Cyberkriminelle werden immer gewiefter. Längst geht es nicht mehr nur darum, Kundendaten oder Geschäftsgeheimnisse zu stehlen. Experten beobachten, dass die Hacker immer häufiger versuchen, produzierende Anlagen im laufenden Betrieb herunterzufahren. Das kann zu schweren Schäden führen. So berichtete das Bundesamt für Sicherheit in der Informationssicherheit 2014, wie Hacker den Hochofen eines deutschen Stahlwerks durch Computermanipulationen stark beschädigen konnten.
Genau dieser Typ Angriff nimmt jetzt stark zu. Sogar Branchen wie die Schifffahrt, die bisher nicht zur Hauptzielgruppe von Cyberkriminellen gehörten, werden jetzt ins Visier genommen. Der Schiffshaftpflichtversicherer The London P&I Club warnt Reeder vor Cyber-Risiken. Angreifer haben bereits GPS-Daten aus der satellitenbasierten Navigation manipuliert und so Schiffe vom Kurs abgebracht. Außerdem hacken sie sich in IT-Systeme der Reedereien, um herauszufinden, welche Schiffe ohne bewaffneten Schutz an Bord unterwegs und somit ein leichteres Ziel für Angriffe sind.
Vom steigenden Bedarf nach mehr Sicherheit wollen die Versicherer profitieren. Sie bieten spezielle Cyberpolicen an. Sie ersetzen Schäden, die Unternehmen und deren Kunden durch Hackerattacken entstehen und bieten Serviceleistungen an wie Krisenkommunikation und IT-Spezialisten zur Behebung der Probleme. "Cyberrisiken sind eine Chance, weil sich die Haftung immer stärker vom Individuum auf die Maschine verlagert", sagt Christopher Lohmann vom Industrieversicherer AGCS, einer Tochter der Allianz. Ein Beispiel sind selbstfahrende Autos: Attackiert ein Hacker solche Fahrzeuge, sind nicht mehr die Fahrer oder die Halter für Unfälle verantwortlich. Haften müssen die Hersteller von Fahrzeug oder Software.
Diskutiert wird vor allem über den richtigen Preis und über Deckungslücken
Weltweit beträgt das Prämienvolumen der Cyberpolicen nach Schätzung der Experten 2,5 Milliarden Dollar, Ende des Jahres könnten es drei Milliarden Dollar sein. Vor allem Unternehmen aus dem Gesundheitswesen, die viele sensible Kundendaten verwalten und gerade in den USA sehr häufig angegriffen werden, sind verstärkt an Cyberpolicen interessiert. "Das ist die Wachstumsbranche, hier wird stark eingekauft", sagte Willy Stoessel von Swiss Re Corporate Solutions, dem Industrieversicherer des Rückversicherers Swiss Re.
Die USA sind mit weitem Abstand der größte Markt. Vom globalen Umsatz entfällt nur ein Bruchteil auf Deutschland. Der Essener Versicherungsmakler Sven Erichsen schätzt die Beitragseinnahmen hierzulande auf 20 bis 30 Millionen Euro. Der Digitalverband Bitkom rät Unternehmen inzwischen, den Abschluss einer Cyberpolice zu prüfen. Laut einer Umfrage des Verbands haben bisher aber nur 10,5 Prozent der produzierenden Unternehmen bisher eine solche Police abgeschlossen, 9,2 Prozent planen das, und 26,1 Prozent sind noch in der Entscheidungsphase.
Die Geschäfte würden besser laufen, wenn die Branche die Deckungen besser erklärte, glaubt Makler Erichsen. Wenn man mit den Unternehmen Themen wie Prävention, Risikoerfassung, Deckungsspektrum und Preis der Police vernünftig diskutiert, entscheiden sich nach Erichsens Erfahrung etwa 80 Prozent für den Kauf eines Vertrags.
Aber nicht alle Unternehmen halten die Policen für sinnvoll. Vor allem Mittelständler bemängeln den hohen Preis der Versicherungen. Das ist nicht der einzige Kritikpunkt. So monieren Experten Deckungslücken. Die Versicherer zahlen unter den heutigen Policen nicht bei Patent- und Urheberrechtsverletzungen aufgrund von gestohlenen Geschäftsgeheimnissen. Andere Bausteine in den Policen doppeln sich mit bestehenden Versicherungen. "Für die Großindustrie sind die angebotenen Kapazitäten zu gering", bemängelt Bodo Herold vom Berater Heroldconsult. Das heißt: Die Deckungssummen, die Versicherer anbieten, sind angesichts des Schadenpotenzials zu klein.
Aber auch nicht alle Versicherer sind Fans von Cyberpolicen. "Das ist wie Dynamithandel", warnt Ulrich-Bernd Wolff von der Sahl, Chef der Stuttgarter SV Sparkassenversicherung und Präsident des Verbands öffentlicher Versicherer. Da Unternehmen Cyberangriffe gern verschweigen, ist das Ausmaß der möglichen Schäden nicht abschließend abschätzbar. Die Versicherer können sich somit nicht sicher sein, ob der Preis, den sie für die Policen berechnet haben, am Ende ausreicht. Ähnliche Vorbehalte hatte bis vor Kurzem auch der Rückversicherer Swiss Re geäußert. Aber jetzt gibt das Unternehmen dem Markttrend doch nach: Anfang September hat es ebenfalls eine Cyberpolice für deutsche Industriekunden auf den Markt gebracht.