Der Markt für Cyber-Versicherungen, die Schutz vor Hackern und IT-Viren bieten, wächst beständig. Nach Schätzungen der Wirtschaftsberatung KPMG wird 2025 das jährliche Prämienvolumen rund 20 Milliarden US-Dollar betragen. Zum Vergleich: 2015 waren es erst 2,5 Milliarden Dollar. Das Interesse auf Seiten potenzieller Abnehmer ist hoch, Konzerne erhoffen sich ebenso wie Mittelständler von den Policen im Ernstfall finanzielle Deckungen für entstandene Schäden und nachfolgende Verdienstausfälle. Ob sie die wirklich bekommen, steht auf einem anderen Blatt – die Versicherungsgesellschaften halten sich in den Allgemeinen Vertragsbedingungen (AVB) zahlreiche Hintertürchen offen. Darüber berichtet die Neue Zürcher Zeitung (NZZ). 

Für viele Versicherer sei es derzeit noch schwer bis nahezu unmöglich, die tatsächlichen Cyber-Gefahren genau einzuschätzen und deren Auswirkungen und damit die Schäden einigermaßen exakt hochzurechnen. Der Grund liegt auf der Hand: Zwar zeigen diverse Statistiken seit Jahren eine Häufung schwerwiegender Angriffe auf die EDV-Systeme von Unternehmen, dennoch fehlt bislang eine verlässliche Datenhistorie um zu ermitteln, um welche Schadenssummen es bei den betroffenen Firmen konkret geht.


FONDS professionell hat den vergleichsweise jungen Markt für Cyberpolicen ausführlich in Heft 4/2018 ab Seite 210 beleuchtet. Angemeldete KLUB-Mitglieder können das zehnseitige Special auch hier im E-Magazin nachlesen.


Hinzu komme, dass die Palette denkbarer Schäden umfangreich ist: Vom Komplett-Ausfall der IT-Systeme, der erzwungenen Unterbrechung der Geschäftstätigkeit über den Diebstahl essentieller Daten bis hin zu einem gravierenden Reputationsverlust des angegriffenen Unternehmens bei Kunden sei so ziemlich alles möglich, zählt die NZZ auf. Und schließlich: Ein vermeintlich singuläres Cyber-Ereignis kann leicht mehr als nur eine Firma betreffen, wie das Beispiel des russischen Notpetya-Virus zeigte, der 2017 den US-amerikanischen Lebensmittelkonzern Mondelez sowie den Pharmakonzern Merck und das Logistikunternehmen Maersk zugleich traf. 

Versicherer können Waldbrände – IT-Attacken weniger
Das größte Problem ist laut der Zeitung aber die Bewertung von Schäden am immateriellen Vermögen. Gemeint sind damit Datenbestände, die sich auf gehackten Festplatten befanden, die bleibende Rufschädigung eines Unternehmens nach dem Bekanntwerden eines IT-Vorfalls sowie der Diebstahl geistigen Eigentums, also geschäftsnotwendiger Patente. Wenn durch einen Hackerangriff beispielsweise die Pläne für einen Prototyp entwendet werden oder die Wiederherstellung des Zugriffs auf zentrale Einheiten des firmeneigenen Großrechners njur gegen Zahlung eines "Lösegeldes" erfolgt – wie hoch ist dann der Schaden?

"Traditionelle Versicherungen funktionieren sehr gut, die Branche versteht das Geschäft. Wir können Hurrikans und Waldbrände einschätzen und abdecken", zitiert die NZZ Neil Arklie, Chef der Cyber-Abteilung von Aviva, dem größten britischen Versicherer. Bei Cyber-Angriffen gilt das Wissen nicht mehr. "Wir begeben uns hier auf herausforderndes Terrain", gesteht Arklie ein. Das Problem sei, wie oben schon angeklungen, dass Cyber-Risiken systemisch sein können, menschengemacht sind und sich ständig weiterentwickeln.

Mogelpackungen
Das führt dazu, dass einige Versicherer eher dazu neigen, das Risiko an vermeintlich besonders kritischen Stellen in den AVB zu begrenzen, um sich selbst zu schützen. Das Ergebnis ist nicht selten eine Mogelpackung, wie Michael Franke, Geschäftsführer der Ratingagentur Franke und Bornberg, für den deutschen Markt beobachtete. Die Feststellung gilt aber auch über bundesrepublikanische Grenzen hinweg. 

Das unterstreicht eine Analyse des britischen Versicherungsberaters Mactavish, wie die NZZ schreibt. Nach Interviews mit 700 Managern sei Mactavish zu dem Schluss gekommen, dass viele standardisierte Cyber-Versicherungen zu kurz greifen und keinen ausreichenden Schutz böten. Häufig deckten sie beispielsweise einen zu kurzen Zeitraum nach einem IT-Vorfall und nicht alle Kosten ab oder legten den Firmen kaum erfüllbare Meldepflichten auf. (jb)