Absicherung von Cyber-Risiken

E-Crime ist die Brandstiftung des 21. Jahrhunderts. Eine Feuerversicherung hat jeder vernünftige Unternehmer – doch die Absicherung von Cyber-Risiken bleibt bisher die Ausnahme. Vor allem Mittelständlern fehlt das Risikobewusstsein. Versicherer sollten das als Chance begreifen: Durch Aufklärung und Absicherung können sie ihren Kunden schmerzhafte Nachteile ersparen und dabei vom Wachstumspotenzial der Sparte „Cyber“ profitieren.

Was geschieht in einer Firma, wenn nach einem Hackerangriff mit einem Schlag sämtliche Kunden-, Vertrags- und Rechnungsdaten von den Servern verschwinden? Für die meisten kleinen und mittelgroßen Unternehmen dürfte das Horrorszenario im Desaster enden. Sie haben weder die finanziellen Reserven, um einen solchen Rückschlag zu überstehen, noch die Ressourcen für ein adäquates Krisenmanagement.

Reale Bedrohung für kleine und mittlere Firmen

Die Öffentlichkeit würde wohl kaum von dem Vorgang erfahren, denn die wenigsten erfolgreichen Cyber-Angriffe schaffen es in die Schlagzeilen. Medienberichte konzentrieren sich auf spektakuläre Fälle wie die Hacker-Attacke auf die Bundestagsabgeordneten, bei dem die Angreifer Privatadressen und private Nachrichten veröffentlichten. Trotzdem ist die Gefahr für kleine und mittelgroße Unternehmen (KMU) real: Experten schätzen, dass die Opfer von E-Crime in drei von vier Fällen Mittelständler und kleine Firmen sind.

Cyber-Kriminelle machen bei KMU oft leichte Beute, weil die IT-Systeme dort vergleichsweise schlecht geschützt sind. Werden dann Daten gestohlen und Schadprogramme eingeschleust, erreicht der Schaden schnell einen Millionenbetrag. Betriebsunterbrechungen und die Wiederherstellung der IT-Infrastruktur verursachen hohe Kosten. Hinzu kommt der Reputationsschaden.

Der Gesetzgeber nimmt Cyber-Risiken nicht erst seit der Attacke auf den Bundestag ernst. Das zeigt die Verabschiedung des IT-Sicherheitsgesetzes, das neben Mindeststandards an Sicherheitsvorkehrungen eine Meldepflicht für Cyberangriffe auf bestimmte Unternehmen vorsieht.

Viele Firmen kennen die Gefahren, halten die eigenen Sicherheitsvorkehrungen aber für ausreichend. Mit Zahlen ist diese Gelassenheit kaum zu erklären: Bei einer Bitkom-Umfrage im Jahr 2015 erklärte etwa jedes zweite Unternehmen, es sei unlängst Opfer von Datendiebstahl, Wirtschaftsspionage, Sabotage oder sonstiger Computerkriminalität geworden.

Risikobewusstsein entwickelt sich langsam

Die Versicherungsbranche versucht seit einiger Zeit, das Risikobewusstsein der Unternehmen zu schärfen und sie von der Notwendigkeit einer Absicherung zu überzeugen. Die Zahl der Abschlüsse verharrt aber trotz des wachsenden Angebots von Produkten auf niedrigem Niveau. Deshalb bleibt es Aufgabe der Branche, vor allem bei kleinen und mittleren Unternehmen für eine Neubewertung der IT-Risiken zu werben: Datensicherheit muss als Teil des unternehmerischen Risikomanagements verstanden werden. Damit ist sie Chefsache – und nicht etwa eine von vielen Aufgaben für die IT-Abteilung.

Wie bei anderen Risiken zählt beim Schutz gegen Computerkriminalität die individuell richtige Mischung von Prävention und Schadensbegrenzung. Die Versicherer bringen hier ihre Kernkompetenz ein: den Umgang mit Risiken. Zugleich hat die Assekuranz große Erfahrung mit dem sicheren Alltagsbetrieb komplexer IT-Systeme und dem Management sensibler Daten. Auch von diesem Wissen können Kunden aus dem Mittelstand profitieren.

Etliche Unternehmen interessieren sich zwar für eine Cyber-Versicherung, schließen aber keinen Vertrag ab. Zur Begründung heißt es häufig, es sei noch zu schwierig, das geeignete Produkt zu identifizieren. Der Branchenverband GDV entwickelt derzeit unverbindliche Musterbedingungen. Diese Initiative dürfte kleinen und mittleren Unternehmen helfen, Angebote zu vergleichen.

Vorsprung durch umfassendere Deckung

In vielen Verträgen wird die IT-Sicherheitsverletzung heute durch eine abschließende Aufzählung bestimmter Fälle definiert. Das kann einen Interessenten verunsichern, denn beim Abschluss des Vertrags kann er die künftig denkbaren Konstellationen kaum zuverlässig vorhersagen. Dafür sorgt schon die rasante technische Entwicklung im IT-Sektor. Hier schafft eine generelle Definition des Versicherungsfalls deutlich mehr Vertrauen.

Wenn möglichst viele Unternehmen die finanziellen Folgen von Computerkriminalität begrenzen und absichern, stärkt das nicht nur die deutsche Volkswirtschaft. Es nützt auch der Versicherungsbranche: „Cyber“ gilt als wichtigste neue Sparte im deutschen Markt. Angesichts der aktuell niedrigen Marktdurchdringung schlummert hier noch ein enormes Wachstumspotenzial.

Artikel aktualisiert am 22.01.2019 (erstmals erschienen am 01.09.2016)