Kennen Sie das auch? Mails mit dubiosen Rechnungen zu nicht bestellten Produkten oder Dienstleistungen? Bitten um Unterstützung beim Geldtransfer nach Deutschland. Nichts scheint mehr sicher zu sein. Doch dahinter steckt oft mehr, als nur Belästigung und das Stehlen von Zeit. Handfeste Cyberrisiken bedrohen nicht nur die Großindustrie oder die Politik.
Verwundert schaute Makler W. aus Berlin auf eine Mail, in der ihm mitgeteilt wurde, dass seine Bestellung für das neue Smartphone eingegangen sei und nun der Betrag über ein Kreditkartenkonto bei einem von ihm oft genutzten Logistikunternehmen abgebucht würde. Eine Mail und ein Anruf an das Logistikunternehmen klärte den Fall zwar schnell auf, aber die Telefonauskunft „Sie sind da nicht der einzige, wir hatten einen Hackerangriff auf unsere Kundendaten“ machte ihn mehr als stutzig. Was wenn auch Daten seiner Kunden über den gleichen Weg gestohlen und missbraucht würden?
Mittelstand immer stärker im Fokus der Kriminellen
Der Mittelstand und damit auch Vermittler von Finanz- und Versicherungsprodukten sind in den Fokus der Kriminellen aus dem Internet geraten. Nicht nur Kundendaten sind das Objekt der Begierde. Auch Know How des traditionell starken deutschen Mittelstands soll abgezogen oder beschädigt werden. Und kaum ein Verantwortlicher reagiert auf das Bedrohungs-potential.
Im Januar diesen Jahres wurden 16 Millionen (!) Nutzerkonten von Vodafone, Adobe und Sony geknackt, wie das Bundesamt für Sicherheit in der Informationstechnik (BSI) meldete. Im April die nächste erschreckende Mitteilung zu 18 Millionen erbeuteten Login-Daten inklusive der entsprechenden Passwörter. Das BSI machte darauf aufmerksam, dass davon nicht nur Privatkunden sondern auch Mittelständler und Konzerne betroffen waren.
Gerade kleine und mittlere Unternehmen sind ein beliebtes Ziel von Cyberkriminellen, warnt der Sicherheitsbericht des Softwarehauses Symantec. Fast neun von zehn Usern (86 %) fürchten sich vor Internet-kriminalität, mehr als ein Viertel (28 %) rechnet jederzeit mit Online-Betrug. Nur eine kleine Minderheit (3 %) glaubt, dass ihr so etwas nicht passieren kann. Trotz der Allgegenwärtigkeit von Cybercrime gibt aber lediglich die Hälfte (51 %) aller Befragten an, dass sie ihr Verhalten ändern würde, wenn sie selbst betroffen wäre.“ Also erst nach dem Schaden klug werden?
Die Kriminalität aus dem Web hat kein Gesicht
Die „Gesichtslosigkeit“ der Gefahren aus dem endlosen Internet scheint einer der Gründe dafür zu sein, dass die Kriminellen aus dem Web nicht so wahrgenommen werden wir normale Kriminelle. Anne Collier, Herausgeberin von NetFamilyNews.org, kennzeichnete die anonyme Gefahr so: „Cybercrime unterscheidet sich sehr von Straftaten in der ‚realen‘ Welt. Es ist für die Meisten nicht greifbar oder sichtbar und oft schwierig aufzuklären.“
„Rund jedes fünfte der 405 befragten Unternehmen habe keine umfassenden Maßnahmen zum Schutz ihrer Daten ausgearbeitet, erklärte PwC. Nur ein Drittel der Unternehmen hätten nach den Berichte über Internet-Spionage des amerikanischen Geheimdienstes NSA ihre eigene Sicherheitsstrategie hinterfragt. Rund jedes zweite Unternehmen plane höhere Investitionen in die Informationssicherheit“, bewertet es Heise.de.
Und gegen nicht „fassbare“ Risiken scheint das Handeln und Absichern ein schwieriges Thema zu sein. Dabei ließen sich Datenrisiken bei deutschen Mittelständler allein schon durch entsprechende Softwaretools vermeiden und zusätzlich durch den entsprechenden Versicherungsschutz absichern.
Dafür gibt es verschiedene Angebote im Markt, die aber oft noch relativ unbekannt sind. So bietet zum Beispiel der englische Spezialversicherer Hiscox eine Kombination von Vorsorge und Versicherung an. „In Zusammenarbeit mit den Cybersicherheits-Experten von HiSolutions helfen wir unseren Kunden vor allem auch dabei, das eigene System abzusichern. Unser Ziel: Den Schaden abwenden, bevor er geschieht“, so Stefan Sievers, Underwriting Manager Specialty Lines bei Hiscox.
