Der Stuttgarter Elektronik- und Autozulieferkonzern Robert Bosch hat sich nach SZ-Informationen für Schäden aus Cyberangriffen bis 100 Millionen Euro versichert. Das Risiko ist bei einem Konsortium unter Führung der Allianz abgesichert, hieß es in Branchenkreisen. Die Jahrespolice dürfte knapp eine Million Euro kosten.
Zu dem Konsortium gehören unter anderem der internationale Industrieversicherer Ace mit Sitz in Irland und die Zurich-Gruppe, hieß es. Weder Bosch noch die Versicherer wollten Stellung nehmen.
Mit dem Bosch-Abschluss haben die Deckungssummen für Cyberrisiken den dreistelligen Millionenbereich erreicht. Bis vor Kurzem war das unvorstellbar. Einerseits gab es nur wenige Unternehmen, die so hohe Summen abdecken wollten. Andererseits taten sich die Versicherer schwer, die Risiken sauber zu bewerten und bezahlbare Policen anzubieten.
Cyberattacken sind Alltag, werden aber nicht kommuniziert
Doch jetzt ändert sich das Umfeld. Die Sorge in der Industrie vor Angriffen wächst. Nach einer Umfrage des Versicherungsmaklers Marsh unter europäischen Unternehmen im Jahr 2013 waren 54 Prozent der Firmen in den vergangenen drei Jahren Opfer eines Cyberangriffs.
Keith Alexander:Ex-NSA-Chef macht jetzt in Cybersicherheit
Der ehemalige NSA-Chef Keith Alexander will künftig Unternehmen gegen Cyberspionage schützen. Liegt irgendwie nahe. Das Engagement des Ex-Geheimdienstlers wirft aber viele Fragen auf - nicht nur wegen des gewünschten Honorars von einer Million Dollar pro Monat.
Eine ganze Reihe von ihnen haben auch finanzielle Folgen - doch darüber sprechen die Beteiligten ungern. Wenn Kundendaten gestohlen werden und die Banken Tausende Kreditkarten neu ausstellen müssen, schicken sie die Rechnung an das Unternehmen, dessen Rechner gehackt wurden. Die Stilllegung von Onlineversendern durch bösartige Programme, die Beeinflussung von Produktionsanlagen und vor allem die Industriespionage sind Alltag, werden aber nicht kommuniziert.
Das ist bei den Megaschäden in den USA anders. Dort meldeten unter anderem Ebay, Michaels Stores, JP Morgan und Adobe in den vergangenen sieben Monaten erfolgreiche Einbrüche der Datendiebe. Der bislang spektakulärste Fall traf die Supermarktkette Target Ende 2013.
Hacker verschafften sich Zugang über einen Dienstleister, der Kühlgeräte reparierte und seine Rechnungen in ein Abrechnungssystem bei Target einstellen musste. Von dort gelangten die Kriminellen in das Hauptsystem und verteilten Programme auf alle Registrierkassen. Damit zeichneten die Hacker bei Einkäufen von 40 Millionen Kunden die Kreditkartendaten, Geheimzahlen und Umsatzdaten auf. Außerdem hatten sie Zugang zur Kundendatenbank mit 70 Millionen Einträgen.
In Deutschland sind einige Unternehmen noch zurückhaltend
Seither bieten die Kriminellen die Kreditkartendaten in sogenannten Cardshops online an. Käufer statten Blanco-Karten mit den Daten aus oder ziehen Bargeld an Automaten. Target rechnet mit einem Schaden von mehreren 100 Millionen Dollar - bislang wurden schon 70 Sammelklagen von Verbrauchern und zahlreiche Schadensersatzforderungen von Banken eingereicht. Targets Cyberdeckung über 100 Millionen Dollar wird in diesem Fall kaum reichen.
Solche Fälle bringen auch deutsche Unternehmen zum Nachdenken. Allerdings sind die Reaktionen unterschiedlich, beobachtet Georg Bräuchle, Geschäftsführer beim Makler Marsh. "Es gibt Unternehmen, deren Geschäftsmodell auf dem Internet beruht, zum Beispiel Versandhändler. Die kümmern sich schon lange um den entsprechenden Schutz."
Auch große Industriekonzerne seien gut unterwegs. "Bei den meisten kleinen und mittleren Betrieben gibt es noch eine große Zurückhaltung zum Kauf von Cyberpolicen", sagt Bräuchle. "Da sitzt der IT-Chef mit am Tisch, und es wird über die Qualität der Schutzmaßnahmen diskutiert."
Das sei aber nicht das Thema: "Ein Eindringen ist überall möglich." Vor zu viel Aufregung warnt Thomas Abel, Geschäftsführer beim Makler Funk. "Das Thema wird derzeit in Deutschland irrsinnig gehypt", sagt er. Da würden Schadenszenarien aufgebaut, die nicht für jedes Unternehmen heute Realität seien.