Noch ist nicht bekannt, ob Facebook eine Cyber-Versicherung für die Schäden hat, die durch das Hacken von 50 Millionen Nutzerkonten entstanden sind. Die Wahrscheinlichkeit ist gering. Und selbst wenn: Eine solche Police würde nur einen Bruchteil der Ansprüche decken. Mithilfe kundiger Anwälte werden Hunderttausende oder gar Millionen Nutzer Schadenersatz verlangen, vor allem in den USA. Das kann Milliarden kosten.
Auch bei anderen großen Cyber-Angriffen spielen die Versicherer eine Nebenrolle. 2017 griffen Hacker die Firma Equifax an, eine US-Auskunftei. Der wirtschaftliche Schaden wird auf mehr als eine Milliarde Dollar geschätzt, die Versicherungsleistungen sollen nur einen Bruchteil betragen. Im Milliardenbereich lag 2017 auch der Schaden durch Erpressungssoftware beim Pharmahersteller Merck in den USA, nur 275 Millionen Dollar davon tragen Versicherer, schätzen Experten.
Vor drei Jahren verkündeten viele Versicherungskonzerne, Cyber sei ihr wichtigstes Wachstumsfeld im Geschäft mit Unternehmen. Deren finanzielle Absicherung gegen Hackerangriffe werde eine ähnliche Dimension erreichen wie die Feuerversicherung. Damals beschwerte sich die Branche, dass die Industrie zu wenig Deckung einkaufe. Heute sind die Versicherer deutlich ruhiger. Es zeigt sich, dass die Risiken doch komplexer und vielfältiger sind als angenommen. Viele haben ihre Deckungssummen reduziert.
Bei Cyber-Angriffen geht es einerseits um die Wiederherstellung von Systemen, die Kosten für die Information der betroffenen Kunden und den Austausch von Komponenten. Andererseits, und das ist das viel größere Risiko, geht es um den möglichen Stillstand der Produktion für Tage oder Wochen. Den allergrößten Teil solcher Schäden tragen die betroffenen Unternehmen heute selbst.
Die Versicherer sind in einem schier unlösbaren Dilemma: Wenn sie die Cyber-Risiken nicht mit ausreichenden Summen absichern, werden sie in einem der wichtigsten Risikofelder immer unwichtiger. Tun sie es aber, riskieren sie die Pleite. "Das größte Risiko ist, dass wir keine Versicherungslösung für Cyber-Risiken finden", sagte vor Kurzem Torsten Jeworrek, Vorstand der Munich Re. "Wenn das passiert, wird die Versicherungswirtschaft überflüssig." Jeworrek hat recht.
Das Problem ist vertrackt. Ein Anbieter kann ein Haus, ein Auto oder ein Unfallrisiko heute sehr sauber versichern. Er hat Daten aus der Vergangenheit und rechnet ein, was sich ändert - zum Beispiel durch den Klimawandel.
Bei Cyber ist das anders. Niemand weiß, wie und wo der nächste Angriff abläuft und mit welchen Werkzeugen die Hacker vorgehen. Vor dem Auftauchen des Verschlüsselungstrojaners Petya Ende 2015 konnte sich kaum jemand vorstellen, wie Kriminelle mit einem solchen Erpressungswerkzeug Millionen erbeuten können. Welche Angriffsformen 2019, 2020 oder 2021 kommen, weiß niemand. Was passiert bei Banken, E-Mail-Anbietern oder bei der Industrie, wenn Hacker Supercomputer benutzen, die jedes Passwort in Sekunden knacken können?
Dazu kommt ein weiteres Risiko: Weil immer mehr Unternehmen ihre Daten bei Cloud-Anbietern speichern, steigt die Anfälligkeit. Wenn eine Hackergruppe einen der großen globalen Cloud-Betreiber erfolgreich attackiert, könnten dadurch Hunderte Betriebe betroffen sein. Sind sie versichert, bedeutet das existenzgefährdende Schadenssummen für die Versicherer. Je mehr Konzerne solche Deckungen einkaufen, desto größer wird das Problem.
Die Versicherer sollten der Versuchung widerstehen, durch geschickte Klauseln bestimmte große Risiken auszuschließen und damit einen Schutz vorzugaukeln, der gar nicht existiert. Über kurz oder lang fällt das doch auf, spätestens nach dem ersten Großschaden. Größtmögliche Transparenz ist aber nötig.
Für Industrie und Gesellschaft heißt das: Sie können sich nicht auf die privaten Versicherungskonzerne verlassen, wenn es um die Absicherung gegen die finanziellen Folgen von Cyber-Angriffen geht. Die Versicherer können einen Beitrag leisten, ja, auch durch die Sammlung von Daten über Angriffe aus verschiedenen Branchen und Ländern. Die Industrie muss aber selbst finanzielle Vorsorge treffen, um Attacken auszuhalten.
Wenn es denn funktionierende Versicherungslösungen für die Wirtschaft geben soll, muss der Staat mit einer Garantie für Megaschäden mit am Tisch sitzen. Bei der Versicherung gegen die Folgen von Terrorangriffen ist genau das bereits der Fall. Für Cyber wäre es auch richtig.