Neues Gefährdungsniveau bedroht Existenzen

Großangelegte Cyber-Attacken mit Ransomware wie „WannaCry“, “NotPetyra“ oder „Bad Rabbit“ legten nicht nur private Rechner lahm und zerstörten viele Daten mit einer Verschlüsselungs-Software unwiderruflich. Die Angriffe störten auch die Technik großer Firmen, von denen man annehmen sollte, dass sie gegen Hacker-Angriffe gut geschützt seien: die Deutsche Bahn, Renault, die Metro in Kiew und mehrere Nachrichtenseiten waren von Störungen und Ausfällen betroffen, der Schaden wird weltweit auf eine Milliardensumme geschätzt.

Anzeige

Insbesondere für kleine und mittelständische Unternehmen (KMU) kann eine solche Schadensbilanz schnell existenzgefährdend werden. Hängen doch immer mehr Prozesse und Abläufe moderner Unternehmen von einer funktionierenden Informationstechnologie ab. Ein eigentlich dankbarer Markt für Versicherer: wenn diese nicht ebenso durch neue Risiken und fehlende Erfahrung auf einem unsicheren Feld agieren müssten.

Die Ratingagentur Franke und Bornberg hat nun erstmals gewerbliche Cyberpolicen für den deutschen Markt getestet, die sich gezielt an kleinere und mittelständische Unternehmen wenden. Untersucht wurden hierbei 35 Tarife und Bausteinlösungen von 28 Anbietern. Als ein wesentliches Problem stellte sich dabei die Uneinheitlichkeit der Lösungen und Bestandteile in den Policen dar. Auch gibt es, wie das Rating zeigt, für die Branche noch einiges zu tun.

Neue Risiken, keine Erfahrung ... Versicherer mit Kalkulationsproblemen

Cyber-Risiken, das stellt die Agentur heraus, entwickeln sich dynamisch. Das unterscheidet sie von anderen versicherbaren Risiken wie z.B. der Brandgefahr, bei denen in Reaktion auf statische und wiederkehrende Szenarien das Gefährdungspotenzial objektiv gesenkt werden kann. Stattdessen entzieht sich im Cyberbereich vieles einer vorausschauenden Kalkulation, denn ständig muss mit neuen Strategien der Angreifer gerechnet werden.

Eine „fast babylonische Sprachverwirrung“ bei den versicherten Gefahren

Die Neuheit der Gefahren bilde sich auch in vielen uneinheitlichen Lösungen der Versicherer ab. Das zeige sich schon an den Begriffen der Policen, die wenig einheitlich und unscharf scheinen. Genannt für die versicherten Gefahren würden laut Ratingagentur: „Netzwerksicherheitsverletzung“/ „IT-Sicherheitsverletzung“/ „Hacker-Angriff“/ „Cyber-Angriff“/ „Cyber-Einbruch“/ „Cyber-Attacke“/ „Cyber-Rechtsverletzung“/ „Cyber-Sicherheitsvorfall“.

Hier herrsche eine „fast babylonische Sprachverwirrung“, wie Michael Franke, geschäftsführender Gesellschafter der Franke und Bornberg Research GmbH, pointiert. Denn die Begriffe würden zwar „einen ähnlichen Zustand“ beschreiben. Im Detail aber könnten die Unterschiede für den Kunden im Schadensfall erheblich sein.

Die für den Schadensfall oft wesentlichen Definitionen der Policen würden ebenso diese Uneinheitlichkeit zeigen. Gleiche doch keine Definition der anderen...sofern es überhaupt eine Definition gibt.

Das Begriffs- Wirrwarr setzt sich auch bei den Lösungen fort. Was ein Versicherer über eine Rechtsschutzversicherung lösen würde, die an den Cyber-Hauptvertrag andockt, webe ein anderer Versicherer in die Cyber-Drittschadendeckung oder die Krisen-Dienstleistungen ein.

Anzeige

Auch solche Differenzen könnten gravierende Konsequenzen für Versicherungsfall, Entschädigung und das Verhältnis zu anderen Versicherungsverträgen haben.