Und weg waren sie. Versehentlich eingefangene Viren oder gezielte Attacken können Unternehmen große Mengen ihrer Daten zerstören. Illustration: iStockphoto/solar22

Versichert gegen den Virus

Die Bedrohung deutscher Unternehmen durch Cyberkriminalität wird immer alltäglicher. Deswegen bieten Versicherer jetzt Policen gegen Cyberattacken an.

Eben haben die Architekten noch an den Bauplänen gearbeitet, plötzlich geht nichts mehr. Die Dateien, die sie gerade noch aufrufen konnten, sind plötzlich verschlüsselt und gesperrt. Ein Virus? Eine gezielte Attacke von außen? Ereignet hat sich der Vorfall im Dezember in Berlin. Was dahinter steckt, ist bis heute unklar. Klar ist aber, wie teuer die Sache für das Büro geworden wäre, wenn es nicht gegen Cyberattacken versichert gewesen wäre: Auf 44.000 Euro summierte sich der Schaden, weil die Architekten nicht auf ihre Unterlagen zugreifen konnten und vorübergehend arbeitsunfähig waren. Gezahlt hat die Allianz.

„Cyberattacken können existenzbedrohend sein“, sagt Martin Burg. Er ist bei Deutschlands größtem Versicherer nicht nur für den Standort Berlin zuständig, sondern auch für das operative Geschäft mit Sachversicherungen in ganz Deutschland. Noch sind die Umsätze mit Cyberpolicen übersichtlich, aber das Interesse der Firmenkunden wächst, weiß Burg. Vor allem nach Attacken wie „Wannacry“ oder der neuesten Angriffswelle, die inzwischen „Petya/NotPetya“ genannt wird. Der Erpressungstrojaner Wannacry hatte im Mai weltweit für Computerausfälle gesorgt und in Deutschland Anzeigetafeln und Ticketautomaten der Deutschen Bahn lahmgelegt. Angegriffene sollten Lösegeld zahlen, um ihre verschlüsselten Daten wieder entschlüsseln zu können. Noch bis heute, sechs Wochen später, gibt es Meldungen aus Firmen, die „Wannacry“ in ihren Systemen entdecken. Beim jüngsten Angriff hingegen war die Lage noch dramatischer: Sicherheitsexperten fanden heraus, dass das Entschlüsseln hier gar nicht möglich war. „Petya/NotPetya“ zerstörte die Daten der Angegriffenen unwiderbringlich.

Jährliches Prämienvolumen soll 26 Milliarden erreichen

Nach solchen Großangriffen sind die Firmenchefs besonders alarmiert“, weiß Ronni Krzyzan von der Allianz in Berlin. Sie und ihr Team beraten Firmenkunden, die Haftpflichtversicherungen – darunter auch Cyberpolicen – abschließen wollen. Zusammen mit IT-Experten der Allianz-Tochter Metafinanz macht sie vor Ort eine Bestandsaufnahme, wie es um die IT-Sicherheit in dem jeweiligen Unternehmen steht, welche Risiken abgesichert werden sollen und was der Betrieb noch tun muss, damit die Allianz das Versicherungsrisiko übernimmt. „Die Basis muss stimmen“, sagt Krzyzan. Ohne Firewall, Schulung der Mitarbeiter, Passwortschutz und eine Entrümpelung der Festplatten schließt die Allianz das Geschäft nicht ab. Für größere Unternehmen mit einem Jahresumsatz von mehr als fünf Millionen Euro gelten noch schärfere Sicherheitsvoraussetzungen.

Maximal zehn Prozent der Berliner Betriebe sind gegen Cyberangriffe versichert, schätzt Burg. Aber nicht nur in Berlin ist das Geschäft in diesem Bereich noch ausbaufähig. Das aktuelle Prämienvolumen in Europa wird auf gerade einmal 200 Millionen Euro jährlich geschätzt, in den USA sind es dagegen rund 2,5 Milliarden Dollar. Versicherer und Analysten rechnen aber damit, dass Europa nachzieht – mindestens. Das Beratungsunternehmen KPMG prognostiziert ein jährliches Prämienvolumen von bis zu 26 Milliarden Euro in Deutschland, Österreich und der Schweiz. „Cyber entwickelt sich zur größten Versicherungssparte im Schaden-/Unfallgeschäft“, heißt es in ihrer neuen Studie.

50 Milliarden Schaden im Jahr

Der Grund: Die Angriffe auf Firmen häufen sich. Spionage, Sabotage, Erpressungen via Internet richten in der deutschen Wirtschaft nach Schätzung des Verfassungsschutzes einen jährlichen Schaden von 50 Milliarden Euro an. Mehr als jedes dritte Unternehmen ist in den vergangenen beiden Jahren Opfer von Computersabotage, digitaler Erpressung oder einer anderen Form von Cyberkriminalität geworden, hat eine repräsentative Befragung durch KPMG ergeben. Bei drei Viertel der Befragten lagen die Schäden im Bereich bis zu 250 000 Euro, bei größeren Unternehmen berichtete jedes zehnte über Schäden in Millionenhöhe. Die Dunkelziffer dürfte jedoch noch deutlich höher liegen. Viele Angriffe werden von den Firmen gar nicht bemerkt, weiß der Chef des Bundeskriminalamts, Holger Münch. Aber selbst wenn die Unternehmen aufmerksam sind, sehen viele von einer Anzeige ab, weil sie einen Reputationsverlust befürchten.

Während große Firmen inzwischen meist IT-Sicherheitsexperten beschäftigen, sind vor allem mittelständische Unternehmen stark verwundbar, warnte Dieter Janacek, wirtschaftspolitischer Sprecher der Grünen, beim Tagesspiegel-Cybersec-Lunch Ende Juni. Hier müsse der Staat stärker aktiv auf die Unternehmen zugehen, um sie besser zu informieren und zu schützen.

Schutz gegen Sabotage und Lösegeld

Um kleinen und mittelständischen Firmen den Abschluss einer Cyberversicherung zu erleichtern, hat die Versicherungswirtschaft inzwischen Musterbedingungen entwickelt. Die Firmen können aus bestimmten Bausteinen wählen: Wollen sie Schutz gegen Sabotage, soll die Versicherung für die Betriebsunterbrechung aufkommen oder soll sie notfalls auch das Lösegeld zahlen? Alles ist möglich, entsprechend hoch ist dann die Versicherungsprämie. Firmen bis zu einem Jahresumsatz von fünf Millionen Euro bewegen sich bei der Versicherungssumme meist in einem Korridor zwischen 250.000 Euro und einer Million Euro, berichtet Krzyzan. Im Gegenzug werden pro Jahr rund 1500 oder 2000 Euro an Versicherungsbeiträgen fällig.

Dafür bekommen sie auch Erste Hilfe – etwa eine 24-Stunden-Hotline, die betroffenen Unternehmen sagt, was sie bei einer Cyberattacke zu tun haben. Denn wer meint, man möge am besten schnell den Stecker ziehen, irrt sich. „Dann sind nämlich vielleicht alle Daten weg“, sagt Krzyzan. Und das ist im Zweifel noch schlimmer als der eigentliche Angriff.

Mitarbeit: Hendrik Lehmann