Die Katastrophe begann am Morgen des 24. Juni 2019. Die Mitarbeiter des Hamburger Juwelierhauses Wempe konnten nicht mehr auf ihre IT zugreifen. Hacker hatten die Server der Firma, die Filialen auf der ganzen Welt betreibt, angegriffen und Daten in großem Stil verschlüsselt. "Eine Gruppe von professionellen Hackern blockierte unser Computersystem mit einer speziellen Software", teilte das Unternehmen mit. "Durch diese Erpressungssoftware waren unsere Server verschlüsselt. Es war eine Geiselnahme unserer Daten auf unseren eigenen Servern."
Auf den Servern hatten die Hacker eine E-Mail-Adresse zur Kontaktaufnahme hinterlassen. Die Juwelierkette soll Berichten zufolge ein Lösegeld in Millionenhöhe an die Erpresser bezahlt haben. Solche Ransomware-Attacken gehören zu den häufigsten Schadenfällen, die Unternehmen an ihre Cyberversicherer melden, berichtet Tobias Tessartz, Technischer Underwriter beim Versicherer Hiscox. "Kriminelle legen die Server lahm, verlangen ein Lösegeld und beschlagnahmen die Daten."
Geschäftsführer und Manager sollten dann nicht vorschnell handeln, auch wenn möglicherweise Panik aufkommt, rät Tessartz. "Unsere Schadenerfahrung zeigt, dass es in der Regel einen anderen Weg gibt, den Geschäftsbetrieb wieder zum Laufen zu bringen, die Zahlung eines Lösegelds also nicht notwendig ist", sagt Tessartz. Besser sei es, schon im Vorfeld präventive Maßnahmen zu ergreifen, etwa regelmäßige Tests der eigenen Datensicherung oder regelmäßiges Einspielen von Sicherheitsupdates.
Manche Trojaner sind besonders tückisch und lesen die Inhalte im Postfach
Einer der heftigsten Fälle von Cyberattacken in diesem Jahr war die Verschlüsselungssoftware Emotet, berichtet Tessartz. Dieser Trojaner ist besonders tückisch, weil er nicht nur Daten verschlüsselt, sondern sie außerdem stiehlt. Zudem lernt die Software dazu. Emotet kann Kontaktbeziehungen und E-Mail-Inhalte aus Postfächern infizierter Systeme auslesen. Auf dem Peak der Attacken hatte Hiscox sechs Schadensmeldungen pro Tag.
Weil die Angriffe häufiger, heftiger und teurer werden, denken viele Firmen verstärkt über den Abschluss einer Cyberpolice nach. Das bestätigt Hans-Jörg Mauthe, beim Industrieversicherer AGCS Chef für die Regionen Deutschland, Zentral- und Osteuropa. "Wir sind aktuell in einer Phase, in der sich die Abschlüsse häufen", sagt er. Grundsätzlich decken die Policen Kosten ab, die Unternehmen durch Hacker- und Schadsoftware-Angriffe, Cybererpressung und Datendiebstahl entstehen. Es geht dabei nicht nur um Schadenersatzansprüche der Betroffenen, sondern auch um den Einsatz von IT-Forensikern, Technikern, Anwälten und PR-Beratern. Neben Hiscox und AGCS bieten auch HDI, AIG und Gothaer an, viele dieser Kosten über Cyberpolicen zu versichern.
Während das Gesamtprämienvolumen langsam steigt, sieht es bei den Beiträgen für einzelne Unternehmen ganz unterschiedlich aus, sagt Sabine Pawig-Sander vom Spezialmakler Erichsen. "Kleinere Firmen mit geringem Umsatz können die Deckungen noch zu sehr günstigen Preisen bekommen, hier gibt es nach wie vor einen Preiswettbewerb", berichtet sie. Die Angebote der verschiedenen Gesellschaften seien jedoch völlig unterschiedlich und für die Kunden deshalb schwer vergleichbar. "Jeder Versicherer strukturiert seine Deckung anders."
Dazu kommt, dass die Versicherer regelmäßig in kurzen Abständen die Bedingungen überarbeiten. "Alle zwölf bis 18 Monate ändern sich die Regelwerke", sagt ein Experte. Zwar hat der GDV Musterbedingungen herausgegeben, an diese hielten sich die Unternehmen jedoch nicht. "Der Wettbewerb um die Kunden verlagert sich gerade vom Preis auf die Bedingungen", sagt Pawig-Sander. "Es werden ständig neue Deckungserweiterungen angeboten." Während die Versicherer ihren Kunden im Bereich Cyber anfangs sehr hohe Deckungssummen angeboten haben, sind einige inzwischen wieder zurückgerudert. "Wir sind ursprünglich mit höheren Kapazitäten in den Markt gegangen", sagt AGCS-Mann Mauthe. "Aber dann mussten wir feststellen, dass diese hohen Kapazitäten nicht so nachgefragt wurden." Ursprünglich hatte die Allianz eine Deckungssumme von 100 Millionen Euro geboten, jetzt sind es noch 50 Millionen Euro.
Stark beschäftigt hat die Branche das Thema Silent Cyber. Dabei geht es um Cyberrisiken in Sach- oder Haftpflichtverträgen, die nicht ausgeschlossen sind, die aber auch nicht explizit versichert sind. Für die Versicherer ist das ein großes Risiko. Einige Versicherer, darunter die AGCS, haben das Cyberrisiko aus den klassischen Deckungen explizit ausgeschlossen. Sollten weitere Anbieter folgen, könnte das die Nachfrage nach Cyberversicherungen weiter steigern.