Wenn Bytes beissen

In dieser Woche hat die Erpressungssoftware WannaCry mehr als 230.000 Computer in 150 Ländern infiziert. Hacker verlangten Zahlungen in Bitcoins, damit Nutzer auf ihre Daten zugreifen konnten.

Die Attacke traf mehrere große Unternehmen, einschließlich eines großen US-amerikanischen Paketlieferdienstes, eines europäischen Autoherstellers und einer spanischen Telekommunikationsfirma. Sie unterbrach den Betrieb des britischen National Health Service und hatte unter anderem auch Auswirkungen auf einige Vorgänge bei der Deutschen Bahn.

Der Vorfall hat wieder einmal gezeigt, wie anfällig Unternehmen gegenüber Cyberrisiken, egal ob durch eine technische Panne, einen menschlichen Fehler oder eben einen Cyberangriff, und der meist darauf folgenden Betriebsunterbrechung sind.

Reuters meldete, dass sich die Gesamtkosten der Maßnahmen zur Wiederaufnahme des Betriebs für Unternehmen auf Milliarden von Dollar belaufen könnten. Europäische und asiatische Firmen wären dabei besonders betroffen.

Mit zunehmender Häufigkeit solcher Angriffe sehen sich Unternehmen immer mehr gezwungen, sich selbst zu schützen, nicht nur vor solchen Attacken, sondern auch vor den Verlusten, die dadurch entstehen könnten.

Daher könnten sich Cyberversicherungen zum neuen Renner auf dem Versicherungsmarkt mausern, meint Hartmut Mai, Chief Underwriting Officer für Corporate Lines bei der Allianz Global Corporate & Specialty (AGCS).

Während der Cyberversicherungsmarkt in den USA mit schätzungsweise 3 Mrd. USD Beitragsvolumen bereits gesättigt ist, handelt es sich in Europa und Asien noch um ein recht neues Segment.

Technologie ist ein zweischneidiges Schwert. Auf der einen Seite vereinfacht und beschleunigt sie Prozesse, auf der anderen setzt sie Unternehmen neuen Risiken aus. Industrieunternehmen verknüpfen ihre Anlagen im sogenannten Internet der Dinge zunehmend mit Prozessen, um ihre Betriebsvorgänge zu verbessern. Dies macht sie jedoch im Falle einer Panne oder eines Angriffs auch anfälliger für Betriebsunterbrechungen.


„Je mehr Lieferketten und Prozesse von der Industrie miteinander verknüpft werden und die Produktion in 'Smart Factories' digitalisiert wird, desto angreifbarer sind auch etablierte Industrieunternehmen. Die Betriebsunterbrechung ist für sie das schwerwiegendste Risiko", sagt Mai.


Die Bedrohung geht aber nicht ausschließlich von Hackern aus. Häufig rührt sie nur von einem technischen Fehler her oder davon, dass ein Mitarbeiter absichtlich oder aus Versehen Viren verbreitet oder das Computersystem lahmgelegt hat.


Im Krisenfall ist ein Ausgleich der finanziellen Verluste wichtig, allerdings sind die Unterstützungsleistungen, die eine Cyberversicherung bietet, von unschätzbarem Wert. Computerforensik, Daten- und Systemwiederherstellung sowie professionelle Krisenkommunikation helfen einem Versicherungsnehmer dabei, schnell wieder auf die Beine zu kommen. „Unterstützungsleistungen, die wir selbst oder über unsere Partner bereitstellen, spielen daher eine immer wichtigere Rolle", ergänzt Mai.

Hartmut Mai

Natürlich ist die Entwicklung von Lösungen für aufkommende Risiken geprägt von Herausforderungen. Angesichts der Tatsache, dass Cyberkriminalität eine relativ neue Gefahr darstellt, muss die Versicherungsbranche bei der Entwicklung solcher Produkte mit Bedacht vorgehen.
„Es fehlt uns an historischen Schadendaten, da es um ein Versicherungsprodukt geht, das noch ziemlich frisch in unserem Portfolio ist. Zudem scheuen sich Unternehmen, es öffentlich zu machen, wenn sie Opfer eines Hackerangriffs geworden sind, da sie um ihren Ruf fürchten. Die Meldepflicht für entsprechende Vorfälle wird in Europa erst nach und nach eingeführt", erklärt Mai.
Das Portfoliomanagement im Hinblick auf Cyberrisiken gestaltet sich ebenfalls schwierig und die Kumulrisiken sind enorm. Aufgrund der digitalen Vernetzung von Unternehmen und Lieferketten kann sich ein Störfall in einem einzelnen Unternehmen zu einem Flächenbrand entwickeln und ganze Branchen lähmen.

