Schäden, gegen die sich Unternehmen inzwischen versichern können. Vor fünf Jahren kamen in Deutschland entsprechende Policen auf den Markt. Bislang lief das Geschäft damit schleppend, doch mittlerweile steigt die Nachfrage laut Experten stark an und viele Versicherer arbeiten an Angeboten für den Mittelstand. „Wir gehen davon aus, dass uns im Bereich der Cyberversicherungen bald der Einstieg in das Massengeschäft bevorsteht“, sagt Peter Graß, Bereichsleiter für Haftpflichtversicherung beim Gesamtverband der Deutschen Versicherungswirtschaft (GDV).

Dazu, wie groß der Markt mit Cyberversicherungen zurzeit ist, hält sich die Branche bedeckt. Branchenkenner sprechen von 9000 bis 10.000 abgeschlossenen Policen in Deutschland und einem Gesamtumsatz im zweistelligen Millionenbereich. Das sei zwar nicht viel, doch die Wachstumsrate bewege sich im zweistelligen Bereich. Für Großunternehmen, die viele Kundendaten und Geschäftsgeheimnisse schützen müssen, gibt es maßgeschneiderte Versicherungen.

Abgedeckt werden zum Beispiel Kosten durch Betriebsunterbrechungen, Schäden, die Dritten entstehen und Schäden durch so genannte Cryptosoftware, die die Daten ihrer Opfer durch Verschlüsselung unzugänglich macht. Auch die Kosten für Hardware, die sich nach einem Cyberangriff nicht mehr benutzen lässt sowie für IT-Fachleute, die den entstandenen Schaden analysieren und wieder aufräumen, lassen sich so versichern.

Jenseits solcher individueller Lösungen fällt es den Versicherern noch schwer, das Cyberrisiko in einem Unternehmen einzuschätzen. Noch mangelt es an Standardversicherungen, die für kleine und mittlere Unternehmen attraktiv wären. „Wir sehen aber auch, dass das Bewusstsein für Cybersicherheit bei kleinen und mittleren Unternehmen noch nicht so stark ausgeprägt ist“, sagt Graß.

Gleichzeitig steige dort aber die Bedrohung am stärksten an, erklärt Sebastian Brose, stellvertretender Abteilungsleiter für den Bereich Firmen und Fachkräfte bei der VdS Schadenverhütung. Das Tochterunternehmen der GDV bietet Zertifizierungenen für den Mittelstand an. So sollen Unternehmen Mindeststandards wie einen Informationssicherheitsbeauftragten, den Umgang mit Datenbackups und einen Basisschutz wie Virenschutz und Firewall nachweisen, damit ein Versicherer das Sicherheitsrisiko eines Unternehmens abschätzen kann.

„Solche Standards sorgen dafür, dass Cybersicherheit im vernünftigen Maß im Unternehmen vorhanden ist und der Versicherer nicht das offene Scheunentor versichern muss“, sagt Brose. Große Unternehmen hätten inzwischen ihre Hausaufgaben gemacht, weshalb vermehrt mittelständische Unternehmen wie etwa Zulieferer ins Visier Krimineller gerieten.

In die Schlagzeilen hingegen geraten bei einer Cyberattacke meist nur große Unternehmen wie Sony oder spektakuläre Hacks wie der auf die Seitensprung-Onlineplattform Ashley Madison. Inzwischen trifft es aber immer häufiger auch kleine und mittlere Unternehmen, wie etwa ein Krankenhaus in Neuss, ein Fachgeschäft in der Grafschaft und ein Autohaus in Balingen. Darüber sprechen wollen die meisten Unternehmer nicht oder nur hinter vorgehaltener Hand.

Die Angst, dass das Ansehen des Unternehmens Schaden nehmen könnte, ist groß. Viele Mittelständler sagen aber, dass ihnen Cyberversicherungen bislang zu teuer seien. „Die Versicherungsbranche wünscht sich mehr Abschlüsse, bisher bleiben die aber hinter den Erwartungen zurück“, sagt Mark Loewen, Versicherungsexperte bei der R+V Versicherung. Auch seine Versicherungsgesellschaft arbeitet an Cyberpolicen für Unternehmen, bietet solche Versicherungen bislang aber nur für Privatpersonen an. „Erst wenn die Preise bei Cyberpolicen für Unternehmen fallen, wird die Nachfrage steigen“, prognostiziert er.

Die Kosten einer Cyberpolice bemessen sich in der Regel nach dem Umsatz des Unternehmens. Die Allianz etwa rechnet vor, dass ihr Produkt „Cyberschutz für den Mittelstand“ für einen Kunden mit vorhandenem Schutz gegen IT-Risiken und einem Jahresumsatz von einer Million Euro 1392 Euro pro Jahr kostet. Der Versicherungsschutz deckt unter anderem Schäden im eigenen Unternehmen, Schäden bei Dritten sowie Serviceleistungen wie Schadenermittlung und Krisenkommunikation ab. Auch Zurich und Axa bieten entsprechende Policen an.

Marc Fliehe, IT-Sicherheitsexperte beim Digitalverband Bitkom, sieht Cyberversicherungen als sinnvollen Baustein, mahnt aber auch zur Vorsorge. „Unternehmen müssen sich zuerst absichern, bevor sie sich versichern“, sagt er. „Deutsche Unternehmen haben da unserer Ansicht nach noch Nachholbedarf.“ Das Risiko eines Angriffs werde weiter steigen. Zum einen, weil immer mehr Unternehmen Geräte und Anwendungen mit dem Internet verknüpfen, zum anderen, weil die Angreifer immer professioneller vorgehen würden.

„Das Risiko steigt schneller als die Nachfrage nach Cyberversicherungen“, schätzt Felix Esser, stellvertretender Abteilungsleiter für Digitalisierung, Innovation und Gesundheitswirtschaft beim Bundesverband der Deutschen Industrie (BDI).Viele kleinere Unternehmen wüssten inzwischen über die Risiken Bescheid, bei der Umsetzung von Sicherheitsmaßnahmen würde es aber noch haken. Allerdings würde das Interesse der Großen steigen, bei ihren Zulieferern und kleineren Vertragspartnern auf die Sicherheit zu schauen. Viele Angreifer würden diese nämlich gezielt als Einfallstor nutzen, um Großunternehmen zu attackieren.

Teil 5:In der nächsten Woche geht es um den Bau des größten Cyberzentrums der Welt in Israel.