Cyberschäden – Mehrwerte durch Assistanceleistungen der Versicherer
Die Zeiten, in den Versicherer sehnsüchtig auf ihren ersten richtigen Cyberschaden warteten, sind vorbei: Aus Cyberrisiken sind Cyberschäden geworden.
Die Zeiten, in den Versicherer sehnsüchtig auf ihren ersten richtigen Cyberschaden warteten, sind vorbei: Aus Cyberrisiken sind Cyberschäden geworden.
Nach Aussage der AXA Versicherung unterteilt sich der Schadenaufwand in 50 Prozent Datenwiederherstellung, 22 Prozent Ertragsausfall/Mehrkosten, 18 Prozent SV-/Forensikkosten und weitere zehn Prozent verteilen sich auf Betrug und sonstiges. Betrachtet man die Schadenursachen, so sind in 58 Prozent der Fälle Hackerangriffe ursächlich, in 13 Prozent der Fälle Identitätsdiebstahl, zehn Prozent der Ausfall der IT-Dienstleistung, vier Prozent der Schadenfälle verursachen Mitarbeiter und weitere 15 Prozent werden unter „Sonstige“ benannt. Die Zahlen sind beispielhaft, jedoch belegen Rückmeldungen aus der Branche, dass sie ein Abbild der Schäden darstellen, je nach Clusterung der Schadenarten.
Cyberangriffe werden echte Gefahr
Allerdings wurde gleichzeitig deutlich, dass Cyberangriffe zu einer echten Gefahr werden, wie die bekannten Fälle in 2019 (u. a. Wempe, Rheinmetall, Messe Stuttgart, Universitätsklinik Heidelberg, Universitäten Maastricht, Freiburg und Gießen) zeigen. Der Angriff auf das Kammergericht Berlin im Januar 2020 war eine Attacke mit dem Emotet-Virus, bei dem „grundsätzlich von organisierter Kriminalität auszugehen“ ist. Dabei sind – nach dem Prinzip „crime as a service“ mehrere Tätergruppen aktiv: Eine betreut die Infrastruktur, entwickelt sie weiter und vermietet sie dann an andere Tätergruppen. Für die Zukunft prognostizieren erste Stimmen bereits, dass die Gefahren durch Cyberrisiken, die durch Naturkatastrophen bald übertreffen.
Die Rolle der Versicherer wandelt sich damit massiv: Der Mehrwert einer Cyberversicherung ist die Hilfe im Schadenfall. Damit wird die Cyberversicherung zu einem echten Assistance-Produkt. Assistance bedeutet hier aber nicht nur Unterstützung im Schadenfall, wie es in der Kfz-Versicherung der Fall ist. Bei der Cyberversicherung spielt die Prävention eine bedeutende Rolle.
Prävention als Assistanceleistung
Der reine Handwerker war gestern, heute ist er digitaler Unternehmer. Doch der typische Kleinunternehmer oder Gewerbekunde beschäftigt sich nicht mit Backups, hat eine Notfallplanung parat oder eine ungefähr realistische Vorstellung, welche direkten und indirekten Kosten ein Cyberangriff bedeuten können. Der VdS hat begonnen, Mindestmaßstäbe – wie man sie aus dem Brandschutz kennt – zu definieren. Die Richtlinien VdS 3473 enthalten Mindestanforderungen an die Informationssicherheit insbesondere für KMU, die verständlich sind, ohne Unternehmen organisatorisch oder finanziell zu überfordern.
Voraussetzung für den richtigen Cyber-Versicherungsschutz ist, dass der Versicherer das Geschäftsmodell versteht und die individuellen Bedrohungen des Unternehmens analysiert. Eine Cyberversicherung soll lediglich das Restrisiko schließen und dieses ist bspw. bei einem Onlinehändler ein anderes als bei einem Rechtsanwalt. Passgenaue Versicherungslösungen sind hier gefragt. Diese Lücken im Sicherheitskonzept zeigen sich, wenn alle externen Maßnahmen, wie bspw. Firewalls, moderne Serverlandschaften, regelmäßige Patches/Updates, und internen Maßnahmen, bspw. Sensibilisierung der Mitarbeiter, Cyber-Risk-Governance, Berücksichtigung von Cyber-Gefahren in die Wertschöpfungskette), ausgeschöpft sind.
Im nächsten Schritt, wenn der Ernstfall eingetreten ist, müssen der Versicherer bzw. sein Dienstleister in der mentalen Stresssituation als professioneller Krisenberater zur Seite stehen und den Krisenplan mit IT-Sicherheitsexperten, PR-Spezialisten und Datenschutzanwälten koordinieren. Der Bedarf an professionellen und vor allem umfassenden Cyber-Serviceleistungen ist stetig wachsend.
Nach Meinung der Experten erfordert eine Cyberversicherung eine ständige Veränderung – über die gesamte Wertschöpfungskette und die Laufzeit des Vertrages. Während der Unternehmer vor Vertragsabschluss seine Risiken genau kennen und aufschlüsseln muss, ist während der Laufzeit Achtsamkeit für mögliche Bedrohungen angesagt.
Fazit ist, die Entwicklung und Vielfalt von Cyber-Risiken ist ungebremst hoch, die Zeit ein wesentlicher Faktor bei Krisenfällen, die Komplexität der Schäden deutlich höher als in den anderen Sparten und Schadenfälle können existenzbedrohend werden. Damit sind Cyberrisiken eine Chance für Versicherer, aber bergen gleichzeitig auch enormes Risiko.
