Dramatische Prämiensteigerungen und die Absenkung der Versicherungssumme prägen derzeit den Markt in der Cyberversicherung. Zudem gibt es massiven Streit um zu weitgehende Pflichten, die die Versicherer im Schadenfall nutzen, um keine Leistung erbringen zu müssen.
"Im Schadenfall berufen sich viele Versicherer bei Cyberpolicen immer wieder darauf, dass das IT-System nicht dem Stand der Technik entspricht", sagte Achim Fischer-Erdsiek, Vorstand beim Bundesverband Deutscher Versicherungsmakler (BDVM) anlässlich eins Pressegesprächs. Gleichzeitig führen stark steigende Schadenquoten im Deutschen Cyber-Markt zu steigenden Prämien und sinkenden Kapazitäten. "Während die Prämiensätze teilweise verdoppelt werden, reduzieren die Versicherer die Limits auf rund 15 Millionen Euro", so Fischer-Erdsiek.
Schaden motiviert zum Schutz
Der Versicherungsmakler warnte die Branche. "Die Prämien dürfen nicht endlos erhöht werden, denn irgendwann werde es für die Kunden uninteressant". Gleichzeitig gibt es aber aufgrund vieler Schäden einen hohen Leidensdruck in der Wirtschaft. Immer mehr Unternehmen würden daher die Bedeutung eines Cyberversicherungsschutzes erkennen. Zudem würden Großunternehmen, etwa aus der Kfz-Branche, mittlerweile verlangen, dass sich die Zulieferer gegen Cyberkriminalität absicherten. Außerdem müssten Manager, die Cyberschutz fahrlässig nicht eindecken, damit rechnen, dass sie bei einem Schaden vom eigenen Unternehmen in den Regress genommen werden. Fischer-Erdsiek: "Viele Unternehmen lernen aber auch erst durch Schmerzen, also durch einen nicht versicherten Schadenfall." Laut den Kriminalbehörden würden 90 Prozent aller Cyberschäden nicht öffentlich.
Ärger bei Schadenregulierung
Deutliche Probleme gibt es laut dem BDVM in der Schadenregulierung. Während bei kleineren Schäden, die in der Regel zwischen 5.000 und 15.000 Euro kosten, meist problemlos geleistet würde, gebe es bei Großschäden im Bereich von 250.000 bis 500.000 Euro regelmäßig Probleme bei der Leistungserbringung durch die Assekuranzen. Hier würden regelmäßig Obliegenheitsverletzungen eingewandt. Die Generalklausel, dass der Kunde sein IT-System in Sachen Sicherheit immer auf dem "Stand der Technik" halten soll, hält Fischer-Erdsiek für eine Leistungsverweigerung durch die Hintertür. Die Unternehmen dürften eine solche Auflage in den Bedingungen nicht akzeptieren. Viel sinnvoller wäre es, wenn die IT-Sicherheit vor dem Versicherungsschluss zertifiziert würde. Eine hochwertige und doch kostengünstige Zertifizierung würde die Kölner VdS Schadenverhütung GmbH anbieten. Gefährlich wäre es zudem, wenn der Betriebsunterbrechungsschaden zeitlich eng begrenzt ist und Folgeschäden nicht eingeschlossen sind. "Wenn ein Online-Shop drei Tage stillliegt, hat er auch nach dem Neustart noch längere Zeit deutliche Umsatzeinbußen", erläuterte Fischer-Erdsiek. Daher müssten die Schäden durch eine Betriebsunterbrechung mindestens für sechs Monate abgesichert werden.
Cyber-Täter liefern "Arbeitsprobe" zur Entschlüsselung
Wirtschaftlich schützen kann man sich über eine Cyberpolice auch gegen Lösegeldforderung. "Bisher war ich immer recht skeptisch, was diesen Schutz anbelangt", sagte der BDVM-Vorstand. Denn es sei fraglich, ob sich eine Zahlung an die Täter, die das System mit sogenannten Verschlüsselungstrojaner lahmlegen, überhaupt lohne. Bisher sei nach einer Lösegeldzahlung nur in 10 bis 15 Prozent der Fälle der richtige Öffnungscode für die angegriffen IT-Systeme übermittelt worden. Zudem wären Zahlungen an Kriminelle auch ethisch und strafrechtlich höchst problematisch. Ein aktueller Fall hat den Cyber-Experten Fischer-Erdsiek aber nun umgestimmt. Angegriffen wurde ein Pharmazulieferer, dessen 24-Stunden am Tag laufende Anlage vollkommen zum Erliegen kam. Der Trojaner habe sich wohl tief in die Systeme eingefressen. Die täglichen Verluste beliefen sich auf 200.000 Euro. Die Täter verlangten ein Lösegeld von 500.000 Euro. "Wir haben in dem Fall einen Anwalt und das Landeskriminalamt eingeschaltet", berichtete Fischer-Erdsiek. Über das Darknet sei dann Kontakt zu den Tätern aufgenommen worden. "Sie lieferten dann vorab einen Code als Arbeitsprobe, mit dem Teile des IT-Systems wieder freigeschaltet werden konnten", so der Makler.
Die Lösegeldzahlung wäre daher eine Win-Win-Situation und der Versicherer habe sich als Notstandhelfer nicht strafbar gemacht. Laut Fischer-Erdsiek ließen sich viele solcher Schäden vermeiden. Dafür müssten Backups täglich physisch von der gesamten Anlage getrennt werden. "Andernfalls werden die mit Schadsoftware befallenen Daten immer wieder gesichert und gespeichert." Diese einfache Auflage würden aber viele Versicherer gar nicht als Pflicht fordern. Dabei könnten nach Meinung des Experten so Schäden vermieden werden, was zu einer Entspannung an der Prämienfront sorgen dürfte.
Autor(en): Uwe Schmidt-Kasparek