Die Cyberschäden liegen allein in Deutschland bei über 200 Milliarden Euro, zeigt die aktuelle Studie von Bitkom. Hat das Thema Cybercrime eine neue Dimension erreicht?
Arias: Die Frage ist schwer zu beantworten. Denn auf welche Basis stützen wir uns. Wir reden bei Cyber immer noch über ein sehr neues Risiko, das deswegen so gefährlich ist, weil wir eben immer noch so wenig darüber wissen. Mit jeder neuen Entdeckung, mit jedem neuen Angriff, mit jeder neuen Schadsoftware, sehen wir eine neue Dimension. Ich bin der Meinung, dass wird in den nächsten Jahren so weiter gehen.
Berger: Wir sehen natürlich gewisse Muster. Was sich tatsächlich entwickelt, ist, dass es sich immer mehr in die Breite zieht. Das heißt, wir führen immer mehr mit Mittelständlern und kleineren Unternehmen Diskussionen, die wir vor ein, zwei Jahren nur mit Großkonzernen geführt haben. Der Schutz bei den kleinen Unternehmen ist einfach ein ganz anderer als bei den großen. Insofern sehen wir auch die Dimensionen, die in der aktuellen Bitkom-Studie vorgestellt wurden. Das ist mittlerweile eine Entwicklung, die wir als Risikoträger mit Sorge betrachten.
Will: Ich war ein Stück weit erschrocken, wenn man sich das Schadenpotenzial vergegenwärtigt. Wir haben alle die Schäden durch die Flutkatastrophe vor Augen. Das sind Milliarden. Aber wenn man das Schadenvolumen von über 200 Milliarden Euro durch Cyberattacken sieht, das Bitkom hier in den Raum stellt, hat das noch eine ganz andere Dimension.
Und das nehmen wir einfach zur Kenntnis? Also das Potenzial, auch an organisierter Kriminalität, das dahintersteckt, ist immens. Und wenn man heute über Digitalisierung spricht, muss man eigentlich immer über Cyber mitsprechen. Und darüber, wie enorm das Bedrohungspotenzial ist. Das macht einem schon Sorgen. Und es ist nicht nur ein Thema des Versicherungsschutzes, sondern es ist viel globaler zu sehen.
Eine Studie der Gothaer zeigt, dass 46 Prozent der kleinen und mittelständischen Unternehmen eine Cyberattacke fürchten. Andererseits hapert es gerade dort an der Absicherung.
Will: Der Faktor Mensch spielt hier eine entscheidende Rolle und man läuft den Entwicklungen meist hinterher. Assekurata ist als mittelständisches Unternehmen sensibilisiert. Allerdings ist man nie völlig frei von der Sorge vor Angrifffen. Insofern spielen elementare Dinge wie Business-Continuity-Management und Business-Impact-Analysen eine wichtige Rolle. Macht ein Unternehmen so etwas, kennt es seine kritischen Geschäftsprozesse. Beim Thema Cyber geht es nicht nur um den Schutz. Wenn etwas passiert, wie bin ich dann aufgestellt? Wie kann ich meinen Geschäftsbetrieb wieder ans Laufen bekommen? Wie groß werden die Betriebsunterbrechungsschäden sein?
Es geht nicht nur darum, dass die Technik für eine kurze Zeit unterbrochen ist, sondern um die gesamte Prozesskette. Darüber wird wahrscheinlich noch zu wenig nachgedacht. Versicherer zum Beispiel müssen solche Auswirkungsanalysen für ihren Geschäftsbetrieb nach einer gerade neu erschienenen Fassung der VAIT verbindlich durchführen.
Was erleben Sie, wenn Sie über Cybersicherheit sprechen?
Berger: Es gibt kein einheitliches Bild. Ich kann nicht sagen, dass die kleinen Unternehmen durch die Bank schlechter aufgestellt sind als die großen. Die Tendenz ist aber, dass die größeren, auch weil sie die Bedrohungslage besser kennen, sich der Themen anders bewusst sind. Gerade das Business-Continuity-Management sehen wir kritisch. Dort gibt es die meisten Schäden. Hier fällt es der Großindustrie leichter, umzudenken. Kleinere Betriebe tun sich da schwer. Insofern müssen wir dort mehr Aufklärungsarbeit leisten. Warum sind die Dinge, wie sie sind? Warum stellen wir die Fragen, die wir stellen? Da geht es um das Risikomanagement des Unternehmens. Viele Unternehmen sind dort leider noch nicht so aufgestellt, wie sie es sein sollten.
Pingsmann: Wir haben in den letzten zwei bis drei Jahren einen Schritt nach vorne gemacht. Heute dürfte jeder Kunde die Begriffe Verschlüsselungstrojaner oder Ransomware-Attacke gehört haben. Und es ist auch bekannt, dass es Cyberversicherungen gibt.
