Sperrige Schlüssel gehören der Vergangenheit an, die meisten Hotels haben sie inzwischen durch handlichere Schlüsselkarten ersetzt. Doch die neue Technik hat auch Nachteile - sie ist leicht zu knacken. Das hat im vergangenen Jahr ein deutscher Hotelbesitzer erlebt. Hacker legten das Computer-System des Hauses lahm. Die Hotelgäste kamen nicht mehr auf ihre Zimmer, weil die elektronischen Schlüsselkarten nicht mehr funktionierten - ein Albtraum.
Doch anders als die meisten deutschen Unternehmen hatte das Hotel eine Cyber-Police, die bei Schäden durch Hackerangriffe einspringt. Der Versicherer schickte eine Spezialfirma zum Tatort, die das Problem löste. "Nach sechs Stunden war das System wieder soweit hergestellt, dass die Schlüsselkarten wieder funktionierten", sagt Stefan Sievers vom Versicherer Hiscox, einer der großen Anbieter für Cyber-Deckungen.
Manchmal geht es bei der Attacke auch darum, Konkurrenten auszustechen
Hackerangriffe auf große amerikanische und japanische Unternehmen, etwa auf Sony, haben in den vergangenen Monaten immer wieder Schlagzeilen gemacht. Aber die Attacken von Cyber-Kriminellen sind nicht auf die globalen Konzerne beschränkt. Kleinere Unternehmen stehen ebenfalls unter Beschuss aus dem Internet, auch in Deutschland. Doch trotz der wachsenden Gefahr sind Versicherungen gegen Cyber-Schäden hierzulande nicht weit verbreitet. Doch das wird sich ändern, sagen Experten. "Die Nachfrage nach Cyber-Schutz ist in den vergangenen drei bis vier Monaten deutlich gestiegen", sagt Sven Erichsen, der diese Policen als Spezialmakler vermittelt. "Wir sind jetzt bei einem bis zwei Abschlüssen pro Woche."
Vorbild sind die USA. Während Hiscox-Manager Sievers davon ausgeht, dass deutsche Firmen bisher fünf Millionen Euro für Cyber-Versicherungen ausgeben, lagen die Prämieneinnahmen für die Policen in den USA im vergangenen Jahr schätzungsweise bereits bei zwei Milliarden Dollar (1,8 Milliarden Euro). Ein Jahr zuvor waren es laut der Beratungsfirma Betterley Risk Consultants erst 1,2 Milliarden Dollar, 2010 nur 600 000 Dollar. Das Marktpotenzial für Deutschland schätzt Sievers auf eine Milliarde Euro.
Hierzulande sind es vor allem die großen Unternehmen und Konzerne, die sich für die Verträge interessieren. Dabei sehen Experten den größten Bedarf beim typischen Mittelständler. "Wir schätzen bei kleinen und mittelgroßen Unternehmen den Bedarf mittelfristig viel höher ein, weil sie in ihren Prozessen und IT-Systemen nicht so ausgereift sind, wie es ein Dax-Konzern ist", sagt Sievers.
Beliebte Angriffsziele von Hackern sind nahezu alle Firmen, die größere Mengen an Kreditkarteninformationen oder anderen personenbezogenen Daten speichern - also Banken, das Gesundheitswesen, Online-Händler oder eben Hotels. Bei den beiden letzteren hat der Versicherer Hiscox schon eine Reihe von Schäden erlebt. Bei den Angriffen muss es aber nicht immer darum gehen, Kunden- oder Kreditkartendaten zu stehlen - manchmal steckt auch ein missgünstiger Konkurrent dahinter. So stellte ein von Hiscox versicherter Online-Händler plötzlich fest, dass seine Produkte über die Suchmaschine Google im Internet praktisch nicht mehr auffindbar waren. "Offenbar hatte jemand die Server gehackt und die Internetseiten manipuliert, indem er an das Ende der Internetadressen pornografische Begriffe gesetzt hatte", berichtet Sievers. Das bestrafte Google, die Seiten tauchten nicht mehr in den Ergebnissen auf.
Das Ranking konnte laut Sievers in verhältnismäßig kurzer Zeit wiederhergestellt werden. Den Dienstleister, der das übernahm, zahlte der Versicherer. Ebenso den Ertragsausfall, den der Händler verzeichnen musste.
Die Schadenshöhe will Sievers nicht nennen, aber Hackerangriffe können Unternehmen viel Geld kosten - vor allem, wenn Personendaten abhandenkommen. Ein Datenschutzvorfall kostet Unternehmen in Deutschland im Schnitt 4,9 Millionen Dollar. Die Kosten pro gestohlenem Datensatz liegen hierzulande bei 211 Dollar, hat das Ponemon Institute im Auftrag von IBM berechnet. Damit liegt Deutschland auf Platz zwei der elf untersuchten Länder - nur in den USA sind Datenvorfälle teurer.
Die Kosten entstehen aus der Analyse des Angriffs, der Wiederherstellung von Daten und der Information der betroffenen Kunden. Dazu kommt der Imageschaden, der wiederum zu Verdienstausfällen führen kann. Allerdings sind nicht alle Datenschutzvorfälle auf Hackerangriffe zurückzuführen. Etwas mehr als die Hälfte resultieren aus Systemfehlern und menschlichem Versagen. In den USA sind die Kosten noch höher. So verzeichnete die Supermarktkette Target bisher Kosten von mehr als 230 Millionen Dollar aus einem Großangriff, davon sind 90 Millionen versichert. Es kann noch mehr werden. Bei Target wurden 2013 Daten von mehr als 40 Millionen Kreditkarten-Transaktionen gestohlen.
Erpressungsversuche nehmen zu, beobachten Experten
Auch Hiscox hat Schadenserfahrungen in den USA gesammelt: Ein Mitarbeiter einer Schönheitsklinik hatte Patientenakten auf einem Datenträger in der U-Bahn liegen lassen. Die Folgen: Behörden verhängten ein Bußgeld von umgerechnet einer Million Euro. Dazu kam eine Sammelklage der Betroffenen, die Schmerzensgeld einforderten. Das lehnte das Gericht ab, Hiscox übernahm die Anwaltskosten in dem Rechtsstreit und kam letztendlich für einen Schaden im mittleren sechsstelligen Bereich auf.
Neben dem Diebstahl von Daten greift gerade ein weiteres Geschäftsmodell von Cyber-Kriminellen um sich, hat Cyber-Spezialist Erichsen beobachtet. "Erpressungsversuche nehmen zu", sagt er. "Sei es, dass sie mit Daten erpresst werden oder dass jemand androht, den Betrieb zu unterbrechen." Es gibt Fälle, in denen Hacker die Festplatten von Unternehmen verschlüsseln und ein Lösegeld für das Passwort verlangen.
Produzierende Unternehmen haben zwar oft wenig vertrauliche Kundendaten in ihren Computersystemen, sind aber trotzdem nicht immun gegen Cyber-Risiken. Da die Vernetzung von Maschinen und Robotern in der Wirtschaft zunimmt, steigt auch die Bedrohung. Hacker könnten so die Produktion stilllegen, was zu immensen Schäden führen würde.