Versicherungen gegen Cyberangriffe spielen für deutsche CFOs bislang kaum eine Rolle: „Wenn der deutsche Markt in diesem Jahr Versicherungsprämien von 10 Millionen Euro einfährt, dann ist das ein gutes Ergebnis“, sagte Andreas Wania, Hauptbevollmächtigter für Deutschland bei dem Versicherungskonzern Ace Group in dieser Woche bei einer Presseveranstaltung in Frankfurt am Main. Dort diskutierten Vertreter von Ace, Wirtschaftsanwälte und Unternehmensberater zum Thema Cyberrisiken und Versicherungen.
Ein Ergebnis: Deutschland hinkt hinterher. Weltweit werden sich die Versicherungsprämien in diesem Jahr auf etwa 3 Milliarden US-Dollar (2,7 Milliarden Euro) belaufen, schätzt Ace. Der mit Abstand größte Markt sind demnach die USA mit einem Volumen von etwa 2 Milliarden US-Dollar. „Deutschland ist fünf bis sechs Jahre zurück“, sagt Wania. Doch er gibt sich optimistisch: „Ich sehe keinen Grund, warum Deutschland als einer der weltweit größten Versicherungsmärkte nicht auch an das US-Niveau herankommen sollte.“
Unternehmen verdrängen eigenes Cyberrisiko bislang
Bei deutschen CFOs dürften Cyberversicherungen jetzt stärker auf die Agenda rücken. Davon gehen nicht nur die Versicherer aus, die sich zunehmend mit Cybercrime-Policen in Stellung bringen und die Deckungskapazitäten erhöhen. In Deutschland gibt es neben Ace inzwischen ein gutes Dutzend Anbieter in diesem Segment. Auch Wirtschaftsanwälte und Unternehmensberater rechnen mit einem Nachfrageschub. Sie nennen im Wesentlichen zwei Treiber: die Regulierung sowie öffentlichkeitswirksame Cyberattacken.
Schließlich kommen die Einschläge nun immer näher: Inzwischen sind es nicht mehr nur US-Konzerne wie die Einzelhandelsketten Target, Home Depot oder Staples, die Opfer von Cyberattacken werden. In den vergangenen Wochen wurden auch die KfZ-Zulassungsstellen von Rheinland-Pfalz und Hessen sowie der deutsche Bundestag von Hackern angegriffen.
„Die Verdrängung des eigenen Cyberrisikos wird daher zunehmend schwieriger für die Unternehmen“, sagte Alexander Geschonneck, Partner bei KPMG im Rahmen der Veranstaltung. Die WP-Gesellschaft hatte in einer Umfrage im Frühjahr festgestellt, dass viele Unternehmen das generelle Cyber-Risiko zwar als hoch einstufen, sich selbst aber in trügerischer Sicherheit wähnen.
EU-Verordnung: Bei Cyberangriffen drohen Geldbußen
Auch der Gesetzgeber hat in den vergangenen Wochen den Rahmen geschaffen, um den Umgang mit Cyberrisiken zu verbessern: Das kürzlich beschlossene neue deutsche IT-Sicherheitsgesetz verpflichtet Betreiber kritischer Infrastrukturen – also etwa Energieversorger, Telekommunikation- und Logistikunternehmen sowie Finanzdienstleister – gewisse Mindeststandards bei der IT-Sicherheit einzuhalten.
Ein ähnliches Ziel verfolgt die EU-Datenschutzverordnung, auf deren Rahmenbedingungen sich die EU-Staaten gerade geeinigt haben und die voraussichtlich 2018 in Kraft treten wird: „Dadurch drohen Unternehmen erstmals empfindliche Geldbußen, wenn sie Daten durch Hackerangriffe verlieren und ihre Systeme nicht ausreichend geschützt waren“, sagt Gunbritt Kammerer-Galahn, Partnerin bei der Wirtschaftskanzlei Taylor Wessing. Es drohen Strafen bis zu 2 Prozent vom jährlichen Konzernumsatz.
Für Deutschland wäre das eine Zäsur, so die Rechtsanwältin: „Bislang arbeitet die Aufsicht in Deutschland mit den Unternehmen, anstatt Strafen zu verhängen. In den USA herrscht da eine ganz andere Mentalität.“ Das sei auch ein Grund dafür, warum Cyberpolicen dort so beliebt seien. Ein ähnlicher Trend könnte nun Europa bevor stehen.
Rating und eigene Haftung: CFOs müssen doppelt wachsam sein
CFOs sollten besonders wachsam sein: Zum einen warnte jüngst die Ratingagentur S&P, dass Unternehmen ihr Rating gefährden, wenn sie sich nicht ausreichend vor Cyberrisiken schützen. Internetkriminalität könne Auswirkungen auf diverse finanzielle Kennzahlen haben – etwa auf Cash-Bestände, Verschuldungskennzahlen und Umsatz – die wiederum die Kreditwürdigkeit beeinflussen, mahnte die Agentur.
Zum anderen laufen CFOs auch Gefahr, in die persönliche Haftung zu laufen, wenn sie Cyber-Risiken nicht ausreichend adressieren: „Wer heute als Manager das Thema Cyberrisiken allein der Verwaltung überlässt, handelt grob fahrlässig“, sagt Rebecca Koch, Geschäftsführerin beim Versicherungsmakler Kleist. In einigen Unternehmen hängt das Thema nun im Topmanagement – andere haben aber noch Nachbedarf.