Am Aschermittwoch herrschte Katerstimmung im Lukaskrankenhaus in Neuss. Grund war aber nicht das Ende des Karnevals, sondern Probleme mit den Computern der Klinik. Schnell wurde klar: Ein Virus hatte die IT befallen und die Daten verschlüsselt, das gesamte System musste heruntergefahren werden. Befunde wurden gefaxt oder per Boten überbracht, schwere Operationen abgesagt. Kein Einzelfall: Wenige Tage später entdeckte das Klinikum Arnsberg ebenfalls einen Trojaner, der Daten verschlüsselte. In der folgenden Woche wurde bekannt, dass die US-Klinik Hollywood Presbyterian Medical Center in Los Angeles ein Lösegeld von umgerechnet 15 000 Euro an Cyber-Erpresser gezahlt hat. Eine Schadsoftware hatte dort ebenfalls die Systeme unbrauchbar gemacht. Etwa zeitgleich befiel der Verschlüsselungstrojaner Locky Tausende Computer in Deutschland.
Angesichts solcher Meldungen machen sich immer mehr Unternehmen Sorgen um die Sicherheit ihrer Daten. Das zeigt sich auch daran, dass Versicherer deutlich mehr Cyber-Policen verkaufen. "Die Zahl der Abschlüsse ist stark gestiegen, das ist auch eine Folge von Locky", sagt Versicherungsmakler Sven Erichsen, der mit seiner Firma Erichsen GmbH auf die Vermittlung von Cyber-Policen spezialisiert ist.
Cyber-Versicherungen sind noch ein relativ neues Geschäftsfeld für die Versicherer. Die meisten Industrieversicherer bieten erst seit wenigen Jahren Policen an, die Unternehmen gegen die Folgen von Hackerangriffen schützen. Das Interesse der Industrie an den Deckungen war zunächst gering. Das hat sich mittlerweile geändert. "Die Prämieneinnahmen haben sich in den vergangenen Jahren deutlich gesteigert, in diesem Jahr sogar bereits bis zur Jahreshälfte verdoppelt", sagt Ole Sieverding vom britischen Versicherer Hiscox. Der Anbieter ist einer der Pioniere der Cyber-Versicherung in Deutschland. Vor sechs Jahren brachte er die erste Police auf den Markt. Bis zu einer bedeutenden Zahl von Abschlüssen habe es allerdings gut vier Jahre gedauert, so Sieverding. Mittlerweile kommt Hiscox hierzulande auf siebenstellige Prämieneinnahmen in der Sparte, also mehr als 1 Million Euro.
Die Industrieversicherer, die in ihrem Kerngeschäft mit sinkenden Preisen zu kämpfen haben, setzen darauf, dass Cyber-Deckungen sich zu einem Wachstumsmarkt entwickeln werden. Dazu könnte die Digitalisierung der Wirtschaft beitragen. Moderne, vernetzte Produktionsanlagen bringen auch neue Risiken mit sich. In den USA ist die Cyber-Versicherung bereits seit einigen Jahren ein wichtiges Geschäftsfeld. Dort haben Unternehmen 2015 laut der Ratingagentur Fitch rund eine Milliarde Dollar für Cyber-Policen ausgegeben. In Deutschland wächst das Geschäft mittlerweile auch, aber der Markt ist immer noch sehr klein. Makler und Versicherer schätzen das Prämienvolumen auf 20 bis 25 Millionen Euro. "Wir sehen zwar eine starke Belebung der Nachfrage, aber es ist noch deutlich mehr drin", sagt Georg Bräuchle, Geschäftsführer beim Großmakler Marsh in Deutschland. Der Makler hat eigene Bedingungen für eine Cyber-Deckung entworfen, die derzeit von sechs Versicherern übernommen werden.
Auch der Londoner Versicherungsmarkt Lloyd's, der für die Abdeckung spezieller Risiken bekannt ist, findet, dass viele deutsche Unternehmen das Risiko noch unterschätzen. Laut einer aktuellen Studie, für die Lloyd's unter anderem 34 Führungskräfte aus Deutschland befragt hat, waren 85 Prozent der Unternehmen bereits Opfer eines Cyber-Vorfalls, aber nur 24 Prozent machen sich Sorgen, dass sie erneut Opfer eines Angriffs werden. Dass sie nach einem Datendiebstahl Kunden verlieren könnten, fürchten nur 10 Prozent der befragten Manager.
Am stärksten interessieren sich Unternehmen für Cyber-Deckungen, die stark vom Internet abhängen, wie Webshops, sagt Makler Bräuchle. "Ihr Geschäftsmodell basiert auf einer funktionierenden Onlinepräsenz." Produzierende Unternehmen fürchten vor allem eine Betriebsunterbrechung, die sich direkt auf den Umsatz auswirkt, so Bräuchle. Eine weitere große Sorge von Unternehmen ist der Verlust von geistigem Eigentum sowie von Kundendaten, vor allem wenn es um Kreditkarteninformationen geht.
Aber auch die Wiederherstellung verschlüsselter oder gelöschter Daten kann für Unternehmen ohne Cyber-Police teuer werden. "Es gibt Fälle in Deutschland, bei denen es mehrere Monate gedauert hat, den Cyber-Vorfall aufzuklären und das System wieder zu bereinigen", sagt Hiscox-Manager Sieverding. Dafür entstehen schnell Kosten in sechs- bis siebenstelliger Höhe.
Einen weiteren Schub für den Verkauf von Cyber-Policen hat das 2015 verabschiedete IT-Sicherheitsgesetz gebracht. Es schreibt für wichtige Branchen, etwa die Energie- und Wasserwirtschaft, bestimmte Sicherheitsstandards vor. Außerdem gibt es Meldepflichten für den Fall von Cyber-Angriffen. "Das Gesetz hat bei den betroffenen Branchen noch einmal viel bewegt", sagt Makler Erichsen.
Die wachsende Bedeutung von Cyber-Policen bringt auch Kritiker aus den Reihen der Versicherer zum Umdenken. So hat der Rückversicherer Swiss Re sich noch im vergangenen Jahr skeptisch über die Policen geäußert. Ein Grund: Es gibt keine Modelle, um die Risiken zu kalkulieren. Das liegt daran, dass Unternehmen, die zum Opfer von Hackern geworden sind, ihre Erfahrungen ungern teilen. Jetzt ist Swiss Re umgeschwenkt und verkauft ebenfalls Cyber-Deckungen. Aber noch sind nicht alle Bedenken ausgeräumt. Die öffentlichen Versicherer, die zum Sparkassenlager gehören, wollen zwar Cyber-Policen anbieten, sehen aber große Risiken. Auch Bräuchle von Marsh warnt vor Kumulgefahren. Schlägt eine Schadsoftware flächendeckend zu, könne es sein, dass Versicherer gleichzeitig eine Vielzahl von Schäden zahlen müssen. "Ich bin mir nicht sicher, dass diese Risiken schon von allen Versicherern ausreichend verstanden werden", sagt er.