Früher kletterten Kriminelle über den bewachten Werkszaun, um sich am Vermögen einer Firma zu bereichern. Heute bewegen sie sich virtuell durch die Datenleitungen von Unternehmen. Ermöglicht wird dies oft durch das ahnungslose Opfer selbst - den Firmenmitarbeiter. Indem er zum Beispiel arglos den Anhang einer vermeintlichen E-Mail der Personalabteilung öffnet und damit die Schadsoftware gleich selbst installiert. Oder indem er einen größeren Betrag überweist, weil er nicht bemerkt, dass die Kontodaten des Empfängers durch einen Hacker manipuliert worden sind. Die Beispiele zeigen: Gerade für Unternehmen birgt die fortschreitende Digitalisierung neue und nicht unerhebliche Risiken.

Rund die Hälfte aller Betriebe in Deutschland wurde einer Studie des Branchenverbands Bitkom zufolge in den Jahren 2013 bis 2015 durch Cyberangriffe geschädigt. Dabei entstand im Durchschnitt ein Schaden von 70.000 Euro. Die wahrscheinlich hohe Dunkelziffer an Vorfällen, die nicht angezeigt wurden, noch nicht mit eingerechnet.

Wer glaubt, dass nur Großunternehmen oder Konzerne ins Visier von Internetkriminellen geraten, liegt falsch. Wir wissen mittlerweile, dass nicht nur ein bekannter Firmenname oder die Unternehmensgröße Hacker anziehen. Genauso kann es ein kleineres Unternehmen treffen, das technologisch interessante Produkte herstellt oder über sensible Personendaten verfügt. Deshalb müssen sich alle Unternehmen diesem Thema stellen.

Hacker sind Risikofaktor Nummer eins

Große Betriebe haben vielfach schon auf verschiedenen Ebenen eigene Abteilungen zur Abwehr von Cyberangriffen eingerichtet. Bei mittelständischen Unternehmen herrscht dagegen großer Nachholbedarf. Sie legen ihren Fokus oft noch rein auf Produktion und Entwicklung, für das Thema Datensicherheit fehlen schlichtweg Mitarbeiter. Expertenwissen müsste aufgebaut oder eingekauft werden - ein neuer Kostenfaktor, der für kleinere Betriebe nicht leicht zu stemmen ist. Sie benötigen eine ausführliche Beratungsleistung, um für diverse Abwehrstrategien sensibilisiert zu werden. Zudem muss ihnen das finanzielle Restrisiko so weit wie möglich abgenommen werden. Genau das bieten spezielle Cyberversicherungen für mittelständische Unternehmen, die zunehmend angeboten werden. Damit haben auch kleinere Betriebe die Möglichkeit, ihre finanziellen Risiken im Zusammenhang mit Cyberangriffen deutlich zu reduzieren.

Ein Beispiel von vielen: Cyberangriff und Datenklau bei ThyssenKrupp

Wir wissen, dass sich Manager dieser Gefahr, die die fortschreitende Digitalisierung mit sich bringt, mittlerweile durchaus bewusst sind: Die neueste Umfrage unseres Industrieversicherers Allianz Global Corporate & Specialty (AGCS) unter 1200 Experten aus der Allianz Gruppe und Unternehmen aus 55 Ländern weltweit hat ergeben, dass deutsche Unternehmen im vergangenen Jahr das größte Risiko in Cybervorfällen wie IT-Ausfällen, Spionage und Datenmissbrauch sahen. Cybervorfälle sind in Deutschland damit von Platz drei auf die Spitzenposition des jährlichen Rankings zu Unternehmensrisiken vorgerückt. Auch weltweit zählen sie zu den drei größten Risiken für Firmen. Die e-Crime-Studie der Unternehmensberatung KPMG aus dem Jahr 2015 bestätigt dies. Danach halten 89 Prozent der befragten Unternehmen das Risiko, Opfer eines Hackerangriffs zu werden, für hoch bis sehr hoch.

