Versicherungsbote: Cyber ist ein Hype-Thema: Viele Firmen auf dem deutschen Markt sind noch nicht abgesichert, die Marktchancen scheinbar grenzenlos, die Kosten bei Schäden groß. Ihre Einschätzung? Kann sich Cyber als Boomprodukt der Branche etablieren — unter welchen Bedingungen?

Anzeige

Jörg Wälder: Cyber-Gefahren sind existenzbedrohend für viele Firmen, wie diverse Schadenbeispiele zeigen. Die Reederei Maersk musste zum Beispiel nach einer Hacker-Attacke zehn Tage analog arbeiten, das heißt mit Stift und Papier, erlitt durch den Angriff mehr als 100 Millionen Euro Schaden. Auch die Deutsche Telekom, die Plattform Ashley Madison usw. wurden Ziel von Angriffen mit Millionenschäden.

Jörg Wälder, CEO der Cogitanda GroupCyberversicherung kann unserer Meinung nach nur dann ein Hype sein, wenn die Digitalisierung ein Hype ist. Perspektivisch ist es schwer vorstellbar, dass Cyberrisken und infolgedessen Cyberschäden in der Zukunft abnehmen. Genau das Gegenteil wird der Fall sein. Die prognostizierte Entwicklung des IOT-Marktes, die Verlagerung vollständiger Geschäftsmodelle von analog zu digital sowie Phänomene wie Autonomes Fahren und Connected Home werden in den nächsten Jahren dazu führen, dass die jährlichen Cyberschäden global von heute ungefähr 600 Milliarden US-Dollar bis Mitte des nächsten Jahrzehnts auf 6.000 Milliarden anwachsen werden, so zumindest eine Schätzung der Herjavec Group. Ein unfassbarer Wert, nicht wahr? Das Risiko, welches der Cyberversicherung zugrunde liegt, wird also in den nächsten Jahren drastisch weiter ansteigen. Entsprechend gehen wir von einer stark steigenden Nachfrage nach Cyber-Dienstleistungen und -Versicherungen aus.

Studien legen sogar nahe, dass die Cyberversicherung in 20 Jahren höhere Prämieneinnahmen generieren könnte als die KFZ-Versicherung. Laut dem Versicherer-Dachverband GDV sollen sich die Prämieneinnahmen in den nächsten Jahren jeweils verdoppeln, das sehen wir auch so. Wie bereits zuvor angesprochen, wird der Cybermarkt, sowohl der dedizierte IT-Security Markt als auch entsprechende Versicherungslösungen, weiter sehr stark wachsen, solange die Digitalisierung auch nur ansatzweise in dem Tempo voranschreitet wie bisher.

Wie schätzen Sie die aktuelle Marktsituation in Deutschland ein? Haben Firmen den Absicherungsbedarf erkannt — und wo gibt es noch Lücken?

Schon heute haben wir in Deutschland Schäden durch Cybercrime von jährlich rund 65 Milliarden Euro, das sind immerhin rund 1,9 Prozent des Bruttoinlandsproduktes (BIP). Dem entgegen haben die Investitionen in entsprechende Risikominderungsmaßnahmen mit rund 8 Milliarden Euro jährlich und in Versicherungslösungen mit bisher lediglich 0,1 Milliarden per annum noch deutliches Entwicklungspotential.

In dem Bereich der Risiko-Prävention scheint es schon eine gewisse Bereitschaft der Unternehmen zu geben, in die Sicherheit ihrer Systeme zu investieren. Dennoch: In der jüngst veröffentlichen 5. Auflage der Cybercrime Studie von KPMG (e-Crime in der deutschen Wirtschaft, 2019), gaben 33 Prozent der Unternehmen mit einem Jahresumsatz von 250 Millionen Euro bis 3 Milliarden Euro an, jährlich lediglich zwischen 10.000 Euro und 50.000 Euro zur Bekämpfung von Cybercrime auszugeben. Das ist in Anbetracht der möglichen und heute bereits eintretenden Schäden bei Unternehmen dieser Größenordnungen eindeutig zu wenig, der nächste substanzielle Schaden ist fast schon nur noch eine Frage der Zeit.

Was sind die größten Kostentreiber, die Unternehmen bei Cyberschäden entstehen können? Können Sie Beispiele nennen?

Aus Sicht der Kunden sind die Folgen aus einem erfolgreichen Angriff mit Ransomware, das Thema Cyber-Betriebsunterbrechungen und insbesondere auch Datenschutzvorfälle regelmäßig wirtschaftlich kritisch. Eine Betriebsunterbrechung kann zum Beispiel zu durchaus substanziellen Schäden führen, wenn, wie bei Mondelez (Hersteller u.a. von Toblerone), im Zuge der Ransomware-Attacke notPetya Produktionsabläufe und Lieferketten für Wochen gestört werden.

Anzeige

Auch erleben wir zuletzt vermehrt den kombinierten Einsatz mehrerer Arten von Schadsoftware bei ein- und demselben Angriff. Software 1 spioniert das Zielobjekt in Ruhe aus, das kann über Wochen und Monate gehen. Ziel dieser Aktion ist es, den Wert des Unternehmens zu ermitteln, also was ist das Unternehmen bereit und in der Lage, im Erpressungsfall zu zahlen? Eher 5.000 oder 500.000 Euro? In der Praxis sind das dann natürlich 0,5 bzw. 50 Bitcoins. Software 2 löscht danach alle Backups, auch jene Backups, die bei einem externen Dienstleister liegen und vermeintlich sicher sind. Sie werden jetzt sagen, das geht doch gar nicht, genau deswegen liegen meine Backups ja in der Cloud. Glauben Sie uns, das geht. Software 1 hat nicht nur den „Wert des Unternehmens“ bestimmt, sie hat auch die Administratorenpasswörter im System gefunden und den Rest können sie sich vorstellen. Software Nr. 3 schließlich ist ein Erpressungstrojaner klassischen Zuschnitts, der das System des Unternehmens verschlüsselt und seine „Hilfe“ beim Entschlüsseln gegen eine angemessene „Gebühr“ anbietet, deren Höhe besagte Software 1 zu bestimmen geholfen hat.