Security

Cybercrime: So denken die Versicherungen

Die finanziellen Schäden durch Hacker-Angriffe gehen für so manches Unternehmen in die Millionen. Die Versicherung muss zahlen – aber wie basteln die ihre Police gegen Cybercrime? Ein Interview mit Peter Graß vom Gesamtverband der Deutschen Versicherungswirtschaft (GDV).

26.01.2016
Peter Grass GDV

Digital Insights: Es vergeht kaum ein Tag, an dem die Medien nicht über große Angriffe von Hackern auf Wirtschaftsunternehmen berichten. Mal werden Daten gestohlen, dann werden ganze Netzwerke lahm gelegt, wie etwa im Sommer beim Deutschen Bundestag. Wir reagiert die Versicherungswirtschaft auf diese, in ihrer Dimension neue Situation?

Graß: Wir beobachten natürlich sowohl die Zunahme der Frequenz von Angriffen als auch das rasant wachsende öffentliche Bewusstsein. Zum einen sind die Versicherer als Hüter vieler Kundendaten selbst gefordert: Wir müssen die Sicherheit unserer Systeme ständig überprüfen – und tun das auch. Zum anderen ist das Risiko Cybergefahren auch eine Chance für die Versicherer: Wir entwickeln Produkte und Lösungen, die den Unternehmen helfen, solche neuen Gefahren abzusichern. Für den Bereich der Industrieunternehmen gibt es bereits mehrere Versicherer, die auch seit einigen Jahren aktiv sind und Versicherungsschutz anbieten.

Digital Insights: Experten warnen angesichts einer nahezu allumfassenden Vernetzung der Systeme vor wachsenden Gefahren, gerade wenn es um das Internet der Dinge und Industrie 4.0 geht. Wie stellt sich die Versicherungswirtschaft auf diese digitale Zukunft ein?

Graß: Gerade vernetzte Produktionsanlagen können ein Einfallstor für Sabotage oder Spionage sein. Hier müssen die gleichen Sicherheitsanforderungen gelten wie im gesamten Unternehmen. Wir denken darüber nach, ob und wie möglicherweise ein gemeinsamer technischer Standard hilfreich sein kann.

Digital Insights: Ist die Cyberversicherung nur etwas für die Großindustrie?

Graß: Nein, das Thema geht alle an. Für kleine und mittlere Unternehmen ist es aber oft schwer, eine eigene große IT-Sicherheitsabteilung zu unterhalten. Cyber-Versicherungsschutz ohne IT-Sicherheit geht aber nicht. Hier müssen die KMUs noch vielfach nachbessern, um versichert werden zu können. Es fehlte bislang auch an akzeptierten Sicherheitsstandards, die zwar ausreichend schützen, aber ein kleines Unternehmen nicht überfordern. Bei großen Industrieunternehmen kann das Risiko individuell ermittelt und versichert werden. Für das Massengeschäft werden auch standardisierte Versicherungslösungen benötigt, mit denen sich die vielen kleinen und mittleren Unternehmen gegen Risiken versichern können. Wir entwickeln gerade im Verband unverbindliche Musterbedingungen für die Cyberversicherung. Hier brauchen wir aber noch etwas Zeit, da es durchaus eine komplexe Aufgabe ist, die versicherungstechnischen Anforderungen mit der Realität einer sich ständig weiterentwickelnden Technik zusammenzuführen – und auch das Produkt Cyberversicherung sauber von bereits bestehenden Versicherungslösungen abzugrenzen.

Digital Insights: Können Sie uns erklären, wie die Versicherer mögliche Schadenssummen errechnen? Das ist ja auch für Ihre Experten neues Terrain. Welche Systematiken werden da zu Grunde gelegt.

Graß: Im Prinzip geht der Versicherer bei einer Cyberversicherung nicht anders vor als zum Beispiel bei einer Versicherung gegen Hochwasser: Sie müssen im Betrieb schauen: Welche Risiken gibt es? Welche Schäden und Schadensummen können eintreten? Und wie wahrscheinlich ist der Schadenfall? Bei der Cyberversicherung schauen Sie dann zum Beispiel danach, wie lang die maximal verkraftbare Ausfallzeit der IT ist oder wie viele Kundendaten das Unternehmen gespeichert hat. Und Sie müssen schauen, wie sich das Unternehmen gegen die Gefahren schützt; ob es zum Beispiel Notfallpläne gibt und die IT-Infrastruktur gegen Angriffe gewappnet ist.

Digital Insights: Nehmen die Wirtschaftsunternehmen die Bedrohung aus der Sicht der Versicherer ernst genug?

Graß: Grundsätzlich kann man sagen: Je größer ein Unternehmen ist oder je exponierter – wie zum Beispiel Online-Händler – desto höher ist das Risikobewusstsein. Vielfach gehen die Unternehmen aber noch zu leichtfertig mit solchen Gefahren um. Besonders bei kleineren und mittleren Unternehmen gibt es noch zu wenige, die sich genügend absichern. Das ist auch für die Versicherer ein Problem. Denn ohne die richtigen Präventionsmaßnahmen können die Versicherer den Unternehmen auch keinen guten Versicherungsschutz gegen Cyber-Gefahren anbieten. Hier könnten akzeptierte Sicherheitsstandards helfen, die kleinen und mittleren Unternehmen aufzeigen, was wirtschaftlich vertretbare und akzeptierte Schutzmaßnahmen für ihr Unternehmen sind. Die VdS, eine Tochtergesellschaft des GDV, hat mit der Richtlinie "VdS-zertifizierte Cyber-Security" einen Standard vorgestellt, mit dem sich KMUs angemessen vor Cyber-Gefahren schützen und dies durch ein Zertifikat einer unabhängigen Institution belegen können. Wir sind sicher, dass dieses Prüfsiegel sehr gut vom Markt angenommen wird.

Digital Insights: Der Verband Bitkom schätzt die jährlichen Schäden auf rund 51 Milliarden Euro im Jahr. Ist die Versicherungswirtschaft mit derartigen Schäden und Schadensummen nicht überfordert?

Graß: Nein, die Befürchtung habe ich nicht. Man muss bei solchen Zahlen auch immer berücksichtigen, dass nicht alle mit eingerechneten Schäden unter den Versicherungsschutz einer Cyber-Police fallen. Teilweise werden zum Beispiel auch vermutete Schäden durch Patentrechtsverletzungen einbezogen. Das sind dann allein grobe Schätzungen.

Zudem werden die Versicherer nur Risiken zeichnen, die sie im Fall der Fälle auch schultern können. Dabei muss der Versicherer zum Beispiel auch im Blick haben, wie viele Policen er in seinem Bestand hat, die bei ein und demselben Angriff möglicherweise betroffen sein könnten, das sogenannte Kumulrisiko. Aber natürlich ist gerade bei neuen Produkten wie der Cyberversicherung eine sorgfältige Produktgestaltung und eine Beobachtung der Schadenentwicklungen erforderlich.

Security RSS Feed abonnieren