Satte 1,4 Milliarden Dollar. So viel kostete den Pharmahersteller Merck nach eigenen Angaben ein Hackerangriff, der 2017 rund 40 000 Computer im Unternehmen unbrauchbar machte. Schäden dieser Größe sind nach einem Cyberangriff keine Seltenheit. Mehrere Hundert Millionen Euro mussten eine ganze Reihe von Konzernen wegen Cyberattacken schon zahlen. Versichern können sie nur einen kleinen Teil davon. Merck hatte Glück, der Konzern war mit einer alten Police vollständig abgesichert. Doch zahlen wollte der Versicherer Ace, der heute Chubb heißt, nicht. Merck klagte und bekam Anfang 2022 recht.
"Vor fünf, sechs Jahren haben uns die Versicherer Cyberdeckungen lautstark angeboten, die Policen wurden immer billiger", erinnert sich eine Versicherungseinkäuferin eines deutschen Industriekonzerns. Sie will nicht namentlich genannt werden , weil sie eine öffentliche Auseinandersetzung ihres Konzern mit Versicherern vermeiden möchte. "Dann haben die Versicherer festgestellt, hoppla, es gibt ja auch Schäden. Seitdem wird es immer schwieriger", sagt sie.
"Der Markt für Cyberversicherungen ist angespannt", sagt Sandra Dammalacks, Spartenleiterin bei dem Industriemakler Deas, der zur Ecclesia-Gruppe gehört. "Die Versicherer haben hohe Mindestvoraussetzungen für die IT der Unternehmen, die sie versichern." Wenn diese nicht erfüllt werden, gibt es keine Angebote oder nur solche mit Vorbehalten.
"Unternehmen, die unsere zwölf Kernkriterien im Underwriting nicht erfüllen, versichern wir nicht", bestätigt Jens Krickhahn, der bei der Allianz Global Corporate & Specialty für das Cybergeschäft zuständig ist. Als Underwriting bezeichnen die Versicherer Risikobewertung und Preisfestsetzung. Er moniert, dass zu wenige Unternehmen funktionierende Notfallpläne haben. Bei Schäden sei entscheidend, wie ernst es ein Unternehmen mit seiner IT-Sicherheit nehme. Zum Beispiel bei der Datenspiegelung, dem Speichern von Daten auf einem zweiten Datenträger und dem Back-up: "Ich habe schon viele Schadenfälle gesehen, in denen einzelne Back-ups nicht vorhanden waren oder nicht funktioniert haben", sagt Krickhahn.
Die Versicherer machen es sich zu leicht, glaubt Maklerin Dammalacks. "Gerade produzierende Unternehmen haben es schwer, die rigiden Kriterien zu erfüllen." Das gelte für manche Chemieunternehmen, für die Lebensmittelbranche ebenso wie für Baustoffhersteller. Sogar manche Versicherungsgesellschaften haben veraltete Systeme und werden Opfer von Cyberangriffen.
Die Industrieversicherer, die einst sehr freigiebig mit günstigen Policen und hohen Versicherungssummen waren, werden nun immer restriktiver. "Die Kapazitäten sind geringer geworden", sagt Dammalacks. "Bis vor zwei Jahren haben einzelne Versicherer pro Risiko bis zu 25 Millionen Euro versichert." Wenn ein Konzern dann 200 Millionen Euro Deckung brauchte, waren acht und mehr Gesellschaften beteiligt, das ist normal bei solchen Risiken.
"Heute geben viele Gesellschaften standardmäßig gerade mal fünf Millionen Euro, einige wenige auch zehn Millionen Euro", sagt sie. Dazu kommt, dass die Gesellschaften über mehrere Jahre die Preise stark erhöht haben, "in manchen Fällen um mehrere hundert Prozent". Häufig haben die Gesellschaften die Versicherungssumme zum Beispiel halbiert, aber den Preis unverändert gelassen. Außerdem verlangen die Versicherer hohe Selbstbehalte. Und billig ist so eine Cyberdeckung ohnehin nicht. Wer 100 Millionen Euro versichern will, muss in den meisten Fällen zwei bis drei Millionen Euro auf den Tisch legen.
Die Allgefahrenpolicen versicherten eigentlich alle Risiken - auch Cyberangriffe
Die Stimmung ist schlecht zwischen Industrie und Versicherungswirtschaft. "Verletzungen und Vertrauensbrüche", moniert Jörg Schönenborn von der Telekom. Nicht ohne Grund sprechen Einkäufer davon, mit der "Faust in der Tasche" Gespräche zu führen.
Besonders sauer aufgestoßen ist der Industrie, wie die Versicherer mit sogenannten Allgefahrenpolicen umgegangen sind. Damit konnte sich ein Konzern einst gegen alle Risiken absichern. Egal aus welchem Grund die Bänder stillstanden, ob Feuer, Sturm oder Cyberangriff, der Versicherer zahlte. Es war eine solche Allgefahrendeckung, die dazu führte, dass Merck die 1,4 Milliarden Dollar von Ace kassieren konnte.
