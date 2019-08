Für British Airways könnte es teuer werden. Die Fluggesellschaft soll - geht es nach der britischen Datenschutzbehörde Information Commissioner's Office (ICO) - umgerechnet knapp 205 Millionen Euro Geldbuße zahlen. Cyberkriminelle hatten sich im Sommer 2018 Zugang zu Hunderttausenden Kundendaten verschafft und sie gestohlen. Dabei leiteten die Hacker Kunden bei der Flugbuchung von der Webseite von British Airways auf eine betrügerische Internetseite um, wo sie Daten zum Login, Kreditkarteninformationen und Adressen abfingen. Schwache Sicherheitsvorkehrungen bei der Fluglinie sollen dazu geführt haben, dass die Angreifer an die Daten gelangen konnten, kritisieren die Datenschützer. Einige Tage später war das Leck behoben.

Das Geschäft ist für die Versicherer unprofitabel

Doch dem ICO reichte das nicht. "Wenn eine Organisation Daten nicht vor Verlust, Beschädigung oder Diebstahl schützt, ist das mehr als eine Unannehmlichkeit", schimpft die Datenschutzbeauftragte Elizabeth Denham und fordert von dem Unternehmen eine der höchsten Strafen, die ihre Behörde je verhängt hat.

Wenige Tage später traf es die US-amerikanische Hotelkette Marriott. Auch sie hatte mit einem Datenleck zu kämpfen. Neben einem vom IOC verhängten Bußgeld von umgerechnet 110 Millionen Euro droht dem Unternehmen zusätzlich eine Aktionärsklage. Nach dem Datenskandal reichten die Anteilseigner von Marriott Klage gegen den Chef, den Finanzvorstand und den Chief Accounting Officer ein. Es geht um einen Anspruch von umgerechnet 450 Millionen Euro. Ob die Manager diesen bezahlen müssen, ist noch nicht klar.

Cybervorfälle wie diese werden verstärkt zu einem Problem für Managerhaftpflichtversicherer werden, erwarten Experten. "Jeder Cyber-Schaden hat das Potenzial für einen D&O-Fall", sagt Marcel Armon, Geschäftsführer vom Spezialmakler Hendricks, der sich auf die Managerhaftpflichtversicherung spezialisiert hat. Firmen schließen die sogenannten Directors and Officers (D&O)- Versicherungen für ihre Vorstände, Aufsichtsräte, Prokuristen und Geschäftsführer ab, falls diese ihre Sorgfaltspflichten verletzen und einen Fehler machen, der das Unternehmen viel Geld kostet. Die Firma kann dann den Manager auf Schadenersatz verklagen, den der D&O-Versicherer bezahlen soll.

Wird eine Firma gehackt und das Management hat keine entsprechende Cyberversicherung abgeschlossen, kann es passieren, dass der Aufsichtsrat die Verantwortlichen dafür in Haftung nimmt. Armon berichtet von einer deutschen Firma, die ihre Finanzbuchhaltung in ein osteuropäisches Land ausgelagert hatte. Hacker griffen die outgesourcte Buchhaltung an, verschafften sich Zugang zum Netzwerk des Unternehmens und verschlüsselten die Computer mit Erpressungssoftware. Weil die Firma keine Cyberdeckung hat, will sie einen Anspruch gegen das Management stellen.

Auch der auf Schäden im Bereich Managerhaftung spezialisierte Rechtsanwalt Michael Hendricks erwartet ebenfalls, dass Hackerangriffe und Co. weitreichende Auswirkungen auf die Sparte haben werden. "Die D&O-Versicherer werden zunehmend verlangen, dass Unternehmen eine Cyberversicherung vorlegen, bevor ein Vertrag abgeschlossen wird", sagt er. "Andernfalls werden sie mit Ausschlüssen reagieren." Hendricks ist auch Gründer des gleichnamigen Maklerunternehmens, verkaufte die Firma jedoch 2009 an die Howden-Gruppe, die zum britischen Spezialmakler Hyperion gehört.

