Am Freitag, den 13. September 2019 um sieben Uhr ging bei dem Modelabel Marc O'Polo in Stephanskirchen bei Rosenheim plötzlich nichts mehr. Telefone blieben stumm, die E-Mail funktionierte nicht mehr, die Scanner und Kassensysteme in den Läden des Labels waren tot. Hacker hatten die IT-Systeme verschlüsselt und verlangten Lösegeld. Die Modefirma zahlte - die Summe ist nicht bekannt. Es dauerte vier Wochen, bis der Normalbetrieb wiederhergestellt war.
Marc O'Polo steht in einer Reihe vieler kleiner und großen Firmen, die angegriffen wurden. Auch Krankenhäuser, Behörden und Gerichte werden gehackt. "Das Thema wird unterschätzt", sagt Oliver Stephen Delvos, Experte beim Versicherer Zurich. "Man denkt an die Kids mit den Kapuzenpullis, aber es ist natürlich eine Milliardenindustrie, die dahintersteckt."
Nur drei von 40 untersuchten Mittelständlern hatten keine veralteten IT-Systeme
Gerade im Mittelstand glauben viele Firmen dennoch, dass sie verschont bleiben. Eine Forsa-Umfrage für den Gesamtverband der Deutschen Versicherungswirtschaft (GDV) bei 500 produzierenden Mittelstandsbetrieben hat ergeben, dass 56 Prozent das Risiko für ihre Branche für hoch halten, aber nur 42 Prozent beim eigenen Unternehmen. 77 Prozent glauben sich gut abgesichert. Das ist eine Illusion, wie der "gute" Hacker Michael Wiesner beweist. Er griff im Auftrag des GDV 40 Betriebe an, die damit einverstanden waren. "Nur drei von 40 hatten keine veralteten Systeme", sagt er. Manchmal sind Lücken aus dem Jahr 2008 noch nicht gestopft. Bei vielen Unternehmen sei die Vordertür gut geschützt. "Aber die Hintertür steht sperrangelweit auf."
In der großen Industrie macht man sich keine Illusionen mehr. Die bestmögliche technische Sicherheit kann das Risiko nicht vollständig ausschließen. Und genau dieses Risiko wird größer, weil immer mehr Maschinen über das Netz gesteuert werden.
Eigentlich gibt es dafür Versicherungen. Doch ausgerechnet jetzt, wo die Absicherung immer wichtiger wird, knirscht es erheblich zwischen Industrie und Versicherern. Antje Mertens ist Versicherungschefin beim Stuttgarter Automobilzulieferer Mahle, mit zwölf Milliarden Euro Jahresumsatz ein Schwergewicht. "Wir merken jetzt schon sehr deutlich, dass die Wunschabsicherung auf dem Markt nur noch sehr schwer zu bekommen ist", sagt sie. Vor drei Jahren haben die Versicherer noch bereitwillig Deckungen von 100 Millionen Euro oder 200 Millionen Euro angeboten. "Jetzt beobachten wir, dass schon 25 Millionen Euro Kapazität das Maximum und sehr selten sind." Gleichzeitig hat Mertens extreme Preiserhöhungen festgestellt.
Derzeit sorgen die Pandemie und der Trend zu mehr Beschäftigen im Home-Office für Sorgen bei den Versicherern. "Objektiv gibt es dadurch eine Gefahrerhöhung, dass die Netzwerke zwangsweise wegen der Home-Office-Arbeit weiter geöffnet werden", sagt Jens Wohlthat, Vorstand beim Industrieversicherer HDI Global.
Vor fünf Jahren war Cyber der neue Hoffnungsträger der Versicherer. Sie werde so wichtig werden wie die Feuerversicherung, hieß es in den Vorstandsetagen. Inzwischen ist die Begeisterung stark abgekühlt. Ein Grund ist das sogenannte Kumulrisiko. In der Feuerversicherung ist es extrem unwahrscheinlich, dass zehn Fabriken gleichzeitig abbrennen. Bei Cyber kann es durchaus sein, dass derselbe Computervirus sehr viele Betriebe gleichzeitig betrifft. Weltweit kosteten die 2017 begonnenen Angriffe allein durch Not-Petya-Erpressungs-Trojaner die Versicherer drei Milliarden Dollar, haben die US-Spezialisten vom Property Claims Service ausgerechnet.
Das Problem für die Gesellschaften: 90 Prozent dieser Schäden erreichten sie nicht über Cyberdeckungen, sondern über die schon seit Jahrzehnten üblichen Betriebsunterbrechungs- und Haftpflichtpolicen. Jetzt haben die meisten Industrieversicherer begonnen, ihre Verträge zu überprüfen und Cyberangriffe ausdrücklich aus den Altverträgen auszuschließen.
Firmen fühlen sich nun alleingelassen
Philippe Cotelle vom Flugzeugkonzern Airbus kritisiert, dass die Versicherer ihre Kunden jetzt alleinlassen. Sie schließen Cyberrisiken bei den Normalverträgen aus, bieten aber immer weniger Kapazität bei den Cyberpolicen. "Ich sehe das als wenig partnerschaftlich an, denn man darf den Versicherten nicht einfach alleinlassen."
Das Problem wird größer, weil die die Digitalisierung der Wirtschaft Fahrt aufnimmt. "Heute ist Cyber wichtiger als früher, ein Schaden ist heute größer". Cotelle kennt viele Unternehmen mit Schäden von 20 bis 25 Millionen Euro. "Mehr Deckung, das wäre meine Forderung."
Versicherer Wohlthat sieht auch die Regierungen in der Verantwortung. "Es muss möglich sein, unsere Politik in die Pflicht zu nehmen, um diese international tätigen kriminellen Cyberaktivitäten zurückzudrängen", sagt er. Früher seien Staaten aktiv gegen die Piraten auf See vorgegangen. "Das muss auch jetzt wieder passieren."