Ein Mausklick auf einen infizierten E-Mail-Anhang oder eine Unachtsamkeit bei einem Software-Update genügen - schon ist das IT-System gehackt. Tagtäglich werden die Netzwerke von Konzernen von Kriminellen attackiert, oftmals mit Erfolg. Mit breit gestreuter Schadsoftware, gezielten Angriffen oder Überlastungsattacken legen Hacker die Systeme lahm und zapfen interne Informationen ab. Für die Unternehmen kann ein Cyberangriff schwerwiegende Folgen haben - nicht nur was das Finanzielle angeht. Oft werden Firmen von Hackern erpresst und verlieren unter Umständen sensible interne Daten. Sie müssen um ihre Reputation bei Kunden, Partnern und Aktionären fürchten. Hinzu kommt die Gefahr, dass ein Angriff zu Sach- und Betriebsunterbrechungsschäden führt.
Versicherer bieten Schutz gegen die Gefahren aus dem Internet. Für Firmen jeder Größenordnung kamen in den vergangenen Jahren Cyberversicherungen auf den Markt. Die Anbieter hoffen auf starkes Neugeschäft und nutzen öffentlich gewordene Hackerangriffe zu Werbezwecken. Zwar warnten Zweifler schon früh vor den Gefahren des neuen Geschäftsmodells - doch das stieß in der Branche nicht selten auf taube Ohren. "Cyberrisiken sind versicherbar", so der Gesamtverband der deutschen Versicherungswirtschaft (GDV) 2016.
Nicht jeder Versicherer hat die anfängliche Cyber-Euphorie geteilt. Der Rückversicherer Swiss Re misstraute dem Konzept zunächst. Es gebe zu viele nicht versicherbare Aspekte, warnte er im September 2015. Ein Jahr später änderten die Schweizer ihre Meinung und brachten ebenfalls eine Cyberversicherung auf den Markt.
Die junge Sparte ist stark gewachsen. 2017 lag das Prämienvolumen in Deutschland bei rund 100 Millionen Euro, schätzt das Wirtschaftsprüfungs- und Beratungsunternehmen KPMG. Die Sparte könne künftig auf die Größe der Kfz-Versicherung anwachsen, also auf rund 15 bis 20 Milliarden Euro an Prämie.
Überall auf der Welt tüfteln Hacker an neuen Attacken
Die Leistungen von Cyber-Policen unterscheiden sich bislang von Anbieter zu Anbieter teils deutlich. "Jeder Versicherer kocht da sein eigenes Süppchen", sagt Sven Erichsen, Geschäftsführer des auf Cyberversicherungen spezialisierten Maklerunternehmens Erichsen. Er rät Versicherern, den Cyber-Schutz nicht zu eng zu definieren. "Die Cyberversicherung muss eine Versicherung für digitale Risiken sein", sagt er. Auch Bedienfehler und andere technische Probleme sollten seiner Meinung nach abgedeckt sein, das würden die Kunden von den Versicherern erwarten.
Großunternehmen und Konzerne befassen sich als Kunden von Cyberversicherern mit den neuen Policen. Viele Firmen prüfen ihren bestehenden Versicherungsschutz und kaufen wenn nötig Cyber-Deckungskomponenten zu. Nicht immer ist eine separate, vollumfängliche Cyberversicherung die beste Lösung, weiß Alexander Mahnke, Versicherungschef von Siemens und Vorstandsvorsitzender des Gesamtverbands der versicherungsnehmenden Wirtschaft (GVNW), der Unternehmen in Versicherungsfragen vertritt. "Während es für kleine und mittlere Unternehmen sinnvoll sein kann, eine eigenständige Cyberdeckung vorzuhalten, muss das nicht für jeden Großkonzern gelten", sagt er. Einige Schutzelemente der Policen, wie Haftpflicht- oder Betriebsunterbrechungsschutz, haben die Firmen möglicherweise bereits über andere Verträge abgedeckt.
Wichtig sind bei Cyber die Assistance-Leistungen. Viele Versicherer bieten bei Cyberschäden neben der klassischen Deckung auch Notfallhilfe und Unterstützung bei der Aufklärung an. "Unsere IT-Experten hatten großes Interesse an der Cyber-Forensik, die Versicherer anbieten", sagt Antje Mertens, Geschäftsführerin von Eberspächer Insurance Services. Das Unternehmen ist zuständig für die Versicherungsangelegenheiten des Automobilzulieferers Eberspächer im baden-württembergischen Esslingen. Die Fachleute bezweifelten jedoch, dass die Notfallteams der Versicherer ohne jährlichen Probelauf echte Hilfe leisten können, sagt sie. Eine wirkungsvolle Task-Force muss mit den internen Gegebenheiten gut vertraut sein, um schnell eingreifen zu können. Ansonsten könne es Wochen dauern, bis sich externe Helfer in den IT-Netzwerken eines Konzerns zurechtfinden. "Dass auf dem Papier steht, es gibt eine Forensik, hat unsere IT-Leute noch nicht beeindruckt", sagt Mertens.