Die D&O-Versicherung ist eine Problemsparte der deutschen Versicherer. Die Schäden sind hoch, die Prämieneinnahmen reichen seit Jahren nicht mehr aus, um das Geschäft profitabel zu betreiben. Nach den aktuellsten Zahlen des Gesamtverbands der Deutschen Versicherungswirtschaft (GDV) lag die Schaden- und Kostenquote 2017 bei 115 Prozent, das heißt, die Versicherer müssen für jeden eingenommenen Prämieneuro 1,15 Euro für Schäden, Vertriebs- und Verwaltungskosten ausgeben. Gründe für das defizitäre Geschäft sind der hohe Wettbewerb unter den Anbietern, zu gering kalkulierte Prämien und zu großzügig ausgelegte Versicherungsbedingungen.

Weil das auf Dauer nicht gut gehen kann, haben zahlreiche Versicherer inzwischen die Preise erhöht. Der Versicherer AIG, einer der großen Anbieter im Markt, will durchschnittlich zehn Prozent mehr verlangen. Aber auch andere Versicherer heben die Preise an, vor allem für große Konzerne. "Gerade bei Großunternehmen sehen wir eine sich beschleunigende Verhärtung des Marktes, mitunter mit erheblichen Preissteigerungen", berichtet Nepomuk Loesti, Leiter der Abteilung Financial Lines für Europa bei AIG, der nach eigenen Angaben rund ein Drittel aller Dax-Vorstände als D&O-Grundversicherer absichert. Mit Marktverhärtung meint die Branche, dass die Preise steigen und die Versicherer weniger Summen zur Verfügung stellen, zu denen sie die Unternehmen versichern. "Viele Firmen bekommen gar nicht mehr die Programmdeckungssummen zusammen, die sie eigentlich benötigen oder nachfragen", sagt Loesti.

Ein großer Teil der Schäden resultiert aus Firmenpleiten. Angesichts der wirtschaftlichen Lage wird sich die Situation weiter verschärfen, glaubt Loesti. "Deutschland befindet sich beim Wirtschaftswachstum bereits im Anfangsstadium einer Rezession", sagt er und ergänzt: "Wir erwarten, dass im Bereich der mittelständischen Unternehmen die Schäden durch Insolvenzen ansteigen werden." Besonders kritisch beobachtet der Versicherer derzeit die Automobilbranche.

Betrüger, die sich als Geschäftsführer ausgeben, sorgen für hohe Schäden

Neben Insolvenzen sorgen Fake-President-Fälle für hohe Schäden, sagt Hendricks. Dabei handelt es sich um eine Betrugsmasche, bei der Täter bei der Firma anrufen, sich als Geschäftsführer ausgeben und die Überweisung von großen Geldsummen veranlassen. "Hier gibt es dann oft Diskussionen, ob es sich um einen Fall für die D&O-Versicherung oder für die Vertrauensschadenversicherung handelt", sagt Hendricks. Die Vertrauensschadenversicherung deckt vor allem Schäden durch Veruntreuung oder Diebstahl von eigenen Mitarbeitern. Ihre Anbieter argumentieren dann, die Überweisung sei grob fahrlässig veranlasst worden, weil das Management kein ausreichendes Kontrollkonzept für die Überweisung installiert hat. Deswegen, so die Gesellschaften, muss der D&O-Versicherer den Schaden regulieren. Der D&O-Versicherer dagegen findet, dass der Schaden vorsätzlich verursacht wurde und spielt den Ball zurück an den Vertrauensschadenversicherer.

Ein großes Problem sieht Oliver Köhns vom Gesamtverband der versicherungsnehmenden Wirtschaft in der langen Regulierungsdauer. "D&O-Fälle dauern in der Regel zwischen drei und sieben Jahre, weil Pflichtverletzungen eines Managers jahrelang aufgearbeitet werden müssen", sagt Köhns.