Handelsblatt print: Heft 59/2022 vom 24.03.2022, S. 28 / Finanzen
Durch den Ukrainekrieg wächst die Gefahr von Hackerangriffen. Doch eine Absicherung ist schwieriger denn je. Streit ist programmiert. Nie waren sie so wertvoll wie heute: Cyberversicherungen. Durch den Ukrainekrieg ist das Risiko von staatlich orchestrierten Hackerangriffen noch einmal deutlich gestiegen. Doch die neue Gefahrenlage verschärft ein Problem, das bereits vor dem russischen Überfall auf sein kleineres Nachbarland für reichlich Ärger sorgte: Für viele Unternehmen sind Cyberrisiken kaum noch versicherbar. Umgekehrt fürchten die Versicherer hohe Verluste durch bereits abgeschlossene Policen. Streit zwischen den Assekuranzen und ihren Kunden scheint in dieser Gemengelage programmiert.
Für diesen Befund gibt es drei Gründe: Oft ist unklar, ob und wie weit konventionelle Sach- oder Haftpflichtpolicen auch Cyberrisiken abdecken. Außerdem könnten die Versicherer versuchen, sich auf Klauseln zu berufen, die Schäden durchKriegshandlungen ausschließen. Und drittens wachsen die Zweifel, ob die Versicherer für Lösegeldforderungen der Hacker geradestehen werden, wenn die Profiteure möglicherweise unter die westlichen Sanktionen fallen.
Noch vor wenigen Jahren galten die Cyberversicherungen als der nächste große Megatrend, der Milliarden an Prämieneinnahmen in die Kassen der Versicherer spülen sollte. Spätestens mit dem Ukrainekrieg hat sich das vermeintlich lukrative Geschäft zum unkalkulierbaren Risiko gewandelt – für die Konzerne und für ihre Kunden. Der Industrieversicherer AGCS hatte jüngst Cybervorfälle erstmals als das größte Geschäftsrisiko für Unternehmen weltweit in diesem Jahr bezeichnet. Nirgends sonst ist das Risiko für Betriebsunterbrechungen größer.
Hackerangriffe sind für Unternehmen, Makler, Branchenverbände und Experten inzwischen die am meisten gefürchtete Ursache für Betriebsunterbrechungen. Einer Umfrage des Versicherers Axa zufolge zählen Risikoexperten Cyberangriffe neben dem Klimawandel zu den größten Risikofaktoren für die nächsten fünf bis zehn Jahre. Durch den Ukrainekrieg hat sich die Bedrohungslage noch einmal verschärft.
Schadenquoten liegen teils über 100 Prozent
Das Bundesamt für Sicherheit in der Informationstechnik warnt seit Wochen vor einer abstrakt höheren Gefahrenlage und speziell vor Angriffen auf die kritische Infrastruktur. Die Ratingagentur Fitch fürchtet, dass es zu verstärkten Hackerattacken kommt, die auch Firmen und Behörden treffen könnten, die normalerweise nicht zu den primären Zielen von Cyberangriffen zählen. Und die Ratingagentur Moody’s geht davon aus, dass ähnlich wie bei früheren Angriffen mit Schadprogrammen auch Organisationen betroffen sein könnten, die gar nicht das eigentliche Ziel waren. Das könnte zu hohen Schadenforderungen an die Cyberversicherer führen.
Dabei mussten etliche Versicherer bereits Verluste im Cybergeschäft verkraften, als mit dem Ausbruch der Coronakrise vor zwei Jahren die Mitarbeiter vieler Unternehmen ins Homeoffice wechselten und die digitale Infrastruktur plötzlich Schwächen offenbarte. „Einige Versicherer hatten im Cyberbereich in den letzten Jahren Schadenquoten von über 100 Prozent“, meint Johannes Behrends vom Versicherungsmakler Marsh. Das bedeutet, dass die Auszahlungen der Konzerne zur Kompensation
von Schäden die Prämieneinnahmen überstiegen.