Man stelle sich nur vor, was passiert, wenn der Betrieb eines Energieversorgers oder eines Cloudservice-Anbieters durch einen Cyberangriff unterbrochen wird. Dann kämen im Falle von Sachschäden und Betriebsunterbrechungen neben der Cyberversicherung zahlreiche andere Policen zum Tragen.
„Momentan lässt sich das Kumulrisiko noch beherrschen, da nicht einmal zehn Prozent der Unternehmen in Europa über eine Cyberversicherung verfügen", bemerkt Mai. Doch es ist zu erwarten, dass die Cyberversicherung wie auch die D&O-Haftpflichtversicherung für Unternehmensleiter und Aufsichtsorgane mittelfristig zum Standard für europäische Firmen wird. „Cyberversicherung wird sich zum Renner entwickeln, und darauf müssen wir uns einstellen. Wenn 2018 die wesentlich strengere Datenschutz-Grundverordnung in Kraft kommt, werden nicht nur Konzerne sondern auch kleine und mittelständische Unternehmen Deckung von Cyberrisiken nachfragen", meint Mai.

Andere Tochtergesellschaften der Allianz, wie die Allianz Deutschland und Allianz Suisse, haben vor Kurzem damit begonnen, spezielle Cyberprodukte für kleine und mittelständische Betriebe anzubieten.
Bei der Allianz Deutschland zum Beispiel gelten solche Cyberversicherungsangebote für Unternehmen mit einem Jahresumsatz von bis zu 150 Mio. EUR. Um sich vor Angriffen mit einem solchen erpresserischen Schadprogramm wie WannaCry zu schützen, muss der Kunde auch Deckung für Erpressungsfälle erwerben, welche die Allianz Deutschland im Rahmen einer Spezialversicherung bietet.

Mai zufolge müssten sich Versicherer mit der Beurteilung technischer Standards und der Reife der IT eines Unternehmens auf andere Weise auseinandersetzen. „Individuelle Risikodialoge und detaillierte IT- und Prozessprüfungen, die wir in der Regel für große Konzerne durchführen, wären für kleine und mittelständische Unternehmen zu umfangreich", sagt er.

„Zukünftig wollen wir unsere Fähigkeiten der automatisierten Cyberrisikoanalyse durch Kooperation mit Datenanalysefirmen steigern. Sie nutzen Screeningtechniken basierend auf IP-Adressen, linguistische Algorithmen und andere vergleichbare Methoden, um das Level an IT-Sicherheit eines Unternehmens zu beurteilen. Solche Bewertungen der Cyberresilienz können uns vor allem dabei helfen, kleinen und mittelständischen Unternehmen und Privatkunden über digitale Vertriebsplattformen, Deckung vor Cyberrisiken zu bieten", fügt Mai hinzu.

Es lässt sich angesichts der Häufigkeit von Vorfällen solcher Cyberangriffe in jüngster Vergangenheit nicht leugnen, dass Cybersicherheit und damit verbundene Versicherungen bald zu einem wichtigen Bestandteil unternehmensinterner Risikomanagementstrategien werden dürften.

„2016 erwirtschaftete die AGCS mit Cyberpolicen Beiträge in mittlerer zweistelliger Millionenhöhe. Die Nachfrage und Policenabschlüsse haben im ersten Quartal weiterhin stark zugenommen. Kein Vorstandsmitglied oder Chief Information Officer hegt noch Zweifel, dass die Gefahr wirklich besteht, selbst wenn ihre IT-Sicherheitssysteme dem neuesten Stand der Technik entsprechen."
Der Markt erhält Auftrieb und wir können wohl mit mehr modularen Cyberlösungen rechnen, die individuell an das jeweilige Unternehmen angepasst werden können.

Derzeit übernimmt die AGCS bei der Cyberversicherung lediglich bis zu 100 Mio. EUR pro Kunde, da der Markt immer noch jung ist und die Risiken schwerer abzuschätzen sind. Für einzelne Unternehmen stehen auf dem Cyberversicherungsmarkt bis zu 500 Mio. EUR an Kapazität zur Verfügung.
Mit dem Aufkommen der neuen Normalität werden es Unternehmen vermutlich nicht mehr völlig vermeiden können, von den Bytes zurückgebissen zu werden. Was sie aber tun können, ist dafür zu sorgen, dass sich der Schmerz in Grenzen hält.

Diese Aussagen stehen, wie immer, unter unserem Vorbehalt bei Zukunftsaussagen

 

Heidi Polke
Allianz Global Corporate & Specialty
Tel. +49 89 3800 14303

E-mail senden

26.03.2024

Lights, camera, action: Navigating the economic landscape

mehr dazu

26.03.2024

Americans Reducing Retirement Savings and Taking on Debt Due to Inflation

mehr dazu

12.03.2024

In Zukunft wird über Nachhaltigkeitsarbeit berichtet wie über Finanzen: Warum wir jeden Mitarbeitenden für die Umsetzung brauchen!

mehr dazu