Doch nach einigen spektakulären Schäden haben die Versicherer Cyberangriffe aus allen Standardpolicen ausgeschlossen. Sie verweisen auf die separat erhältlichen Cyberdeckungen. Doch die bekommen viele Unternehmen nicht oder nicht in ausreichendem Maße. Die Folge: Gegen teure Betriebsunterbrechungen sind viele Industriekonzerne heute unversichert.
Die Versicherer argumentieren mit dem sogenannten Kumulrisiko, dem Risiko, dass viele Einheiten gleichzeitig getroffen sind. Bei Stürmen oder Erdbeben ist die Sache einfach. Wenn es in Florida stürmt, ist es unwahrscheinlich, dass dasselbe gerade in Europa passiert. Das ist bei Cyberangriffen anders. Ein großer Angriff mit Erpressungssoftware kann viele Kunden in allen Teilen der Welt gleichzeitig treffen. "Das kann einen Versicherer im schlimmsten Fall in die Insolvenz treiben", warnt Petra Riga-Müller, Vorständin beim Versicherer Zurich.
Klar ist auch: Die Industrie in Europa und den USA hat jahrelang extrem günstige Preise für ihre Versicherung genossen. Jetzt kommen allgemeine Preiserhöhungen in Sparten wie Feuer oder Haftpflicht zusammen mit dem Teilrückzug in der Cyberversicherung.
Auf Seite der Versicherer fragt man sich inzwischen, ob Cyberrisiken überhaupt privatwirtschaftlich zu versichern sind. "Was unversicherbar werden wird, ist Cyber", sagte Zurich-Konzernchef Mario Greco Ende Dezember 2022 in einem Interview mit der Financial Times. "Was ist, wenn jemand die Kontrolle über lebenswichtige Teile unserer Infrastruktur übernimmt?" Er fordert, dass die Regierungen handeln und "privat-öffentliche System schaffen" sollten. Vorbild sind Terrorversicherer wie Extremus in Köln, die große Risiken mit Staatshilfe abdecken.
Die Industrie hat ihren eigenen Versicherer gegründet
Die Industrie hat begonnen, sich zu wehren. Am 1. Januar 2023 hat der Versicherer Miris in Brüssel die Arbeit aufgenommen. Er wurde von zwölf europäischen Konzernen gegründet. Dazu gehören Airbus, Michelin und die Chemiefirmen BASF und Solvay. Weitere 40 sollen Interesse zeigen. Miris bietet ausschließlich Cyberversicherungen für seine Mitglieder an. Pro Jahr und Mitglied gibt es höchstens 25 Millionen Euro an Versicherungsschutz. Der genossenschaftliche Anbieter wird also kaum die Kapazitätsknappheit überwinden, aber die Gründung hat symbolische Bedeutung. Die Tatsache, dass Miris überhaupt existiert, bringt Druck in den Markt und verbessert die Verhandlungsposition der Käufer.
Thomas Pache, Chef für die Cybersparte in den deutschsprachigen Ländern beim Makler Aon, sieht eine leichte Entspannung im Markt, die er allerdings nicht auf die Miris-Gründung zurückführt. "Wir haben aktuell weniger Schäden", sagt Pache. "Einige vom russischen Staat geförderte Angreifer sind aktuell damit beschäftigt, ihrerseits Angriffe auf Russland abzuwehren." Außerdem habe die Industrie ihre Sicherheitsmaßnahmen verbessert. Gleichzeitig seien die ersten neuen Anbieter auf den Markt gekommen, darunter Agenturen für den Londoner Versicherungsmarkt Lloyd's.
Auch bei den Preisen kehre etwas Ruhe ein. "Wir haben bei den Vertragserneuerungen für 2023 nur noch geringe Prämienerhöhungen." Dass die Gesellschaften auf die Qualität der IT-Sicherheit bei Unternehmen schauen, die sie versichern, findet Pache nachvollziehbar.
Bei manchen Industrieunternehmen wachsen die Zweifel, ob sie überhaupt noch eine Cyberdeckung kaufen sollen. Denn für einen Milliardenkonzern machen die 100 Millionen Euro oder 200 Millionen Euro, die man mit viel Mühe versichern kann, im Ernstfall auch keinen großen Unterschied aus. Doch die Versicherungseinkäuferin des deutschen Industriekonzerns kennt die Gründe, warum sie nicht so einfach raus kann aus dem Geschäft: "Die Anleger im Kapitalmarkt verlangen, dass man so etwas hat, und die D&O-Versicherer auch." D&O-Versicherer decken Vorstände und Aufsichtsräte gegen persönliche Haftungsrisiken ab, wenn sie in der Unternehmensführung Fehler machen, die ihren Arbeitgeber Geld kosten. Tatsächlich: Sollte sich nach einem Cyberangriff herausstellen, dass ein Konzern keine Cyberdeckung hatte, könnte er den zuständigen Vorstand für den Schaden persönlich haftbar machen.
"Die Stimmung zu Cyber ist resigniert", sagt die Einkäuferin. "Ich wünsche mir, dass wir das viele Geld, dass wir in die Cyberversicherung stecken, lieber für die Verbesserung unserer IT ausgeben könnten."