Ob der nächste große Angriff kommt, ist nur eine Frage der Zeit
Cyberangriffe wie durch die Verschlüsselungstrojaner Wanna Cry oder Petya haben bei den Anbietern Spuren hinterlassen. Die Kunden sehen ein Umdenken bei den Cyberversicherern. "Die Einzelkapazitäten sind nicht mehr so groß wie früher", sagt Siemens-Versicherungsexperte Mahnke. "Wir hören immer häufiger ein Argument, das früher nur die Rückversicherer vortrugen, und zwar das des Kumul-Risikos." Versicherer plagt die Sorge, dass ein großer Cyber-Vorfall, beispielsweise ein Hackerangriff auf einen Internetprovider, eine ganze Schadenwelle auslösen könnte, von der viele Kunden gleichzeitig betroffen wären. Sie prüfen daher jetzt nochmals genau, wie viel Cyberrisiko sie bislang gezeichnet haben und wie viel Neugeschäft sie sich noch erlauben können.
Auch Wechselwirkungen mit anderen Sparten müssen die Versicherer im Blick haben. Cyber-Angriffe betreffen selten nur die IT-Systeme und Datenbanken, wie ein Fall aus dem Jahr 2014 zeigt. Hacker hatten damals ein deutsches Stahlwerk angegriffen und die Anlagensteuerung unter Kontrolle gebracht, berichtete das Bundesamt für Sicherheit in der Informationstechnik im Jahresbericht 2014 zur Lage der IT-Sicherheit. Bei dem Angriff wurde der Betrieb eines Hochofens gestört und das Computersystem schwer beschädigt. Ein solcher Schaden beträfe sowohl die Versicherungen gegen Cyberschäden als auch die gegen Betriebsunterbrechungen und Sachschäden - für Versicherer ist das eine komplexe Gemengelage.
Die Cyber-Sparte ist in kurzer Zeit stark gewachsen - das ist an sich gut für die Anbieter. "Die Versicherer sind bei Cyber in kurzer Zeit weit gegangen", sagt Makler Erichsen. "Ob das gut ist, wird die Schadenerfahrung zeigen." Dann wird sich herausstellen, ob die Prämien für Cyber-Deckung realistisch angesetzt waren. Erichsen glaubt, dass die Preise in Anbetracht des Risikos zu niedrig sind. Bislang kalkulieren die Versicherer Cyber-Prämien oftmals auf Basis theoretischer Annahmen, erst nach und nach sammeln sie Erfahrungen mit echten Schäden.
Cybergefahren sind ein neues Risiko für Versicherer und ihre Kunden, zudem verändert sich die Gefahrensituation ständig. Überall auf der Welt tüfteln Hacker an neuen Attacken und sondieren die IT-Systeme von Firmen auf Schwachstellen. Schon ein versäumtes Update kann Angreifern den digitalen Weg ebnen.
Derzeit setzen Hacker laut dem Spezialversicherer Hiscox verstärkt auf eine neue Masche, die sich Krypto-Jacking nennt. Entlehnt ist der Begriff dem englischen Wort hijacking, Entführung. Beim Krypto-Jacking zapfen Kriminelle bei Firmen Rechenkapazität ab, um damit Kryptowährungen wie Bitcoin zu errechnen. Die Zahl der Krypo-Jacking-Fälle stieg laut der Computersicherheitsfirma Symantec im vierten Quartal 2017 um 8 500 Prozent.
Krypto-Jacking ist eine von vielen Angriffsmethoden der Hacker. Wann der nächste große Angriff kommt, ist eigentlich nur eine Frage der Zeit. Millionenschäden bei Unternehmen gab es bereits mehrfach, doch es könnte die Wirtschaft noch weitaus schlimmer treffen. "Wir sind im letzten Jahr von wirklich großen Schadenwellen verschont geblieben", sagt Makler Erichsen. Dabei schreite die Digitalisierung ungebremst voran und die digitalen Vernetzungen werden immer komplexer. "Wir sind eigentlich schon längst reif für den nächsten Großschaden", sagt er.