Emanuel Lampert. Das „Millionen-Erbe“ aus Südafrika, die „Bank“, die Kundendaten bestätigt haben will: Sind solche Mails schon Cybercrime? Ohne es versicherungstechnisch zu werten: Im Grunde sind all das Betrugsversuche, und es ist nicht mehr nur ein Trend, sagt Natascha Jäger, CEO Austria für die Cogitanda Dataprotect AG, Niederlassung Österreich, in einem Expertengespräch des Börsen-Kurier. Es gebe inzwischen viele Tools, die selbst Kleinkriminelle einsetzen können.

Und in welchem Rahmen bewegt sich der Schutz einer Cyberversicherung? „Wenn man es terminologisch herunterbrechen will, geht es um die Verletzung von Vertraulichkeit, Verfügbarkeit oder Integrität von Computersystemen“, skizziert Stephan Eberlein, Group Practice Leader Financial Lines vom Versicherungsmakler Greco. Viele Fälle der eingangs geschilderten Art dürften ihm zufolge nach den klassischen Musterbedingungen im Markt deshalb keine Cyberversicherungsfälle sein.

Grenzen der Cyberversicherung
Angenommen, eine App fürs Auto wird gehackt und selbiges gekapert, oder jemand bricht digital ins Smart Home ein: Wo ist die Grenze zwischen dem, was ohnehin zum Beispiel eine Kasko deckt, und der Cyberversicherung? Peter Loisel, er ist Country Head Austria bei Finlex, sieht im Gespräch Überlappungen zwischen einzelnen Sparten schwinden: In der Sach- und Haftpflichtversicherung gebe es immer mehr Cyberausschlüsse, „sodass die Cyberversicherung immer wichtiger wird“.

In der traditionellen Sachversicherung gebe es für die Betriebsunterbrechungsversicherung einen materiellen Auslöser wie Feuer oder Flut, sagt Johannes Gschossmann, Line Manager Financial Lines, Eastern Region, beim Versicherer Chubb. Der zusätzliche Wert der Cyberversicherung sei, dass sie einen „immateriellen Auslöser“, das Hacking, das die Firma zum Stillstand bringt, einbeziehe.

Martin Beste, Geschäftsführer der R+V in Österreich, sieht die Grenzen einer Cyberversicherung etwa bei Ereignissen wie Krieg, Rebellion oder staatlich veranlassten Handlungen wie Spionage oder Cyberkrieg. Ob und wie ein Unternehmen cyberversichert werden kann, hänge auch von Faktoren wie der Betriebsart oder der möglichen Versicherungssumme ab.

Schadenpotenzial ermitteln
Homeoffice, Privatgeräte im Unternehmens-einsatz: Eberlein sieht hier die Unternehmen in der Pflicht. Für sie gehe es um Krisenmanagement und Abgeltung eines finanziellen Verlusts. Auch wenn „noch immer viel zu tun ist“, sagt Jäger, das Risikobewusstsein habe sich seit den Lockdowns deutlich gebessert. Für sie ist Gerätewartung ebenso Unternehmenssache wie die Ausstattung der Mitarbeiter mit sicheren Arbeitsmitteln. Es gehe schließlich auch um schützenswerte Unternehmensdaten.

Wichtig ist, dass sich Unternehmen bewusstwerden, „was in Gefahr ist“, was der Schadenfall kosten würde und wie ihr Sicherheitskonzept aussieht, betont Gschossmann. Für die Absicherung gegen individuelle Attacken könne und sollte man „möglichst breit“ Versicherungsschutz kaufen, „denn die Wahrscheinlichkeit, attackiert zu werden, ist in den vergangenen zwei Jahren doch sehr stark gestiegen“.

Cyberkriminalität habe sich zu einer „gewinnorientierten“ Industrie entwickelt, warnt Beste. Nicht mehr das „Ob“ eines Vorfalls, sondern das „Wann“ sei die Frage. Die R+V empfehle daher für jedes Unternehmen eine Cyberversicherung.

Pricing „höllisch schwierig“
Loisel verweist auf Prognosen, wonach der Cyberversicherungsmarkt in den nächsten 20 Jahren um 25 % pro Jahr wachse. Es sei aber „ein Wachstum mit Schmerzen“, denn „dummerweise steigen auch die Kosten“. Das Pricing in der Cyberversicherung sei „höllisch schwierig“, andererseits sei unverständlich, wenn man Preise ungeachtet des bisherigen Schadenverlaufs anhebe.

Gschossmann argumentiert, das Schadengeschehen habe sich vor zwei bis drei Jahren deutlich verschärft, bedingt durch verstärkte Ransomware-Angriffe und komplexer gewordene Attacken. „Die Angreifer lernen. Sie waren auch in der Lage, sehr große Unternehmen über lange vorbereitete Attacken stillzulegen.“ Selbst, wenn man noch nicht attackiert wurde, steige die Wahrscheinlichkeit dafür. Auch das systemische Risiko sei zu berücksichtigen: „Was ist, wenn eine Attacke abertausende Polizzen ‚abräumt‘?“

Die beobachteten Preissteigerungen seien „teilweise wirklich eklatant“ gewesen, sagt Jäger. Gemessen an den möglichen Kosten eines Schadens sei eine Cyberversicherung aber nach wie vor „absolut zu empfehlen“. Sie plädiert für „neue Denkmodelle“ in der Tarifkalkulation und eine dynamische Bewertung des Schadengeschehens. Eberlein meint: Cyber sei ein sehr junges Produkt, die Prämie müsse sich erst finden.

Ist Cybercrime mehr ein „menschliches“ als ein technisches Risiko? Mangelnde Schulung der Mitarbeiter, etwa in puncto Phishing, sei oft die Schwachstelle, die Angreifer nutzen, sagt Gschossmann. „Risiko Mensch ja, aber auch Chance Mensch“, meint Jäger: „Wenn man die Mitarbeiter ins Boot holt, sind sie die erste und beste Verteidigungslinie im Unternehmen.“

Foto: AdobeStock / Nicolas Herrbach