Am Aschermittwoch vorigen Jahres ging im Computersystem des Lukaskrankenhauses in Neuss nichts mehr. Hacker hatten die kommunale Klinik mit 548 Betten und 130 Millionen Euro Umsatz angegriffen. Ein Mitarbeiter hatte unvorsichtigerweise einen Mail-Anhang geöffnet und damit einen Erpressungs-Virus geladen. Die Hacker boten die Freischaltung gegen Zahlung eines Lösegeldes an. Das Krankenhaus zahlte nicht.
Die Klinik ist ein Vorreiter der Digitalisierung. Es dauerte mehr als zwei Wochen, bis alle Systeme wieder liefen. Klinik-Geschäftsführer Nicolas Krämer beziffert den Schaden auf rund eine Million Euro.
So wie dem Neusser Krankenhaus geht es Tausenden deutschen Unternehmen. Allerdings: Einen Versicherungsschutz gegen die Schäden haben die wenigsten. Es ist paradox: Feuer und Betriebsunterbrechungen infolge von Bränden kosten deutschen Unternehmen jährlich etwa zehn Milliarden Euro. Digitale Angriffe von innen und außen verursachen ein Vielfaches an Schäden. Das Beratungsunternehmen KPMG schätzt, dass diese 2016 weltweit 450 Milliarden Euro betrugen, in Deutschland 51 Milliarden Euro. Für die Feuerversicherung zahlen deutsche Firmen sechs Milliarden Euro Prämie pro Jahr, für Cyber-Deckungen keine 100 Millionen Euro.
Genaue Statistiken führt aber niemand. Der Gesamtverband der Deutschen Versicherungswirtschaft spricht von 50 Millionen Euro, bei der Allianz werden 80 Millionen Euro genannt. Tatsache bleibt: Die finanzielle Absicherung gegen die Folgen von Cyberangriffen ist kaum vorhanden.
"Das kann sich bald ändern", glaubt Robert Parisi, der in der Zentrale des Großmaklers Marsh in New York für die Cyberversicherung zuständig ist. "2018 wird die neue Datenschutz-Grundverordnung der EU in Kraft treten." Zwar habe Europa nicht dasselbe Rechtsumfeld wie die USA. "Aber die neue Richtlinie bringt spürbare Strafen und Schadenersatzzahlungen für Unternehmen mit sich." Das werde den Markt in Europa deutlich voranbringen.
In den USA boomt die Cyberversicherung. Dort dürften Unternehmen 2016 rund drei Milliarden Dollar an die Cyber-Versicherer gezahlt haben, schätzt Parisi. "Die Summe wächst jährlich um 35 bis 40 Prozent." Die Versicherung deckt die Kosten nach einem Schaden - von der Wiederherstellung der IT-Systeme über die Benachrichtigung von Kunden bis hin zu Schadenersatzansprüchen, Kosten der Betriebsunterbrechung und möglichen Bußgeldern der Aufsichtsbehörden.
In den USA können Kunden oder Patienten, die von Hackerangriffen auf Banken, Einzelhändler oder Krankenhäuser betroffen sind, mit Hilfe der Gerichte deutlich höhere Schadenersatzansprüche durchsetzen als in Europa. Deshalb ist die Cyberversicherung dort weiter verbreitet.
Von 2018 an wird es für europäische Unternehmen potenziell auch wesentlich teurer. Sie müssen personenbezogene Daten angemessen schützen und im Falle eines Cyber-Angriffs unverzüglich die betroffenen Personen und die Behörden informieren. Tun sie das nicht, werden Geldbußen bis zu 20 Millionen Euro oder vier Prozent des weltweiten Umsatzes fällig, je nachdem, welche Summe höher ist. Heike Trilovszky, Leiterin des Geschäftsbereichs Deutschland der Munich Re, glaubt wie Marsh-Manager Parisi, dass die Nachfrage wegen der Datenschutzverordnung steigen wird - weil die neuen Vorgaben zu mehr Professionalität bei der IT-Sicherheit in Unternehmen führen wird und das gesteigerte Risikobewusstsein zu mehr Versicherungsnachfrage. "Die Datenschutz-Grundverordnung könnte der externe Impuls sein, der auch hier zu mehr verkauften Cyberversicherungen führt", sagt sie.
Die Cyberversicherung könnte so wichtig wie die Feuerpolice werden
Bei den Drägerwerken in Lübeck meint Versicherungseinkäufer Mathieas Kohl, dass die Cyberversicherung stark wachsen wird. "Sie kann die gleiche Bedeutung wie die traditionelle Feuerversicherung erlangen", sagt er. Sein Unternehmen, das Medizin-, Sicherheits- und Tauchgeräte herstellt, hat schon vor vier Jahren eine Police abgeschlossen. Aber Probleme gibt es immer noch: "Hackerangriffe staatlicher Stellen sind nicht gedeckt", kritisiert er.
In den USA nimmt die Nachfrage nach hohen Versicherungssummen zu. "Die größte Deckung, die wir bislang gesehen haben, beläuft sich auf knapp 500 Millionen Dollar", sagt der New Yorker Makler Parisi. "Es handelt sich um ein in den USA ansässiges multinationales Unternehmen." Allianz-Vorstand Andreas Berger nennt für Deutschland eine ähnliche Größenordnung, die denkbar ist. "Für ein einzelnes Unternehmen sind bis zu 500 Millionen Euro möglich." Das kann aber nur ein Konsortium stemmen. Die Allianz allein sichert bis zu 100 Millionen Euro ab.
Parisi rät allen Firmen, zuerst einmal die eigenen Risiken zu analysieren. Was kann alles passieren? Wie teuer könnte das werden? Erst danach kann man sinnvoll dafür sorgen, die Lücken zu schließen und über eine Versicherung nachdenken. Der größte Fehler von Firmen sei der Glaube, bestehende Policen würden auch bei Cyberangriffen funktionieren. Dazu kommt: Die Deckungen sind höchst unterschiedlich. Manche konzentrieren sich auf die Daten und die möglichen Schäden durch Datendiebstahl und Erpressung, bei ihnen spielt die Betriebsunterbrechung kaum eine Rolle. Es könne für ein Unternehmen aber wichtig sein, gerade für den Fall des Produktionsstillstands abgesichert zu sein, sagt Parisi. "Für viele Unternehmen ist der Datenschutz nicht entscheidend, da geht es um ganz andere Schäden."
Das Lukaskrankenhaus im Neusser Stadionviertel hat inzwischen eine Cyberpolice abgeschlossen. Einzelheiten zur Höhe und zum Versicherer nennt die Klinik aber nicht.