Hackerangriffe: Versicherer und das Problem mit dem Lösegeld

Cyberangriffe sind wie Naturkatastrophen, sie werden von den Menschen (mittlerweile) als unvermeidlich hingenommen. Zu selbstverständlich sind Meldungen über Datenmissbrauch, gestohlenes Geld oder ergaunerte Daten geworden. Dennoch zieht die Cyberversicherung Unternehmen an wie Honig den Meister Petz. Neben der steigenden Fallzahl sind auch rechtliche Fragen Fallstricke für die Versicherer. Nicht alle haben die Gefahr schon erkannt.

Die Schäden in der Cyber-Versicherung sind schwer kalkulierbar, doch auch die rechtlichen Probleme sind komplex. Dr. Stefan Segger, Rechtsanwaltsgesellschaft Segger, erklärte kürzlich auf einer Konferenz, dass das Zahlen von Lösegeld an Hacker „durchaus als Unterstützung einer kriminellen Vereinigung gemäß §129 StGB zu werten“ sei. Das erwischt die Versicherer offenbar auf dem falschen Fuß, obwohl Zahlungen an Hacker offenbar alles andere als unbekannt sind.

Zahlungen an Hacker

„Mit diesem Ansatz haben wir uns noch nicht intensiv beschäftigt und können daher zum gegenwärtigen Zeitpunkt hierzu keine Stellungnahme abgeben. Informationen zum Kostenausgleich an den Versicherungsnehmer über von diesem getätigte Lösegeldzahlungen geben wir grundsätzlich nicht an die Öffentlichkeit“, erklärt die Gothaer.

Für Seggers Einschätzung gibt es auch Zustimmung. „Die rechtliche Würdigung von Herrn Dr. Segger würde ich als Jurist durchaus teilen. In der Praxis fragen sich jedoch weder der Versicherungsnehmer noch der Versicherer, ob sie mit der Zahlung eine kriminelle Vereinigung unterstützen. In den meisten Fällen geht es darum, dem Versicherungsnehmer so schnell wie möglich eine praktikable Lösung zu bieten. Das würde im Notfall auch das Zahlen von Lösegeld beinhalten. Bislang haben wir jedoch immer eine Alternative gefunden und die Zahlung von Lösegeld war nicht erforderlich, erklärt Johannes Behrends, Head of Specialty Cyber bei AON.

Hiscox sieht die rechtlichen Probleme als nicht gravierend an: „Unsere Schadenerfahrung zeigt, dass in den meisten Fällen die Zahlung eines Lösegeldes nicht notwendig ist, da es in der Regel einen anderen Weg gibt, den Geschäftsbetrieb wieder zum Laufen zu bringen. Bei einer Cyber-Infektion sollte nach dem Eindämmen der Verbreitung zunächst mit einem IT-Experten analysiert werden, welche Teile des IT-Systems betroffen sind. Hier werden die Vorteile eine Cyber-Versicherung deutlich, denn der Zugang zu Experten, mit dem entsprechenden Know-how ist begrenzt, erklärt Ole Sieverding, Underwriting Manager bei Hiscox.

Er setzt auf die Mitarbeit des Angegriffenen: „Im Idealfall hat sich ein Unternehmen im Rahmen des Risikomanagements bereits zu diesem Szenario Gedanken gemacht und wie darauf im Ernstfall reagiert wird. Mit präventiven Maßnahmen und der schnellen Hilfe von Experten verliert eine mögliche Lösegeldforderung schnell ihren Schrecken.“

Geschäft trotz Hackerangriffen

Ob Lösegeld oder nicht, die Hackerangriffe nehmen zu. Nicht immer sind sie so harmlos wie kürzlich in New York. Hacker hatten sich Zugang zu elektronischen Verkehrsanzeigen verschafft und (mehr oder weniger) politische Nachrichten verbreitet. Es gibt auch heiklere Fälle, in Amerika wurde sich bereits in Krankenhausequipment hineingearbeitet. Andere Aspekte wie Datendiebstahl oder ein digitaler Raubzug, gehören mittlerweile praktisch zum Alltag. Eine Studie von Guy Carpenter und Cyber Cube Analytics hält Versicherungsschäden von 20 Mrd. Dollar in naher Zukunft für wahrscheinlich, bei steigender Tendenz.

Kann bei solchen Zahlen ein einträgliches Geschäft erreicht werden? „Wenn wir mit Cyber-Versicherungen keine Gewinne erzielen könnten, würden wir diese nicht anbieten. Die geringe Datenbasis im Vergleich zu klassischen Versicherungen, eine nur schwer zu kalkulierende Schadenentwicklung und die Gefahr von Kumulrisiken stellen alle Anbieter vor große Herausforderungen. Daher müssen wir die Policen immer wieder anpassen sowie das Risiko neu einschätzen, erklärt Sieverding. Das Unternehmen geht von schwereren Hackerangriffen in der Zukunft aus, zudem steige die Gefahr, „Opfer einer Cyber-Attacke zu werden“.

Auch AON ist zufrieden mit der Entwicklung des Geschäfts. „Cyber ist aktuell sehr rentabel. Dieser glückliche Umstand ermöglicht es uns auch, das Team, das sich ausschließlich um Cyber kümmert, laufend zu erweitern. Cyber wird unserer Ansicht nach in der Zukunft eine der wichtigsten Sparten werden. Der oft verwendete Vergleich mit der D&O Versicherung ist hier durchaus berechtigt, vermutlich sogar noch untertrieben“, glaubt Behrends.

Im Jahr 2018 betrug das weltweite Cyber-Prämienvolumen geschätzte vier Mrd. US-Dollar, schon 2025 wird ein Volumen in Höhe 20 Mrd. Dollar erwartet, führt er weiter aus und bestätigt die oben zitierte Studie. Behrends sieht aber auch Gefahren für die Branche. Schon jetzt hätten einige Versicherer eine „Schadenquote von über 100 Prozent“. Sein Schluss aus dieser Entwicklung ist, dass in der Branche Kapazitäten gesenkt und die Prämien steigen werden.

Das positive Bild hinsichtlich der Gewinne wird mit der Gothaer abgerundet. „Rein versicherungstechnisch verläuft die Cyberversicherung in unserem Hause positiv, allerdings stehen dem natürlich die Anfangsinvestitionen in Produktentwicklung und Prozessaufbau (incl. Dienstleister-Ökosystem) gegenüber, die sich erst über eine längere Zeitstrecke amortisieren werden.“

Trotz der rechtlichen Fallstricke und der Gefahr steigender Schäden ziehen die drei Versicherer ein positives Fazit. Der Bereich Cyberversicherung wird auch in Zukunft ein umkämpfter Markt bleiben, trotz zunehmender Gefahren. Sorgen sollten die hohen Schadenquoten bereiten, die D&O-Versicherung lässt grüßen.

Buchtipp: 100 Fragen rund um Cyber-Versicherungen von Thomas Pache – erschienen im Verlag Versicherungswirtschaft.

Autor: Maximilian Volz