Die Folgen für die Kunden waren massiv steigende Prämien und hohe Selbstbehalte. Sofern sie inzwischen überhaupt noch Versicherungsschutz erhalten. Vor allem Mittelständler bekämen wegen ihrer verbesserungswürdigen Informationssicherheit häufig keine passenden Angebote mehr, beobachtet Behrends. Dabei wäre hier mehr Schutz dringend nötig. Laut einer Umfrage der Gothaer besitzen gerade 16 Prozent der Mittelständler eine Cyberversicherung. Bereits seit Jahresanfang beobachten Experten Cyberschäden auf Rekordniveau. Das treibt die Kosten für eine Absicherung weiter in die Höhe. Behrends nennt für eine Standarddeckung, die in der Regel 25 Millionen Euro umfasst, folgende Faustregel: „Vor ein paar Jahren konnte ein Unternehmen des gehobenen Mittelstands mit einem Umsatz von etwa einer
Milliarde Euro eine solche Deckung noch für eine Prämie von circa 125.000 Euro einkaufen. Heute zahlen die Firmen bis zu 500.000 Euro pro Jahr.“
Ein Trend, der sich mit dem Ausbruch des Ukrainekonflikts verstärken dürfte. Bereits im vergangenen Jahr kam es in Deutschland zu Preissteigerungen von durchschnittlich 40 Prozent. Im gehobenen Mittelstand gab es 2021 vereinzelt sogar Beitragssteigerungen von 300 Prozent. „Auch in diesem Jahr rechnen wir mit Prämienerhöhungen in ähnlicher Höhe“, so Behrends.
Ein Problem, das die Cyberrisken für die Versicherer so schwer kalkulierbar macht, ist in der Branche unter dem Stichwort „Silent Cyber“ bekannt. Die teuren Folgen von Hackerangriffen können auch durch konventionelle Sach- oder Haftpflichtpolicen gedeckt sein, weil viele Policen abgeschlossen wurden, als mit hohen Schäden durch Hackerangriffe noch nicht zu rechnen war. Wenn zum Beispiel eine Kühlanlage durch eine Cyberattacke ausfällt und dadurch ein Feuer entsteht, könnte der Versicherer für den Schaden aufkommen müssen, weil der Brand durch eine klassische Gebäudeschutzversicherung abgedeckt ist.
Für die Versicherer bedeutet das, dass die Prämien die drohenden hohen Kosten durch Hackerangriffe nicht widerspiegeln. Deshalb müssen die Konzerne bei jeder neuen Gefahrenlage die bestehenden Verträge überprüfen, ob die Bedingungen neu auftauchende Risiken erfassen. Andernfalls muss nachgearbeitet werden, um Streitfragen zu vermeiden. „Dieser Prozess ist für die Branche aufwendig und teuer, bei den Kunden führt eine Anpassung der Police in der Regel zu höheren Prämien“, meint Experte Behrends.
Außerdem stellt sich anders als bei den Hackerangriffen zu Beginn der Coronapandemie in der Ukrainekrise die Frage, ob Schäden durch russische Hacker überhaupt versichert sind. Denn die Cyberpolicen enthalten in der Regel Klauseln, die die Entschädigung für Schäden, die durch Krieg oder kriegsähnliche Ereignisse entstanden sind, ausschließen.
Die Formulierungen in den Versicherungsbedingungen sind allerdings sehr unterschiedlich. Zudem ist fraglich, ob diese Ausschlüsse für Versicherte außerhalb des eigentlichen Kriegsgebiets in der Ukraine gelten. Schließlich befindet sich Deutschland mit Russland nicht im Krieg. „Die Frage nach einer möglichen Entschädigung ist nicht pauschal in eine Richtung zu beantworten“, meint Edgar Puls, Chef der Industriesparte beim Versicherer Talanx.
Kontroversen zwischen Versicherern und Kunden erscheinen unausweichlich. Denn die einfache Gleichung, wonach jeder Hackerangriff aus Russland in Zusammenhang mit dem Krieg steht, funktioniert nicht. Marcel Straub, Schadenexperte beim Insurtech Finlex, betont, dass sich ein Kriegsausschluss vornehmlich auf physische Kriegsakte beziehe. Die Versicherer dürften den Ukrainekonflikt dagegen als hybriden Krieg bewerten, in dem Cyberattacken genau wie physische Angriffe zum Kriegsgeschehen gehören. Mancher Versicherer prüfe daher, ob die Kriegsausschlussklausel greife, heißt es aus der
Branche. Bei einer solchen Auslegung wäre ein Angriff russischer Hacker auf deutsche Unternehmen nicht versichert.
