Ein Gerichtsentscheid aus Florida gibt in den USA zu reden: Das Bundesgericht in Florida stellte klar, dass Datenvorfälle nicht durch die allgemeinen Haftpflichtversicherungen, die Commercial-General-Liability (CGL)-Policen, gedeckt sind. Firmen aller Grössen müssten sich, so die Richter, zwingend um entsprechende Massnahmen kümmern, wenn sie vertrauliche Kundendaten, wie etwa Kreditkartenangaben, speichern würden.

Partner-Inhalte
 
 
 
 
 
 

Die Richter fanden sich unterstützt durch einen Bericht der US-Börsenaufsicht SEC. Diese hatte elf grössere Fälle untersucht, bei denen Hacker in die Systeme eingedrungen sind und sich Zugang zum E-Mail-Account des CEO verschafft haben. Die Kriminellen schickten daraufhin vom CEO-Account aus E-Mails an die interne Buchhaltung, mit der Bitte, eine bestimmte hohe Rechnung sofort zu begleichen und dabei die unternehmensinternen Richtlinien für einmal zu vergessen. Es gehe hier um eine streng geheime Sache (beispielsweise M&A), und davon dürfe nicht einmal der Finanzchef erfahren. Die Gesamtschäden der Vorfälle aufgrund der falschen CEO-Absender-Geschichte schätzt die SEC für die USA auf insgesamt 5 Milliarden US-Dollar.

Unbekannte Risiken

Gemäss der britischen Versicherung Hiscox, die einen Grossteil ihrer Prämieneinahmen über KMU-Versicherungen einspielt, sind Cyber-Versicherungen ein überaus attraktives Wachstumsfeld. Dies, obwohl es hier sowohl auf der Seite der Kunden, die oft Erstmalkäufer solcher Policen sind, als auch auf der Seite der Versicherungen, bei denen es intern an Erfahrungen mit grossen Vorfällen und den entsprechenden Zahlenreihen mangelt, viel Lernbedarf gibt.

«Cyber-Versicherungen sind verglichen mit anderen Produkten noch sehr jung auf dem Markt», sagt Axa-Sprecherin Nicole Horbelt. Seien Ende der Nullerjahre vorwiegend Banken und Versicherungen an Cyber-Versicherungen interessiert gewesen, sei das allgemeine Interesse seit 2016 spürbar angestiegen. «Die Cyber-Versicherung sehen wir als Ergänzung zum IT-Sicherheitskonzept einer Firma», so Horbelt weiter. «Keine Firma ist daran interessiert, dass der Betrieb stillsteht, Kundendaten oder gar Betriebsgeheimnisse geklaut und ein Reputationsschaden entsteht.» Denn das kann auch für die Versicherungen, welche die Policen verkaufen, Folgen haben: Gemäss der britischen Erhebung «Cyber Insurance 2018» wird sich bei steigender Anzahl der Schadenereignisse und ihrer Handhabung zeigen, «ob Versicherungen davon leben können – oder ob sie daran sterben», wie es die Autoren drastisch formulieren.

Zu den Kritikern eines allzu blauäugigen Wachstumskurses bei Cyber-Versicherungen gehörte beim letzten Rückversicherungs-Branchentreffen in Monte Carlo auch Victor Peignet, Leiter des weltweit tätigen Sach- und Schadengeschäfts bei Scor. Scor hat intern ein Cyber-Risiko-Team aufgebaut. Das ist oft der erste Schritt, um in ein neues Geschäft einzusteigen. «Aber wir sind sehr vorsichtig, wenn es darum geht, Cyber-Risiken zu versichern», betonte Peignet. Für die Vorsicht nannte er mehrere Gründe. Der wichtigste Grund sei der Umstand, dass Cyber-Risiken innert weniger Sekunden zu einem globalen Problem werden könnten. Zudem gebe es zu wenig empirische Erfahrungen in Bezug auf die Grösse und auf die versicherungstechnischen Risiken bei diesem Thema. Die inhärenten Risiken würden bei den Erstversicherungen nicht immer verstanden, und es könne zu einer Akkumulation von Risiken kommen, die zu «Schockereignissen» für die Versicherungsindustrie führen. Im Klartext und auf Nachfrage heisst das laut Peignet: Es kann auch zu Versicherungspleiten kommen.

Laufende Anpassungen

Geht es um Cyber-Risiken, ergibt sich allein mit der Grösse einer Versicherung ein gewisser Schutz: Grosse Bilanzen können Schäden besser absorbieren als kleine. Gleichzeitig besteht bei grossen Versicherungen aber auch das Risiko, dass sich Schäden in einer entlegenen abschüssigen Ecke des weltweiten Betriebs ansammeln – und dann ihre verheerende Wirkung bei einem Grossschaden entfalten. «Nur die Grösse einer Gesellschaft allein sollte nicht ausschlaggebend sein», sagt Cornelia Birch, Sprecherin bei Zurich. «Die Kunden legen mehr Wert auf ein möglichst breites Produktportfolio sowie auf eine international nachhaltige Betreuung, die auch lokal geltende Bestimmungen berücksichtigt. Nebst der Fachkompetenz ist für die Kunden aber auch eine solide Finanzkraft für die Auswahl eines Versicherers ausschlaggebend, damit mögliche Forderungen jederzeit abgedeckt werden können.»

Zurich ist im Cyber-Bereich eine der grossen weltweiten Adressen. «Die Angebote haben sich in den vergangenen Jahren stark entwickelt und beinhalten eine breite Palette an Deckungen», so Birch. «Die Produkte werden kontinuierlich an aktuelle Cyber-Risiken angepasst.» In den vergangenen Jahren hätten viele grosse Unternehmen Cyberversicherungs-Policen gekauft. Zudem stelle man bei Zurich seit zwei Jahren ein starkes Wachstum im Mid-Market- und im KMU-Segment fest. «Das Bedürfnis von Firmen, in diesem Bereich abgesichert zu sein, dürfte weiterhin stark steigen», prognostiziert Cornelia Birch.

«Das Problem bei Cyber-Risiken ist, dass die Statistik als Blick in die Vergangenheit nur eine bedingte Aussage für die Zukunft gibt, weil sich Cyber-Risiken täglich verändern», hält Nicole Horbelt fest. Die Zukunft werde zeigen, wie die Assekuranz mit der Versicherbarkeit umgehe. Horbelt: «Es hängt auch davon ab, wie sich die Kunden schützen, z.B. ob sie Investitionen in ihre IT-Systeme tätigen, um Sicherheitsstandards zu erfüllen.» «Die Einschätzung des Cyber-Risikos ist per se sehr schwierig, gerade weil die Gefahren rasant zunehmen und es immer neuere Formen von Cyber-Kriminalität gibt», ergänzt Amélie Alberg, Produktmanagerin Unternehmenskunden bei der Baloise. «Derzeit gehen wir aber bei der Kollektiv-Betrachtung davon aus, dass diese versicherbar sind.»