Untätigkeit wider besseren Wissens

Mit diesem Wissen muss man sich eine Frage stellen: Wenn auf den Führungsebenen das Risikobewusstsein besteht, warum handeln Geschäftsführer oder Vorstände dann nicht? Warum setzen sie ihr Unternehmen diesen erheblichen finanziellen Risiken aus, die Cyberangriffe mit sich bringen? Nach unseren Schätzungen haben gerade einmal fünf Prozent der deutschen Betriebe eine Cyberversicherung.

Zwischen Risikobewusstsein und Absicherung klafft eine riesige Lücke. Dieses Phänomen ist nicht neu: Als vor rund 15 Jahren die Haftpflichtversicherung für Manager, die sogenannte Directors-and-Officers-Versicherung (D&O), auf den Markt kam, hatten Geschäftsführer und Vorstände dieses Risiko für sich zwar erkannt, zunächst aber kaum Versicherungsschutz eingekauft - bis in den Medien über die ersten großen Vorfälle mit enormen Schadenersatzforderungen berichtet wurde. Auf einmal schossen die Abschlüsse exponentiell in die Höhe. Mittlerweile gehört die D&O ins Standard-Versicherungsportfolio jedes größeren Unternehmens.

Eine ähnliche Entwicklung ist für die Cyberversicherung zu erwarten. Die Gefahr eines Schadens ist nicht zu unterschätzen und wird mit den sich immer enger vernetzenden Maschinen noch deutlich steigen. Ich bin fest davon überzeugt, dass der Markt für Cyberversicherungen in Deutschland in fünf Jahren eine bedeutende Größe erreicht haben wird - noch steckt er aber in den Kinderschuhen.

Hohes Wachstumspotenzial

Das Wachstumspotenzial ist enorm: Deutschlandweit gibt es rund 3,6 Millionen mittelständische Unternehmen, für die eine spezielle Cyberversicherung von Interesse ist. Auch wenn valide Zahlen für Deutschland fehlen, global gibt es sie: Nach einer Lloyd's-Schätzung wird der Weltmarkt für Cyberversicherungen in diesem Jahr schon 2,5 Milliarden Dollar ausmachen. Der Rückversicherer Munich Re rechnet für 2020 mit einem Volumen von 8 Milliarden Dollar. Derzeit sind die Vereinigten Staaten mit deutlichem Abstand der größte Markt. Vom globalen Umsatz entfällt aktuell nur ein Bruchteil auf Deutschland.

Das wird sich im nächsten Jahr ändern, wenn die neue Datenschutz-Grundverordnung der EU in nationales Recht umgesetzt wird. Dadurch gewinnt der Schutz der individuellen Privatsphäre erheblich an Bedeutung. Kunden oder Beschäftigte, deren Daten von Angreifern gestohlen wurden, können dann wegen mangelnder Sicherheitsvorkehrungen deutlich höhere Ansprüche gegen Unternehmen geltend machen. Sanktionen und insbesondere Bußgeldzahlungen für Unternehmen werden spürbar zunehmen. Das wird den Cyberversicherungsmarkt in Europa kräftig ankurbeln.

Die Angreifer werden immer professioneller

Aber schon heute gilt: Cybersicherheit ist Chefsache. Versäumt es der Geschäftsführer, für ausreichend technische und organisatorische Sicherheitsmaßnahmen zu sorgen, könnte ihm das als Pflichtverletzung ausgelegt werden, für die er unter Umständen persönlich haftbar gemacht werden kann. Der Abschluss einer Cyberversicherung wird für Unternehmer damit zum Muss.

Die Angreifer werden immer professioneller, Hacker-Tools und die entsprechende Software sind für Kriminelle leicht verfügbar. Die Zeiten, in denen sie sich aus sportlichem Ehrgeiz Zugang zu fremden Informationen und Systemen verschafft haben, sind längst vorbei. Heute bedrohen Cyberkriminelle Unternehmen, um sich zu bereichern oder ihnen gezielt zu schaden. Ihre Methoden sind so ausgefeilt, dass trotz bestmöglichem Schutz immer ein Restrisiko bestehen bleibt. Schäden werden sich nie ganz vermeiden lassen. Deshalb werden künftig diejenigen Versicherer den Cybermarkt bestimmen, die die Bedürfnisse des Kunden in den Mittelpunkt rücken und ihm neben dem Versicherungsschutz individuelle Beratung sowie umfassende Assistance-Leistungen bieten.