Präsidententhema Hacker: Wird die Cyberversicherung bald unbezahlbar?

Der Hoody-tragende Teenager ist passe. Längst sind Hackerattacken ein milliardenschweres Geschäft für Profis, die oftmals staatliches Patronat genießen. Die jüngsten Attacken könnten in der Cyberversicherung zu einer Entwicklung führen, an deren Ende möglicherweise die Unversicherbarkeit des Risikos steht.

Die USA und einige Verbündete haben China aktuell wegen gezielten Cyberattacken beschuldigt. Mit geringer zeitlicher Divergenz rückte auch Russland in den Fokus. Die Vereinigten Staaten haben den Handel mit vier russischen Cyber-Security-Firmen und zwei weiteren „Einheiten“ wegen „aggressiven und verletzenden“ Tätigkeiten im Bereich Cyber eingeschränkt. Ebenso wie China soll auch Russland Hacker-Gruppen auf ihrem Staatsgebiet nicht nur gewähren lassen, sondern sie in ihrem Tun sogar ermutigen und zumindest teilweise unterstützen. Die Angegriffenen bestreiten das.

Der Grund für das verstärkte Engagement der USA könnte die berühmt-berüchtigte und zuletzt prominent tätige Hackergruppe „REvil“ sein, die offenbar russische Wurzeln hat. Die Kriminellen haben den IT-Dienstleister Kaseya gehackt und über deren Server Schadsoftware verteilt. Da die Daten von einer vertrauenswürdigen Quelle stammen, hatten die firmeneigenen Sicherheitsprogramme der mindestens 1.500 betroffenen Kaseya-Kunden meist nicht reagiert. Die Hacker hatten 70 Millionen US-Dollar für die Freigabe der durch sie verschlüsselten Daten gefordert und von einer Million betroffener Rechner gesprochen. Im Mai hatte die Gruppe in Brasilien den Fleischkonzern JBS lahmgelegt und ein Lösegeld von elf Mio. US-Dollar eingestrichen.

Momentan ist die REvil im Netz nicht mehr auffindbar. Ein Grund könnte sein, dass US-Präsident Joe Biden mit dem russischen Präsidenten Wladimir Putin telefonierte und ihm „mit Nachdruck“ erklärt hat, er müsse gegen Hackergruppen in Russland vorgehen. Möglicherweise haben die USA mit dem Einsatz der Spezialeinheit Cyber Command gedroht. Die staatliche Gruppe war in der Vergangenheit gegen russische Botnetze vorgegangen, um die Präsidentschaftswahlen vor Einflussnahme zu schützen. Vorbei ist das Geschehen damit nicht. Ein US-Regierungsvertreter hat erklärt, in den kommenden Tagen oder Wochen sei mit „Reaktionen Washingtons“ auf die Angriffe zu rechnen. Ob REvil tatsächlich mit dem russischen Staat in Verbindung steht, ist nicht klar. Das Verschwinden nach der Kaseya-Attacke und dem Telefonat der Präsidenten deutet darauf hin, kann aber genauso gut schlicht ein Abtauchen nach einem erfolgreichen Coup sein.

Die Versicherer sorgen sich

In dieser komplexen Welt voll mit Hackern, Präsidenten, Geheimdiensten und Cyber-Spezialkommandos bewegen sich die Versicherer mit ihrem Schutzangebot. Bald könnten sie vor dem selben Problem stehen wie die Sach- und Industrieversicherer, einem nicht mehr zu versichernden Risiko. Steigt die Gefahr über einen bestimmten Punkt hin an beispielsweise durch den Klimawandel ausgelöstes Extremwetter, kann der Schutz zwar kalkuliert, aber von den Kunden nicht mehr bezahlt werden. Die Versicherer warnen bereits vor diesem Szenario. Im Bereich Cyber wäre das analoge Modell zur Klimagefahr eine weitere Hochrüstung der Hacker, unterstützt und gedeckt von staatlicher Seite. Bereits jetzt sprechen Experten wie Hanno Pingsmann, Geschäftsführer von CyberDirekt, von einem „unweigerlich steigenden Prämienniveau„.  