Das Problem ist, dass gerade KMU-Unternehmen die Schadensfälle und die Auswirkung auf den Betrieb nicht nachvollziehen können. Einem Mittelständler bringt es nichts, was bei einer Fluglinie passiert ist, der 500.000 Kreditkartendaten entwendet wurden. Das kann er nicht in seiner betrieblichen Realität einordnen. Das heißt, die Schadenbeispiele müssen vom Vertrieb, den Versicherungs- und IT-Beratern, den Kunden nähergebracht werden. Die Dunkelziffer von Cyberattacken ist sehr hoch und sie werden kaum Betroffene finden, die damit offen umgehen.
Es gibt Ausnahmen, die schildern, wie sie eine Cyberattacke erlebt haben. Und die leisten wichtige Aufklärungsarbeit. Unternehmer können sich ganz genau vorstellen, wie es nach einem Hochwasser oder einem Brand aussieht. Aber die Folgen einer Cyberattacke kann sich kaum jemand ausmalen. Leider fehlt den Vermittlern hier die Schadenerfahrung. Wir haben einen Teufelskreis, den wir an vielen Stellen durchbrechen müssen.
Es gab vor wenigen Wochen eine Ransomware-Attacke auf die Haftpflichtkasse Darmstadt. Das ist insofern spannend, weil ein Versicherer eigentlich ganz andere Sicherungsmaßnahmen haben sollte. Schrillen da bei Ihnen nicht sämtliche Alarmglocken?
Berger: Absolut. Aber das taten sie auch vorher schon. Zurich ist ein weltweit tätiger Konzern und wir haben damit natürlich auch eine entsprechende IT-Security, die weltweit vernetzt und gesteuert ist. Im Detail kann ich nicht darüber sprechen, aber auch wir sehen tatsächlich einen Anstieg der Angriffe.
Man sieht bei internationalen Schadenfällen oder Lösegeldforderungen schon gewisse Ähnlichkeiten. Wir wissen, dass wir und andere Marktteilnehmer momentan erhöhten Traffic bei dem Thema haben. Es ist nicht besorgniserregend, aber wir stellen uns doch die Frage, ist das gezielt so oder liegt das nur daran, dass momentan insgesamt mehr los ist. Ich glaube, auch da müssen wir in der Versicherungswirtschaft zu einem Umdenken kommen. Was die Unterbrechungen angeht, sind wir als Versicherer etwas entspannter.
Denn ob wir jetzt zwei Tage offline sind oder nicht, als Versicherer könnten wir tatsächlich noch mit Stift und Taschenrechner rechnen. Je mehr ich als Versicherer vom Online-Traffic und den Abschlüssen abhängig bin, desto gravierender wird es. Natürlich kann man für eine gewisse Zeit umschwenken. Wir haben dafür Prozesse, aber trotzdem beeinträchtigt es den Geschäftsbetrieb. Und was natürlich nicht zu vergessen ist, ist, wie bei allen Unternehmen in der Finanzbranche, der Reputationsschaden.
„Warum wird Cyber nicht stark nachgefragt? Versicherern, Maklern und Kunden fehlt noch ausreichend Wissen über Cyber.“
Pingsmann: Ich glaube, dieser Vorfall hat der ganzen Branche einen Schub gegeben. Die E-Mail, dass die Haftpflichtkasse bis auf Weiteres nicht telefonisch oder per E-Mail erreichbar ist, haben an diesem Morgen 16.000 Vermittler bekommen. Ich glaube, wir haben noch nie an einem Tag so viele Versicherungspolicen an Vermittler selber verkauft. Allerdings ebbte das relativ schnell wieder ab. Es war ein Weckruf, dass auch ein Versicherer betroffen sein kann. Dabei ist das gar nichts Besonderes, denn auch ein Versicherer ist streng genommen ein mittelständisches Unternehmen, allerdings extrem exponiert. Ich bin sicher, dass der Fall auch noch durch die Finanzaufsicht aufgearbeitet werden dürfte.
Arias: Warum wird die Cyberversicherung noch nicht stark nachgefragt wie andere Versicherungen? Wir haben die Versicherer, die Makler und die Kunden. Und allen drei fehlt noch ausreichend Wissen über Cyber. Wenn der Risikoträger sich bei der Bewertung des Cyberrisikos im faktoriellen aktuariellen Bereich, also im Pricing, auf mathematische Modelle stützen muss, mehr als dass er Fakten hat, dann ist dies erst einmal wie das Tappen im Dunkeln. Und etwas anderes als etwa in der Berufunfähigkeit oder Kfz-Versicherungen, wo Daten seit Jahrzehnten gesammelt und ausgewertet werden. Auf der anderen Seite haben Sie den Makler, der selber in der Haftung steht, wenn er falsch berät.
