16.9.2016 (€) – Gut die Hälfte der Unternehmen hat eine Versicherung gegen Cyber-Kriminalität oder interessiert sich dafür. Doch trotz steigendem Risikobewussten stehen vor dem Abschluss einige Hürden. Beim Fachforum „Cyber-Risks 2016“ kamen die Ergebnisse einer Kundenumfrage und die Erfahrungen von Makler- und Versichererseite zur Sprache.
Das Bewusstsein von deutschen Unternehmen für Cyber-Risiken ist seit dem vergangen Jahr gestiegen. Das geht aus einer Kundenumfrage von 260 deutschen Unternehmen verschiedener Branchen hervor, die der Versicherungsmakler Marsh GmbH auf dem Fachforum „Cyber-Risks 2016“ der MCC – Management Center of Competence in Köln veröffentlichte.
Ein „umfassendes Bewusstsein“ für eine Gefährdung des eigenen Unternehmens durch Cyberkriminalität haben nach eigener Einschätzung 41 Prozent der befragten Unternehmen. 57 Prozent schätzen ihre Gefährdungswahrnehmung eher „gering“ ein und zwei Prozent sehen gar keine Gefährdung.
„Damit sind die Werte gegenüber unserer Untersuchung im vorigen Jahr um rund zehn Prozent gestiegen“, sagte Georg Bräuchle, Geschäftsführer und Mitglied der zentralen Geschäftsleitung von Marsh.
- Markus English (Bild: Schmidt-Kasparek)
Auch Markus English, Enterprise Risks Underwriting Manager des Versicherers Tokio Marine Kiln S.A. bestätigte, dass Anfragen zum Cyberschutz deutlich zugenommen haben.
„Leider können wir das aber noch nicht in deutlich mehr Abschlüsse umsetzen“, stellte English fest. Hier liege noch eine steinige Wegstrecke vor der Branche.
Viele Hacker-Angriffe bleiben unbemerkt
„Viele Unternehmen glauben, dass die eigene Firma für Hacker nicht interessant ist“, so Bräuchle.
Auf die Frage, ob das Unternehmen in den letzten zwölf Monaten schon einmal Opfer eines Hackerangriffs geworden ist, behaupteten 74 Prozent der Befragten, dass keine Attacke erfolgt sei, während ein Viertel einen Angriff bestätigte.
„Das widerspricht allen Erfahrungen, die Sicherheitsexperten veröffentlichen“, sagte Bräuchle. Der Makler geht davon aus, dass die Unternehmen gar nicht wissen, dass sie angegriffen wurden. Immerhin acht Prozent der Unternehmen gaben dies zu.
53 Prozent haben oder interessieren sich für Cyber-Policen
- Georg Bräuchle (Bild: Schmidt-Kasparek)
Neun Prozent der befragten Firmen haben schon eine Police gegen Cyberkriminalität abgeschlossen. Weitere neun Prozent sind derzeit im Anbahnungsprozess. „Das sind in der Regel Unternehmen, bei denen die Versicherung über die IT-Abteilung läuft“, glaubt Bräuchle. Nach seiner Erfahrung würde das den Abschlussprozess deutlich verlängern.
Weitere 35 Prozent der Unternehmen möchten sich in den nächsten zwölf Monaten ein Angebot für eine Cyberversicherung einholen, während 47 Prozent deutlich machten, dass sie einen solchen Schutz nicht für notwendig halten.
Ein wesentlicher Grund für die große Skepsis gegenüber Versicherungsschutz ist nach Einschätzung der Experten, dass Cybersicherheit immer noch nicht „Chefsache“ sei. Noch immer sehen Unternehmen die IT-Abteilung in der Hauptverantwortung für das Management von Cyber-Risiken.
Der Anteil ist gegenüber der Umfrage im Vorjahr sogar um zwei Prozentpunkte auf 69 Prozent gestiegen, während gleichzeitig nur noch 16 (Vorjahr: 17) Prozent der Chefetagen die Oberhoheit über die IT-Sicherheit haben.
Altpolicen helfen nichts
Bräuchle verwies darauf, dass Unternehmen bei einem Cyberangriff nicht auf bestehende Versicherungen bauen können.
In der Sach- und Ertragsausfall-Versicherung sowie der Technischen Versicherung gäbe es strenge Cyber-Risiko-Ausschlüsse. „Das führte beispielweise dazu, dass ein Unternehmen, beim dem das Hochregallager wegen einer Cyberattacke nicht mehr lief, insgesamt einen Schaden von 695.000 Euro selbst schultern musste“, so Bräuchle.
Problematisch sei bei Cyberschäden auch die Haftpflichtversicherung. „Der gesetzliche Haftpflichtanspruch ist im Hackerfall unklar. Ein Verschulden gegenüber geschädigtem Dritten liegt bei den Unternehmen oft nicht vor, und die vertragliche Haftung ist meist nicht versichert“, so der Makler.
Allein bei der Vertrauensschaden-Versicherung gebe es gewisse Überscheidungen mit der Cyber-Police. „In der Praxis kann das so geregelt werden, dass die höhere Deckung durch die Cyberversicherung vorgeht“, erläuterte der Marsh-Manager. Notfalls könne es für die Vertrauensschaden-Versicherung einen Nachlass geben.
Spionageschutz schwierig
Uneins sind sich die Experten, ob der Diebstahl geistigen Eigentums, also Spionage, versicherbar ist. Während Bräuchle dies kategorisch ausschloss, will Kiln immerhin die Kosten der Entwicklung eines Produktes oder einer Idee übernehmen. Grundsätzlich ist der Nachweis aber schwer.
Unterschiedlich sind die Angebote auch bei der Frage, ob Unternehmen eine Attacke bei den Behörden anzeigen müssen, damit sie eine Leistung aus der Cyberpolice erhalten. Marsh sieht dies vor, Kiln reicht es, wenn ein Dienstleister feststellt, dass es nachweislich zu einem Angriff gekommen ist.
Die Obliegenheit könnte ein Verkaufshindernis für Cyberpolicen bedeuten. Sicherheitsexperten berichten, dass Unternehmen heute immer noch alles Mögliche tun würden, um nicht gestehen zu müssen, dass sie Opfer von Cyberkriminalität geworden sind.