Versicherer besorgt

Die Entwicklungen in der Cyberversicherung beschäftigen und beunruhigen die Versicherer. „Sowohl durch die steigende Anzahl als auch die steigende Komplexität der Cyber-Schadenfälle steht die Branche vor einer großen Herausforderung“, erklärt Ole Sieverding, Product Head Cyber bei Hiscox Deutschland. Bereits seit Ende 2019 habe sich der Cyber-Markt auch in Deutschland zunehmend verhärtet. Die Versicherungsbeiträge sind allerdings nicht der einzige Faktor. „Um Cyber-Versicherungen bezahlbar zu halten, werden zunehmend stärkere Risikoanforderungen an die versicherten Unternehmen gestellt“, erklärt der Experte. Die Verantwortung eines Cyberschutzes lasse sich nicht auslagern. IT-Sicherheit und eine angemessene Vorbereitung auf den Cyber-Ernstfall „gehören ganz oben auf die Prioritätenliste der Vorstandsetagen“, stellt Sieverding klar.

Die Versicherer stecken in einer Zwickmühle. Das Geschäft ist ein stetig wachsender Milliardenmarkt, zu groß, um darauf zu verzichten; allerdings  auch mit kaum zu kalkulierenden Risiken. „Tatsächlich steigen die Cyber-Risiken aufgrund der zunehmenden Digitalisierung unserer Gesellschaft immer weiter. Die Geschwindigkeit, in der die IT-Systeme weiterentwickelt werden ist so gewaltig, dass es oftmals nicht gelingt, interne Prozesse und Sicherheitsmaßnahmen im gleichen Maße weiterzuentwickeln“, erklärt die R+V das Problem anschaulich. Es komme zu „deutlich größeren Schäden“, was Folgen für den Markt hat. „In Zukunft werden wir uns deshalb im Cybermarkt einer weiteren Verknappung der Kapazitäten und einem weiteren Anstieg der Prämien ausgesetzt sehen“, analysieren die Wiesbadener.

Die angesprochene Verwundbarkeit gilt besonders stark für Unternehmen, die zur Wertschöpfung auf ihre IT-Systeme angewiesen sind, erklärt die R+V. Das dürfte heutzutage praktisch überall der Fall sein. Zu den besonders Gefährdeten gehört die Finanz- und Versicherungsbranche, zeigten Experten von Aegon Asset Management kürzlich anschaulich auf. Rund ein Viertel der Angriffe richtet sich auf Unternehmen mit monetär geprägtem Geschäftsfeld.

Wenig Gutes hat auch der Spezialversicherer AGCS zu berichten. „Die Zahl der Attacken ist in den vergangenen zwölf Monaten noch einmal stärker gestiegen als in den Jahren zuvor – und besonders die Zunahme von Ransomware-Angriffen mit immer höheren Lösegeldforderungen ist besorgniserregend“, erklärt Jens Krickhahn, verantwortlich für Cyberversicherung bei AGCS Zentral- und Osteuropa.

Die AGCS hat im letzten Jahr rund 1.000 Schadenfälle in der Cyberversicherung – welche noch immer ein junges Versicherungsprodukt ist – registriert, vor vier Jahren waren es erst 100. Auf die steigenden Cyberrisiken und den Negativtrend im Schadenbereich reagiert die AGCS „mit einem konservativen, vorsichtigen Ansatz in der Cyberversicherung“, denn man wolle ein „langfristiger Partner“ sein. „Letztlich entscheiden die Qualität und das Niveau der IT-Sicherheit eines Unternehmens darüber, welche Konditionen und Kapazitäten angeboten werden können. Man könne das als „Capacity by Risk Quality“ bezeichnen“, erklärt Krickhahn.

Für mehr als die Hälfte der Anträge konnte die AGCS kein Angebot abgeben, weil die Risiken „entweder nicht kalkulierbar“ oder die Anforderungen an die IT-Sicherheit „nicht erfüllt“ waren. Das zeige den „zum Teil enormen Nachholbedarf gerade im Mittelstand“ und die Notwendigkeit, dass Unternehmen „kontinuierlich in IT-Sicherheit investieren müssen“. Ein guter Schutz sei ein „kontinuierlicher Prozess der Härtung des IT-Reifegrads“.

Die steigende Cyber-Gefahr ist real. Die Versicherer haben bereits begonnen, ihren Schutz an Vorgaben zur IT-Sicherheit zu knüpfen, die Beiträge steigen analog. Vielleicht müssen am Ende die Staaten das Werk von Cyberkriminellen einschränken, damit das Produkt auch für kleine Unternehmen bezahlbar bleibt.

Autor: Maximilian Volz