Offiziell üben sich die Versicherer in Diplomatie. Zu frisch sind die Erinnerungen an juristische Auseinandersetzungen um die Betriebsschließungsversicherungen in der Pandemie. Weil es zwischen den Konzernen und ihren Kunden vor allem in der Gastronomie Streit darüber gab, ob die Schließung während der Lockdowns durch die Policen abgedeckt war oder nicht, kam es zu öffentlichkeitswirksamen Gerichtsprozessen. Das will die Branche beim Thema Cyberversicherungen vermeiden. „Bei Standardpolicen gibt es schon Erfahrungen aus der Geschichte, was auszuschließen ist und was respektiert wurde“, sagt Michael Pickel, Chef der deutschen Hannover-Rück-Tochter E+S.
Ein weiteres Problem ist die Identifikation der Hacker. Wie lässt sich feststellen, ob ein Cyberangriff staatlich gelenkt ist oder von Kriminellen verübt wird, denen es vor allem um finanzielle Gewinne geht? Im zweiten Fall fehlt juristisch betrachtet die zielgerichtete Handlung eines angreifenden Staates. Ein Hackerangriff wäre somit zu behandeln wie in Friedenszeiten, und die Kriegsausschlussklauseln würden nicht greifen. Hacker geben in der Regel ihren Auftraggeber nicht preis, gibt Finlex-Experte Dennis Wrana zu bedenken. Das mache es zumeist unmöglich, den tatsächlichen Ursprung des Angriffs zu lokalisieren.
Für Streit könnte auch die Zahlung von Lösegeldern sorgen. Häufig greifen Hackergruppen gezielt Unternehmen an und verschlüsseln deren Daten oder Systeme. Erst nach Zahlung einer hohen Summe werden diese wieder freigegeben. Cyberpolicen mit einem Baustein für Lösegeldzahlungen sind am Markt weit verbreitet. Allerdings zeichnet sich auch hier ein Wandel ab. In Deutschland sind Lösegeldforderungen in der Regel noch versicherbar, in Frankreich haben sich einzelne Versicherer schon davon abgewendet.
Sollten russische Hackergruppen deutsche Unternehmen attackieren, erwartet Finlex-Experte Wrana, dass Versicherer keine Lösegeldzahlungen leisten werden. Denn davor müssen sie einen sogenannten Sanktions- und Compliance-Check durchführen. Zahlt ein Versicherer, obwohl der Angreifer oder der letztendliche Profiteur der Lösegelder auf einer Sanktionsliste des Westens steht, droht dem Konzern und dem versicherten Unternehmen die Gefahr, selbst auf die Sanktionsliste gesetzt zu werden.
Versicherungsbranche: Veränderung der quarteilsweisen Prämienentwicklung in der Schaden- und Unfallversicherung weltweit in Prozent 4.Q.2020 bis 4.Q.2022, Veränderung Prämienentwicklung in der Cyberversicherung in ausgewählten Ländern und Regionen in Prozent 4.Q.2021 (MAR / Grafik)
Schier, S.
Schnell, C.
Quelle: Handelsblatt print: Heft 59/2022 vom 24.03.2022, S. 28
Ressort: Finanzen
Branche: DIE-06-08 Sachversicherungen & Haftpflichtversicherungen P6330
DIE-06 Versicherungswesen P6300
Dokumentnummer: 6933A9DB-C41E-46FA-B9B4-DAF4EDA9601E
Dauerhafte Adresse des Dokuments:
https://archiv.handelsblatt.com/document/HB__6933A9DB-C41E-46FA-B9B4-DAF4EDA9601E%7CHBPM__6933A9DB-C41E-46FA-B9B4-DAF4EDA9601E
Alle Rechte vorbehalten: (c) Handelsblatt GmbH – Zum Erwerb weitergehender Rechte:
nutzungsrechte@handelsblattgroup.com
© GBI-Genios Deutsche Wirtschaftsdatenbank GmbH