Aber wie ist das Wissen über Cyber. Also das heißt, Bedeutet konkret, dass das Risiko der Falschberatung ist natürlich in einer Sparte, wo sehr wenig Wissen vorhanden ist, viel größer als bei einer Sparte, die jetzt seit 20 oder 30 Jahren beraten wird. Und dann haben Sie den Kunden, der vermeintlich glaubt, über eine Haftpflicht-, eine Sach- und eine D&O abgesichert zu haben sein, und im Zweifel im Rahmen eines Cyber-Schadenfalles teures Lehrgeld bezahlen muss.
Will: Der Cyberschutz ist eine eigene und für sich stehende Absicherung, die zunehmend an Bedeutung gewinnt. Die Haftpflichtkasse hat erst nach Tagen den Betrieb wieder richtig aufnehmen können. Stellen Sie sich vor, Sie haben eine 14-tägige Betriebsunterbrechung. Im Cyberfall – und das macht es ja in vielen Fällen so besonders – sind diese meist globaler als eine normale Betriebsunterbrechung.
Üblicherweise kommt es zu Teilunterbrechungen des Geschäftsbetriebes wie bei einem Feuer im Materiallager. Bei Cyber kann es passieren, dass der Gesamtbetrieb stehen bleibt. Warum? Weil durch die Vernetzung der IT-Systeme die Unterbrechung viel umfassender ist. Zudem gibt es Wissenslücken bei Versicherern, Maklern und Kunden. Gerade die Versicherer, und das sehe ich als eine Riesenchance, können hier ein ganzes Ökosystem aufbauen – wenn sie Kunden ganzheitlich betreuen und beraten, also von Prävention bis hin zur Schadenregulierung.
Laut einer Studie von Hiscox liegt der durchschnittliche Cyberschaden bei 72.000 Euro. Können Sie das bestätigen?
Berger: Wir sehen tatsächlich Schadenfälle, die sind mit wenigen tausend Euro für einen IT-Forensiker erledigt, weil sie in der allerersten Stufe abgewehrt werden können. Weil ein Mitarbeiter geistesgegenwärtig alle Stecker gezogen hat. Und dann sehen wir die Schäden in zweistelliger Millionenhöhe. Es geht hier dann um Datenschutz oder auch um große Betriebsunterbrechungen. Und um Ransomware-Attacken. Insofern erwarten wir von unseren Kunden, wie Herr Will es eben erläutert hat, dass sie sich Gedanken machen, wie hoch der Betriebsunterbrechungsschaden an einem Tag sein könnte, und dass dann auch diese Summen abgesichert werden.
Pingsmann: Ich kann nur aus dem KMU-Segment zitieren. Aber die Durchschnittsgröße, die Sie genannt haben, kommt diesen Szenarien sehr nah. Stellen Sie sich vor, Sie haben ein Unternehmen mit 2,5 Millionen Euro Umsatz und 300.000 Euro Gewinn vor Steuern. Wenn ein solches Unternehmen von einer simplen Ransomware-Attacke betroffen ist, fallen locker 15.000 Euro bis 20.000 Euro für Incident Response und IT-Forensik an.
Meistens erfolgt die Notfallunterstützung durch den IT-Dienstleister, der das Unternehmen normalerweise betreut. Der ist in der Lage, die Strukturen wiederherzustellen, also Netzwerke, Dateiablagen. Er kann alles von Grund auf neu aufzusetzen. Die Rechnungen dort liegen in der Regel bei 30.000 bis 40.000 Euro. Da haben wir aber noch nicht von Betriebsunterbrechungen und Datenschutzrisiken gesprochen. Ein Cyberschaden kann ein Unternehmen den Jahresgewinn kosten.
Arias: Wir als Victor sind vornehmlich im KMU-Bereich tätig. Man muss hier klar unterscheiden. Eine Rechtsanwaltskanzlei hat ein anderes Cyber-Risiken-Schadenpotenzial als ein Unternehmen aus dem medizinischen Sektor. Diese Erkenntnis zieht sich durch alle Branchen. Hinzu kommt: Handelt es sich um ein DAX-Unternehmen, ein KMU oder ein Micro Business? Meine Erfahrung ist, dass die Stunde der Wahrheit mit der Qualität des Serviceanbieters schlägt.
Also dem Dienstleister, der direkt angerufen werden kann und die Kompetenz hat, dieses Cyber-Risiko und zum Beispiel den Virus im Keime zu ersticken. In dem Fall bleibt das Unternehmen, in Anführungsstrichen, nur auf den Tagessätzen sitzen. Das ist nichts im Verhältnis zu dem Hebeleffekt, wenn wir über die Line of Defense hinausgehen, also über eine Betriebsunterbrechungen oder Datenschutzverletzungen reden.
Dort lauern dann sehr hohe Risiken und Kosten – für den Versicherer, aber auch für den Kunden. Dann sprechen wir je nach Branche und Größe des Unternehmens nicht mehr über 10.000 bis 15.000 Euro, sondern vom Sechs- bis Siebenfachen.
