„Angespannt“, „kritisch“, „besorgniserregend“ – so beschreibt der letzte Lagebericht des Bundesamtes für Sicherheit in der Informationstechnik die Bedrohungslage im Cyberraum. Auch die Versicherungsbranche beobachtet die zunehmenden Cyberrisiken mit Besorgnis. Während die Erstversicherer mit einer restriktiven Zeichnungspolitik reagieren, fordert die Munich Re einen staatlichen Schutzschirm für systemische Cyberrisiken.
2017 verschlüsselte die Schadsoftware WannaCry rund 230.000 Computer in 150 Ländern. 2021 wurden mehr als 250.000 E-Mail-Server durch Schwachstellen in der Microsoft-Software Exchange Server kompromittiert. 2023 führte eine Sicherheitslücke in der Software MOVEit zum größten Dateitransfer-Hack aller Zeiten. Dies sind nur drei von unzähligen Beispielen für das immense Schadenpotenzial von Cyberangriffen. Sind diese Risiken überhaupt noch versicherbar?
Cyberrisiken gefährden die deutsche Wirtschaft
Die Digitalisierung hat eine Cyber-Risikospirale in Gang gesetzt, die sich immer schneller dreht. Laut dem Digitalverband Bitkom entstanden der deutschen Wirtschaft durch Cyberangriffe im Jahr 2023 Schäden in Höhe von 206 Milliarden Euro. Auch die Mitgliedsunternehmen des Verbands Deutscher Maschinen- und Anlagenbau (VDMA) werden immer häufiger zum Ziel. In einem von uns betreuten Fall legte eine Ransomware-Attacke einen mittelständischen Maschinenbauer zeitweise lahm und verursachte Schäden in Höhe von rund 5,5 Millionen Euro.
Solche wirtschaftlich motivierten Angriffe sind grundsätzlich versicherbar. Allerdings sind die Hürden für den Abschluss einer Cyber-Police hoch. „Strenge Risikoprüfungen zum Reifegrad der Cybersecurity machen einen Abschluss mit umfassender Deckung immer schwieriger“, berichtet unser Leiter Cyber, Thomas Völker. Aus diesem und anderen Gründen, wie etwa der Prämienentwicklung, bleiben selbst versicherbare Cyberrisiken oft ungedeckt. Laut einer Studie der Gothaer haben 75 Prozent der kleinen und mittleren Unternehmen in Deutschland keine Cyberversicherung. Eine schwelende Bedrohung für unsere Wirtschaft.
Nicht versicherbare Cyberrisiken
Hinzu kommen Risiken, die üblicherweise von Cyberversicherungen ausgeschlossen sind, wie Krieg, Terrorakte und der Ausfall von Infrastruktur. Dadurch sind Schäden aus katastrophalen systemischen Ereignissen wie einem Cyber-Krieg oder dem Ausfall von kritischer Infrastruktur in der Regel nicht gedeckt. Auch bei wirtschaftlich motivierten Cyberangriffen stoßen einige Versicherer an ihre Grenzen, wie zum Beispiel der besorgniserregende Rückzug der Axa Deutschland aus dem größten Teil ihres Cybergeschäfts zeigt. Kein Wunder: Durch den technischen Fortschritt nehmen extrem schadensträchtige Kumulrisiken stetig zu.
Solche Cyber-Kumulrisiken sind privatwirtschaftlich weder seriös noch vernünftig kalkulierbar und können zu einer Schadenkaskade führen, die die makroökonomische Stabilität unseres Landes gefährdet. Angesichts der geopolitischen Konflikte und der rasanten Entwicklung der Cyberkriminalität wird ein solches Szenario leider immer wahrscheinlicher. Eine Diskussion über die staatliche Beteiligung an der Absicherung von Cyberrisiken ist daher überfällig – und wurde kürzlich von der Munich Re angestoßen.
Schutzschirm nach dem Vorbild Extremus
Anfang April hat sich die Munich Re für einen Cyber-Schutzschirm für die Wirtschaft ausgesprochen, an dem sich der Staat beteiligen solle. Eine Forderung, die wir als Versicherungsmakler für den Maschinen- und Anlagenbau voll unterstützen. Vorbild für eine staatliche Beteiligung an der Absicherung systemischer Cyber-Risiken könnte die für Terrorrisiken zuständige Extremus Versicherungs-Aktiengesellschaft sein. Bei diesem Modell würden Schäden bis zu einer bestimmten Höhe durch einen Spezialversicherer der Versicherungswirtschaft gedeckt. Darüber hinaus übernimmt der Bund eine Deckungsgarantie, ebenfalls bis zu einer Obergrenze. Damit wäre der Wirtschaftsstandort zumindest teilweise abgesichert.
Um die Eigenverantwortung der Unternehmen und Institutionen nicht zu untergraben, müsste die Absicherung allerdings an Bedingungen geknüpft werden. Anspruchsberechtigt sollte nur sein, wer bestimmte Cyber-Sicherheitsstandards erfüllt. Zur Definition dieser Standards könnte die neue Netz- und Informationssicherheitsrichtlinie (NIS2) herangezogen werden, die jetzt ohnehin in deutsches Recht umgesetzt werden muss. Dies wäre ein guter Zeitpunkt, um die notwendige Einführung eines staatlichen Cyber-Schutzschirms gezielt anzugehen.
Autor:
Birger Jeurink, Geschäftsführer VSMA GmbH
Bildnachweis: New Africa / Shutterstock
Unsere Empfehlungen für Sie:
Kontakt
THOMAS VÖLKER
Spartenverantwortlicher Cyber Versicherung
VSMA GmbH – ein Unternehmen des VDMA
Telefon +49 69 6603-1520
tvoelker@vsma.org
www.vsma.de Impressum Datenschutz