmen in einem vertretbaren Rahmen zu halten – gerade im Hinblick auf die schmale Datenbasis und die sich stetig ändernde Bedrohungslage –, sind neben einem permanenten Monitoring und Abgleich getroffener Annahmen, Szenarien und Parameter auch alle bekannten versicherungstechnischen Optionen zu nutzen. Dazu gehören ein vertretbarer Bedingungsrahmen, ein behutsamer Umgang mit Kapazitäten und der Einsatz von Sublimitierungen bei schwer kalkulierbaren Deckungserweiterungen.

Zudem setzen einige Versicherer – so auch die Gothaer – verstärkt auf die Unterstützung von Präventionsmaßnahmen durch spezialisierte Dienstleister. Das Ökosystem Cyber, also das Zusammenwirken von Versicherungsunternehmen mit spezialisierten IT-Sicherheitsdienstleistern als Unterstützung bei der Risikoanalyse, Schadenbewertung oder Risikoprävention, wird somit immer ausgeprägter und elementarer für eine langfristig positive Ausgestaltung der Cyberversicherung. Zusätzlich besteht bei Versicherungsnehmern, zumindest bei kleineren und mittleren Unternehmen, ein Bedarf an IT-Sicherheitsunterstützung und Präventionsmaßnahmen, die das Ökosystem Cyber zu einem großen Teil bieten kann. Eine Win-Win-Situation für alle Beteiligten.

Fußnoten: