20.1.2016 (€) – Die Vorstellung, dass Hacker die Infrastruktur einer ganzen Stadt lahmlegen könnten, ist keine bloße Fiktion, wie auf der Euroforum Jahrestagung Haftpflicht deutlich wurde. Zu lange haben sich die Unternehmen darauf ausgeruht, dass ihre IT nur von außen bedroht wäre. Mittlerweile schärft sich aber hier das Bewusstsein für die Gefahren, so dass in zehn Jahren die Cyberversicherung auf Platz drei hinter der Sach- und Haftpflichtversicherung stehen könnte.
Zu den Schwerpunkten der diesjährigen Euroforum Jahrestagung Haftpflicht gehörten die Cyberrisiken. In einem Impulsreferat zeigte Eberhard Oehler, Geschäftsführer der Stadtwerke Ettlingen GmbH, auf, dass die Schreckensszenarien, die in den letzten Jahren durch die Medien gingen, durchaus realistische Grundlagen hatten.
- Eberhard Oehler (Bild: Görsdorf)
Angriff mit großer Wirkung
In einer Arte-Dokumentation war beispielsweise dargestellt worden, wie ein Hacker eine ganze Stadt wie Ettlingen hätte lahmlegen können, indem er sich in die Software des Energie- und Wasserversorgers einhackt.
Diese Software werde bundesweit von rund 300 Versorgungsunternehmen genutzt, so dass er einen ausgedehnten Blackout auslösen könnte, wenn er bei allen gleichzeitig die Enter-Taste drückt.
Durch den Ausfall würde die Frequenz bei den Stromversorgern steigen und als Folge davon könnte es sein, dass durch einen Dominoeffekt deutschland- oder sogar europaweit alle Rechner abgeschaltet würden und es zu einem totalen Stromausfall womöglich über Stunden käme.
In der Öffentlichkeit angekommen
Mittlerweile sei das Problem der Sicherheit von kritischer Infrastruktur in weiten Teilen der Öffentlichkeit angekommen. Weltweit würden jährlich 150 Milliarden Euro an Umsatz in der Sicherheitswirtschaft gemacht.
Allerdings habe die Cyberkriminalität in den letzten beiden Jahren auch Gesamtschäden in Höhe von 102,4 Milliarden Euro verursacht.
Eine Ursache dafür sei, dass die IT-Infrastruktur in der Regel von innen heraus entstanden ist und immer noch die Überzeugung vorherrsche, „innen ist die gute Welt, draußen ist die böse Welt.“
Wie die zahlreichen Angriffe mit Viren in den letzten Jahren gezeigt haben, – angefangen mit Stuxnet im Jahr 2010 – sei dies ein gefährlicher Irrtum.
Mehr Investitionen in die Sicherheit
Nach Einschätzung von Oehler sind mittlerweile 60 Prozent der IT-Nutzer in den Energieversorgungs-Unternehmen verunsichert. Dazu kommen gesetzliche Auflagen, welche den Betreibern von kritischer Infrastruktur erhöhte Anstrengungen für die IT-Sicherheit vorschreiben.
Die Schwachstelle sei und bleibe aber in erster Linie der Mensch, der beispielsweise völlig unbefangen einen USB-Stick mitnimmt und ihn zu Hause oder im Betrieb am Rechner anschließt.
Auch dem Smart Metering, das ab 2017 eingeführt werden soll, steht Oehler eher kritisch gegenüber. Es werde zu einer Erhöhung von Peripheriegeräten um das 10.000-Fache und einer Potenzierung von Risiken führen.
IT-Sicherheit ist Chefsache
IT-Sicherheit sei angesichts dieser Herausforderungen Chefsache und dieses Wissen verpflichte zum Handeln.
Wie es dabei um die Versicherbarkeit aussieht, diskutierte Oehler anschließend mit Dr. Georg Bräuchle, Geschäftsführer und Mitglied der zentralen Geschäftsführung der Marsh GmbH, sowie Dirk Wietzke, Manager Executive Protection and Financial Institutions Germany/Austria der Chubb Insurance Company of Europe SE.
- V.l.n.r.: Georg Bräuchle, Eberhard Oehler, Dirk Wietzke (Bild: Görsdorf)
Wietzke bejahte die Frage von Moderator Herbert Fromme, ob Cyberrisiken grundsätzlich versicherbar seien – allerdings mit der Einschränkung, „aber nicht zu jedem Preis und in jeder Höhe“. Eine Versicherungslösung könne dabei nur ein Teil des Risikomanagements sein.
Umfassendes Risikomanagement
Bräuchle konstatierte, dass zunächst einmal geklärt werden müsse, wie der Kostenblock aussehe, welche Haftpflichtansprüche entstehen könnten und welche Eigenschäden am Vermögen des Unternehmens denkbar seien.
So sei der Diebstahl geistigen Eigentums eine denkbare Folge. Hackerangriffe würden häufig gar nicht entdeckt. Dafür tauche eines Tages ein Produkt auf dem Markt auf, das den eigenen Angeboten sehr ähnlich sei. Dass hier ein Cyberangriff vorliege, sei schwer nachweisbar.
Wietzke wies darauf hin, dass selbst Softwarehersteller gehackt würden – auch deren Schutzmechanismen seien also nicht perfekt.
Grundsätzlich herrschte zwar Konsens, dass es nicht gerechtfertigt sei, Horrorszenarien aufzustellen, aber Oehler konstatierte: „Da rollt auf uns etwas zu, was wir heute noch nicht abschätzen können.“ Er fürchtet, dass „das Tempo der Cyberrisiken uns davonlaufen“ wird angesichts von 550 Millionen Gigabyte, die pro Minute durch das Netz gehen.
Hohe Schäden
Die Kapazitäten pro Einzelpolice können laut Bräuchle bei bis zu 300 Millionen Euro liegen, gegebenenfalls werde dabei auch über den Londoner Markt versichert. Aktuell beträgt der Gesamtmarkt rund zwei Milliarden Euro, so Wietzke, 90 Prozent davon umfasst der US-Markt.
Grundsätzlich war sich die Runde einig, dass ein steigendes Bewusstsein für die Bedeutung von Cyberrisiken zu beobachten sei, ähnlich der Entwicklung bei der D&O-Versicherung. In zehn Jahren könnte deshalb die Cyberversicherung hinter der Sach- und der Haftpflichtversicherung auf Platz drei liegen.
