Forum Vernetzte Sicherheit

In-depth considerations on synergistic security

Neuland

Der Durchschnittsdeutsche zählt fünf Versicherungspolicen in seinem Aktenschrank. Die deutsche Versicherungswirtschaft gilt daher nicht umsonst als innovativste in Europa. Sie hat ein neues Tool entwickelt: die Cyberversicherung. Neuland für viele in der Branche. 

„Neuland“ – spätestens seit Erwähnung durch Bundeskanzlerin Angela Merkel im Jahre 2013 gilt es als eine Umschreibung für etwas, dass sich in der Gesellschaft zwar schon lange etabliert hat und bei manchen trotzdem noch nicht angekommen ist. So war das eben damals mit dem „Internet“, diesem Phänomen, dass für Frau Merkel und andere zwar eben irgendwie existierte, aber noch niemand so richtig zu verstehen schien. Dass die deutsche Versicherungswirtschaft kaum vier Jahre später nun eine neue Versicherungspolice entwickelt und von Dr. Alexander Erdland, dem Präsidenten des Gesamtverbandes stolz als „Urmeter der Cyberversicherung“ anpreisen lässt, scheint ein solcher Anachronismus zu sein.

Cyberattacken – im Mittelstand angekommen

Cybercrime und Hackerangriffe sind tatsächlich Alltagsphänomene unserer Tage. Kein Tag vergeht, an dem nicht der durchschnittliche User (der mit den fünf Versicherungspolicen) mindestens ein paar Phishing-Mails in seinem Account findet. Abhilfe schaffen Spamfilter und Virenscanner. Prävention als Zauberwort. Für die Absicherung der durch Hacking tatsächlich verursachten Schäden fehlte bis jetzt das Verständnis. Das beginnt sich zu ändern. Es ist genau diese Diskrepanz zwischen gefühlter und tatsächlicher Sicherheit, die auch die Nachfrage nach Versicherungsmöglichkeiten bestimmt. Während Deutsche gerne unnötigerweise die Insassen in ihren PKWs oder ihr Reisegepäck doppelt und dreifach versichern, schert sich kaum einer um die Risiken, die aus dem Internet direkt ins Wohnzimmer plumpsen.

Ebenso waren die IT-Risiken im deutschen Mittelstand wenig beachtet worden. Erdland attestiert eine allgemeine digitale Sorglosigkeit. 80 Prozent der befragten Unternehmen halten sich für ausreichend geschützt. Nur 36 Prozent des Mittelstandes, schätzen das Risiko, selber Opfer von Cyber-Attacken zu werden, als hoch ein. Erdland: „Viele haben noch nicht erkannt, was Cyberkriminelle treiben, halten sich für zu klein und unwichtig.“ Doch der deutsche Durchschnittsunternehmer, inzwischen drangsaliert von Schlagworten wie der „Industrie 4.0“ und dem „Internet of Things“ reagiert. Bedarf entsteht. IT-Security wird somit zum vielversprechenden Geschäftsmodell in der Assekuranz. Die Cyber-Versicherung bietet anscheinend ein Marktpotential das vergleichbar ist mit der heutigen Bedeutung von Autoversicherungen. Ein Stichwort, auf das Vertreter der Branche inzwischen mit gewissem Argwohn reagieren. Ehemals eine der wesentlichen „Cash-Cows“ und pure Selbstverständlichkeit für deutsche Automobilisten sind Versicherungen rund ums Auto absehbar unter Druck. Absehbar ist, dass den Versicherern ein Riesenmarkt wegbrechen wird. Mit zunehmender Automatisierung des Autofahrens sinkt die Zahl der Unfälle. Ein autonom steuerndes Fahrzeug wird schon bald keine Fehler mehr machen. Warum also Risiken absichern, die überschaubar sind, wird so mancher Versicherungsnehmer in Zukunft denken. Zusätzlich findet sich der Deutschen „liebstes Kind“ immer öfter als ramponiertes Flottenfahrzeug eines CarSharing-Anbieters wieder. Die Nachfrage nach dem eigenen und wohl behüteten Auto in der Garage nimmt ab.