Der Industrieversicherer AON beschreibt sein Cyberprodukt so: „Die üblichen Industrieversicherungen decken die genannten Risiken oft nur unzureichend ab. Daher wurden speziell für die Absicherung der aus einem Datenverlust oder Hackerangriff resultierenden Schäden sogenannte Cyber-Versicherungen entwickelt. Diese umfassen je nach individueller Vereinbarung unter anderem: Schadensersatzansprüche Dritter, Betriebs-unterbrechungsschäden, Kosten für PR-Berater wegen Reputationsschäden Kosten für Sicherheitsberater undauszugsweise die Kosten für Wiederherstellung der Daten nach Hackerangriff.
Vermittler scheuen Kundengespräche zum Cyber-Schutz
Nun dürfte man glauben, dass Mittelständler aus der Versicherungsbranche, die tagtäglich die Risiken anderer Menschen prüfen und versichern, mit den eigenen Gefahren bewusster umgehen. Aber dem ist wohl nicht so. Sowohl für die eigene Firma als auch für die der Kunden wird das Thema „Folgen von Cyberkriminalität“ noch nicht genügend berücksichtigt.
Nach Branchenangaben haben im Mittelstand nur etwa 15 Prozent der Firmen Policen gegen finanzielle Folgen von Cyberangriffen. Aber auch bei Großfirmen ist ein Anteil von 30 Prozent eher bescheiden. Als Grund dafür sieht die „Assekuranz-Zeitung“, dass Versicherungsvertriebe und Makler um den als aufwendig und haftungsträchtig empfundenen Risiko einen Bogen machen. Mit der Konsequenz, dass Risiken in den Unternehmen unentdeckt bleiben, weil Vermittler im Kundengespräch nicht danach fragen.
Doch nicht nur Versicherungsvermittler haben ihre Schwierigkeiten mit den Cyberrisiken. Ähnliche Probleme haben auch die Produktanbieter und deren Aktuare.
Versicherungsprodukte gegen Webgefahren sind kompliziert
“Cyberrisiken sind versicherungsmathematisch schwerer zu handhaben als Naturkatastrophen”, sagt Onnen Siems, Geschäftsführer von der aktuars Firma MSK. “Das Problem mit der Bewertung von Cyber-Risiken ist, dass es sich um ein relativ neues Risiko handelt.“
Im Gegensatz zu den herkömmlichen Schadenversicherungen gibt es nur wenig Erfahrungen sowohl bei der Übernahme von Deckungen der Risiken als auch bei der Regulierung von Schäden. Aktuar Siems beschreibt Anforderungen für Beratung mit Cyberpolicen so: „Ein Risikomanager, der ein Unternehmen im Underwritingprozess aufsucht, muss entsprechend IT-Fachmann und Versicherungsspezialist sein. Er muss prüfen können, ob Grundvoraussetzungen ISO 27001 oder der IT-Grundschutz gelebt werden oder nicht nur auf dem Papier existieren. Ohne derartige Zertifikate und ohne eine Katalogisierung von bis dato aufgetretenen Schadensfällen halte ich ein Unternehmen übrigens für nicht versicherbar.“
Gefahren aus dem Cyberspace bringen auch Chancen
Unbesehen bringt die Cyberkriminalität große volkswirtschaftliche Schäden. Es entstehe daraus aber auch Chancen für Schutzsoftwareanbieter, spezialisierte Sicherheits und Versicherungsberatungen.
Die Risiken aus dem Web sind als Geschäftsfeld für Versicherungen gegen Cyber-Risiken als Geschäftsfeld interessant. Nach Schätzungen soll der Markt mit Cyberpolicen in vier Jahren schon bei über einer Milliarde Euro liegen. Das wäre nach dem aktuellen Prämienvolumen mehr als eine Verzehnfachung des Prämienvolumen. Damit könnte auch ein neues Feld der Betätigung für Spezialanbieter und Spezialmakler wachsen. Als Unternehmensberater bezeichne ich dies ganz gerne als
„Chancen in der Nische“
Ihre Erfahrungen mit dem Thema Cyber-Risiken interessieren sicher auch die Leser unserer Kolumne. Wir sind gespannt.
Dr. Peter Schmidt 
Experte Personenversicherungen und Unternehmensberater im Bereich Versicherungen, Vertriebe und Makler mit langjähriger Erfahrung als Führungskraft und Vorstand bei deutschen Versicherern und twittert als „assekuranzdoc“. Besuchen Sie auch seine Webseite und werden Sie Fan von Dr. Schmidt auf Facebook.
