Die Diebe räumen ab, was sie in die Finger bekommen, und verschwinden lautlos und unbehelligt in die nur spärlich ausgeleuchteten Winkel des Cyber-Raums. Abgesehen haben es die weltweit agierenden Internet-Kriminellen auf Kreditkartendaten, die sie in knapp 6.000 Onlineshops erbeuten.

Die Hacker platzieren in den IT-Systemen der Shop-Betreiber eine sogenannte Malware. Mit der illegalen Software können sie die sensiblen Kundendaten dann via Online-Skimming unbemerkt abgreifen. Und wozu? Um sie anschließend für rund 30 US-Dollar, umgerechnet etwa 27 Euro, im Dark Web zur kriminellen Nutzung anzubieten, erklären die Experten des Spezialversicherers Hiscox Deutschland.

Doch es sind keineswegs nur Unternehmen aus dem Online-Handel, die der Fall hat aufhorchen lassen, denn IT-Angriffe machen vor keiner Branche Halt. Laut einer Umfrage des IT-Verbands Bitkom sind allein in Deutschland zwei Drittel der Industrieunternehmen in den vergangenen zwei Jahren Opfer von digitaler Wirtschaftsspionage, Datendiebstahl oder Sabotage geworden. Allen voran die Automobilindustrie (69 Prozent) sieht sich immer wieder Angriffen von Hackern ausgesetzt.

Schäden von 22,4 Milliarden Euro pro Jahr

Den Experten von Bitkom zufolge beläuft sich der Schaden für die deutsche Industrie auf rund 22,4 Milliarden Euro pro Jahr. Angesichts des hohen Schadenpotenzials machen sich die Unternehmen verstärkt auf die Suche nach Verbündeten – und werden in der Versicherungswirtschaft fündig.

Die Nachfrage nach sogenannten Cyber-Versicherungen wachse auch in Deutschland, teilt das Maklerunternehmen Marsh im Oktober auf Basis einer Umfrage unter 260 deutschen Firmen mit.

Gegenüber dem Vorjahr gaben doppelt so viele Unternehmen an, eine Cyber-Police abgeschlossen zu haben. Gleichwohl bleibt die Marktabdeckung mit 9 Prozent bescheiden. Doch das könnte sich zügig ändern: So planen immerhin 35 Prozent der Unternehmen, in den nächsten zwölf Monaten entsprechende Angebote einzuholen.

„Cyber-Versicherungen wachsen aus den Kinderschuhen heraus“, sagt auch Hiscox-Manager Ole Sieverding. „Heute gibt es ein großes Angebot am Markt. Auch die Nachfrage wächst exponentiell.“ So habe Hiscox in der ersten Jahreshälfte 2016 seinen Gesamtbestand mehr als verdoppelt, so Sieverding.

Cyber-Policen helfen da, wo klassische Industrieversicherungen aufhören

Eine Cyber-Police kommt für die Kosten auf, die nicht von einer klassischen Industrieversicherung gedeckt sind – etwa für die Reparatur geschädigter IT-Systeme oder für die Wiederherstellung von Daten nach einem Cyber-Angriff. Meist leistet der Versicherer auch bei Schäden, die infolge einer Unterbrechung der betrieblichen Abläufe entstehen.

Der Versicherungsmakler Aon weist zudem darauf hin, dass anspruchsvolle Versicherungskonzepte den geschädigten Unternehmen nicht nur die Kosten für das Krisenmanagement erstatten, sondern dem Kunden gleich ein ganzes IT-Expertenteam zur Seite stellen.

Faktor Zeit ist entscheidend

„Bei einem Angriff spielt der Faktor Zeit eine zentrale Rolle“, sagt Georg Bräuchle, Geschäftsführer von Marsh Deutschland.

Doch zügiges und kompetentes Handeln im Krisenfall ist keine Selbstverständlichkeit. „Dazu benötigt man externe Spezialisten wie IT-Forensiker oder Krisenmanager, deren Kosten über eine Cyber-Police abgedeckt werden können“, so Bräuchle. Branchenkollege Sieverding hält zudem Cyber-Policen für sinnvoll, „die über eine Krisen-Hotline breit gefächerte Assistance wie Rechtsanwälte und spezialisierte PR-Berater bereitstellen“.

Doch zwischen Wunsch und Wirklichkeit liegen nach wie vor mehr als nur ein paar Bytes. Denn viele Unternehmen betrachten die Sicherheit ihrer Daten und Prozesse als Sache der IT-Abteilung – und rüsten daher hauptsächlich technisch auf. Ein umfassendes Risk-Management-System müsse jedoch „allen Risiko-Faktoren Rechnung tragen, beispielsweise auch dem ‚Risiko Mensch‘“, fordert Bräuchle.

Tatsächlich gehen Datenverluste „nur“ in etwa der Hälfte der Fälle auf Schadsoftware und Cyber-Angriffe zurück (52 Prozent), wie eine Studie des IT-Konzerns IBM zeigt. Immerhin gut jeder fünfte Schadenfall (18 Prozent) hat menschliches Versagen als Ursache, noch häufiger ergeben sich die Datenverluste aus einer Systemstörung (30 Prozent).

Bedienungsfehler durch Mitarbeiter sind mitversichert

Auch die Fehlerquelle Mensch wird von Cyber-Policen berücksichtigt. So können auch Bedienungsfehler durch Mitarbeiter, technische Störungen sowie eigene Datenschutzverstöße mitversichert werden, weiß Marc Fliehe, IT-Sicherheitsexperte des Bitkom. Letzteres könnte etwa dann sinnvoll sein, so Fliehe, „wenn absichtlich oder versehentlich personenbezogene Daten von Kunden oder anderen Geschäftspartnern in die falschen Hände geraten“.

Unternehmen sollten beim Abschluss einer Cyber-Police prüfen, welches Service-Paket am besten zu ihnen passt, rät der Bitkom-Mann. Doch vorher ist noch viel Beratungsarbeit zu leisten: Laut Marsh-Umfrage können 61 Prozent der Befragten beispielsweise gar nicht einschätzen, wie hoch der finanzielle Verlust durch eine Cyber-Attacke für sie wäre.

Marsh ist mit dieser Erkenntnis nicht allein, wie eine Anfrage beim Versicherer Markel zeigt. „Die Kollegen von Marsh treffen auch nach unseren Erfahrungen einen wunden Punkt. Die Auseinandersetzung mit den Risiken aus der Cyber-Welt hat sich zwar in den vergangenen drei Jahren exponentiell entwickelt, ist aber immer noch nicht da wo sie sein sollte“, sagt Frederik Wulff, Hauptbevollmächtigter von Markel International in Deutschland.

Auch die aktuelle Prämiengesamtgröße des deutschen Cyber-Versicherungsmarkts belege dies, meint Wulff. Kollege Bräuchle will es dabei nicht belassen und redet den Wirtschaftsführern ins Gewissen: „Cyber-Risiken sind heute genauso bedeutend wie Haftungs- und Elementarrisiken und gehören deshalb auf die Agenda der Chefetage und in den Fokus des betrieblichen Risikomanagements.“