Im Gegensatz dazu gewinnt das Internet im Alltag vieler Menschen immer mehr an Bedeutung. Damit steigen aber auch die Bedrohungen über das Internet, und zwar rasant. War IT-Security bislang ein Thema für die „Großen“ der Branche, wägten sich Mittelständler und Privatpersonen im Windschatten. „Wer interessiert sich schon für meine Daten“, hat sich so mancher gedacht. Ein Trugschluss. Immer mehr rücken Mittelständler und Einzelpersonen für Hacker in den Fokus. Dr. Alexander Erdland: „Medien berichten fast täglich von Cyberattacken auf Wirtschaft und Staat. Cyberkriminelle greifen aber nicht nur die Großen an, sondern auch kleine Betriebe. Die Gefahr ist ernst, sie wird größer und sie trifft uns alle.“

Die neue Cyberrisiko-Versicherung

Grund genug für die deutsche Versicherungswirtschaft, eine neue Cyberrisiko-Versicherung zu entwickeln, die nun in Berlin in ihren Grundzügen vorgestellt wurde. Es handelt sich damit um eine Branchenvorgabe, um den Versuch einer Standardisierung. Ein Bereich, in dem viele Versicherungsunternehmen noch auf sehr unterschiedlichem Level unterwegs sind. Klar werden Cyber-Risiken heute schon versichert – aber zu unterschiedlichsten Konditionen und bis dato vor allem fokussiert auf Telekom & Co.

In den Fokus rücken nun Unternehmen mit bis zu 249 Mitarbeitern und rund 50 Millionen Euro Umsatz pro Jahr. Es geht hier nun nicht um IT-Dienstleister, sondern um den klassischen Mittelständler. Der schwäbisch-konservative Inhaber eines Zulieferbetriebs für die Automobilbranche oder der Forellenhof im Rothaargebirge. Versichert sind Vermögensschäden, die Verfügbarkeit und Integrität von Daten sowie deren Vertraulichkeit. Die neue Versicherung greift bei Schadensfeststellung mit Nachhaftung. Generell ausgeschlossen sind sind Massenschädigungen durch Massenattacken, vergleichbar dem Umgang von Versicherern bei Fällen „höherer Gewalt“. Neu ist die Absicherung der Forensik, also der Aufwände die zur Feststellung eines Schadens notwendig sind. Ein nicht unerheblicher Passus. Vielfach sind die Aufwände zum Erkennen und Lokalisieren der Schädigung immens. Beim sogenannten „Drittschaden-Baustein“ geht es um die Haftpflicht infolge einer Informationssicherheitsverletzung (Persönlichkeitsrechte, Markenrechte, etc .) gegenüber Dritten. Der Eigenschaden-Baustein trägt die Kosten für Datenwiederherstellung. Das meint auch die Kosten im Falle einer Erpressung. Ebenso sind auch Vorsatztaten der eigenen Mitarbeiter des Unternehmens versichert. Dies scheint aber ein zu vernachlässigender Bereich zu sein. Lediglich sechs Prozent der bisher festgestellten Cyber-Attacken wurden durch eigene Mitarbeiter durchgeführt. Dahingegen ist die mit Abstand größte Risikogruppe die der ehemaligen Mitarbeiter – 60 Prozent aller Attacken gehen auf deren Konto.

Zwischen Jagdinstinkt und Asbesttrauma

Mangelhafte Hard- und Software, gepaart mit ungeschulten Anwendern und kriminellen Hackern – eine unheilige Allianz, die da über das Internet in die deutschen Betriebe eindringt. Was früher nur für die „Großen“ galt, betrifft zunehmend auch den deutschen Mittelstand und sogar Einzelpersonen. Immer mehr Maschinen werden mit dem Internet verbunden, immer mehr Menschen vertrauen dem Netz sensible Daten an. Ergänzend weist Computer-Experte Linus Neumann darauf hin: „Ein fehlerloses Programm ohne Schwachstellen ist nicht realistisch.“ Und: „Viele Produkte und Services, die wir im Zusammenhang mit dem Internet verwenden, sind nicht unter dem Aspekt der Sicherheit entwickelt worden.“ Er verweist exemplarisch auf den massenhaften Ausfall von Telekom-Routern. „Die brechen sogar zusammen, obwohl sie gar nicht gehackt wurden.“

Das Marktpotential für die Versicherungsbranche ist also vorhanden. Doch Branchenvertreter schwanken zwischen gewecktem Jagdinstinkt und alter Paranoia. Vielen sitzt das „Asbesttrauma“ noch in den Knochen. Noch heute müssen die Versicherer den damals zu sorglosen Umgang mit einer neuen Technologie teuer bezahlen. Was, wenn das Internet, riesige Schädigungen mit sich bringen wird, die heute noch nicht absehbar sind? Autoversicherung oder Asbest? Chance oder Risiko? Es ist eben doch viel Neuland, das vor der Versicherungsbranche liegt. Und: Die zögerliche Annäherung an das Thema ist verständlich. Versicherer sichern Risiken ab. Aber nur welche, die sie auch abschätzen können. Doch die Branche wird vom Markt getrieben. Deutsche Verbraucher und Unternehmer werden zunehmend sensibel wenn es um Risiken im Internet geht. Da wird schnell der Ruf nach einer Versicherung laut. Der Deutsche bleibt sich treu – auch im Neuland.

PAGE TOP