Den Hackerangriff auf die Deutsche Telekom Ende November konnte nun wirklich niemand verschweigen. Schließlich hatten die Angreifer 900 000 Router des Telekommunikationskonzerns zeitweise lahmgelegt, die Kunden kamen nicht mehr ins Internet. Die wenigsten Cyberangriffe werden allerdings über das betroffene Unternehmen hinaus bekannt. Aus Sorge um die Reputation behalten die Firmen die Attacken für sich - zum Ärger von Ermittlungsbehörden. Zwar müssen Unternehmen, die zur sogenannten kritischen Infrastruktur gehören, seit Inkrafttreten des IT-Sicherheitsgesetzes im Jahr 2015 Hackerangriffe melden. Dazu zählt auch die Telekom. Aber eine allgemeine Meldepflicht für alle Unternehmen gibt es noch nicht. Die soll erst Mitte 2018 mit dem Inkrafttreten der EU-Datenschutzverordnung kommen.
Entsprechend große Lücken weisen die polizeilichen Statistiken auf, wenn es um Cybergefahren geht. "Das statistische Hellfeld ist sehr klein", sagte Heiko Löhr vom Bundeskriminalamt auf der SZ-Konferenz "Versicherung und Internet" in Köln. Anders ausgedrückt: Fast nirgendwo ist die Dunkelziffer der nicht gemeldeten Fälle so hoch wie im Bereich Cyberkriminalität. So kommen Angriffe ausländischer Hackergruppen auf deutsche Unternehmen in den Statistiken gar nicht vor.
"Wir wollen gar nicht über jeden Einzelfall Bescheid wissen, uns interessieren die Trends."
Unterstützung erhofft sich Löhr deshalb von den Cyberversicherern. Diese decken Schäden, wenn Unternehmen wegen eines Hackerangriffs nicht mehr produzieren können oder wenn Kunden durch Datenverlust ein Schaden entsteht. Zudem bezahlen sie Dienstleister wie IT-Spezialisten, die Firmen bei der Datenwiederherstellung und Ursachenforschung unterstützen. "Ein Austausch über die aktuelle Lage wäre uns ein Anliegen, also darüber, welche Schäden bei Versicherern gemeldet werden", sagte er. "Wir wollen gar nicht über jeden Einzelfall Bescheid wissen, uns interessieren die Trends." Auch Versicherer könnten von einer breiteren Datenbasis profitieren. Schließlich bräuchten sie zur Kalkulation der Risiken ein möglichst vollständiges Bild, um beurteilen zu können, welche Gefahren sie guten Gewissens versichern können und welche nicht.
Andreas Berger, Vorstand bei der Allianz-Industrieversicherungstochter AGCS, steht dem Datenaustausch aufgeschlossen gegenüber. "Aus unserer Sicht wäre es okay, anonymisierte Daten zur Verfügung zu stellen", sagte er. Der Aufbau großer Datenpools sei für Cyberversicherer äußerst wichtig. Denn mit den Instrumenten der klassischen Risikobewertung, die mit den Schadendaten der vergangenen drei bis fünf Jahre arbeiten, kommt ein Versicherer im Cyberbereich mangels Schadenerfahrung nicht weiter.
Bisher steht der deutsche Markt für die Cyberversicherungen noch am Anfang. 90 Prozent der weltweiten Prämien in diesem Bereich stammen aus den USA. Doch der Verkauf werde auch hierzulande anziehen, glaubt Berger. "Die EU-Datenschutzverordnung wird ein entscheidender Treiber für die Cyberversicherung sein", sagte er. Unternehmen können dann mit empfindlicheren Strafen belegt werden, wenn Kunden- oder Patientendaten abhanden kommen.
Mittlerweile versichern in Deutschland 15 Anbieter Cyberrisiken. Sie können großen Industriekunden als Konsortien Deckungssummen von bis zu 500 Millionen Euro anbieten, sagte Berger. Die Allianz selbst kann 100 Millionen Euro stemmen. Sie ist auch Versicherer der Telekom - aber Berger will zu dem Schaden aus dem Router-Angriff nichts sagen.
Mathieas Kohl, der für die Versicherung des Medizin- und Sicherheitstechnikherstellers Drägerwerke in Lübeck zuständig ist, glaubt an enorme Chancen für die Versicherer aus Cyberdeckungen. "Die Cyberversicherung bietet eine herausragende Möglichkeit für Industrieversicherer, wieder mehr Relevanz im Markt zu gewinnen", sagte er. Bei vielen Unternehmen basieren Innovationen inzwischen auf Software - und sind entsprechend anfällig für Cybergefahren. "Die Cyberpolicen können die gleiche Bedeutung wie die traditionelle Feuerversicherung erlangen", sagte er. Die Drägerwerke haben seit etwa vier Jahren eine Cyberdeckung.
Kohl ist grundsätzlich zufrieden mit den Deckungen. Momentan sinken die Preise, gleichzeitig steigt der Umfang der Risiken, die der Versicherer übernimmt. Einige Probleme gibt es aber noch. "Hackerangriffe staatlicher Stellen sind nicht gedeckt", sagte er. Oft gebe es aber eine Vermischung von staatlichen und privaten Interessen bei den Angreifern. Dann müsse das Unternehmen mit seinen Versicherern verhandeln, ob nicht doch ein Teil gedeckt werde.