Deutsche Firmen — Cyberschutz mangelhaft!
„Cyber sind wir!“ — damit wirbt der Cyberspezialist Cogitanda für die Prävention, Versicherung und Schadenbehebung von IT-Risiken. Über die zunehmenden Gefahren durch Hacker, die fehlende Absicherung deutscher Firmen sowie die Schwierigkeit, Cyberversicherungen zu kalkulieren, sprach der Versicherungsbote mit Jörg Wälder, CEO der Cogitanda Group.
- Deutsche Firmen — Cyberschutz mangelhaft!
- Ransomware: Policen vor 2016 waren nicht adäquat bepreist
Versicherungsbote: Cyber ist ein Hype-Thema: Viele Firmen auf dem deutschen Markt sind noch nicht abgesichert, die Marktchancen scheinbar grenzenlos, die Kosten bei Schäden groß. Ihre Einschätzung? Kann sich Cyber als Boomprodukt der Branche etablieren — unter welchen Bedingungen?
Anzeige
Jörg Wälder: Cyber-Gefahren sind existenzbedrohend für viele Firmen, wie diverse Schadenbeispiele zeigen. Die Reederei Maersk musste zum Beispiel nach einer Hacker-Attacke zehn Tage analog arbeiten, das heißt mit Stift und Papier, erlitt durch den Angriff mehr als 100 Millionen Euro Schaden. Auch die Deutsche Telekom, die Plattform Ashley Madison usw. wurden Ziel von Angriffen mit Millionenschäden.
Cyberversicherung kann unserer Meinung nach nur dann ein Hype sein, wenn die Digitalisierung ein Hype ist. Perspektivisch ist es schwer vorstellbar, dass Cyberrisken und infolgedessen Cyberschäden in der Zukunft abnehmen. Genau das Gegenteil wird der Fall sein. Die prognostizierte Entwicklung des IOT-Marktes, die Verlagerung vollständiger Geschäftsmodelle von analog zu digital sowie Phänomene wie Autonomes Fahren und Connected Home werden in den nächsten Jahren dazu führen, dass die jährlichen Cyberschäden global von heute ungefähr 600 Milliarden US-Dollar bis Mitte des nächsten Jahrzehnts auf 6.000 Milliarden anwachsen werden, so zumindest eine Schätzung der Herjavec Group. Ein unfassbarer Wert, nicht wahr? Das Risiko, welches der Cyberversicherung zugrunde liegt, wird also in den nächsten Jahren drastisch weiter ansteigen. Entsprechend gehen wir von einer stark steigenden Nachfrage nach Cyber-Dienstleistungen und -Versicherungen aus.
Studien legen sogar nahe, dass die Cyberversicherung in 20 Jahren höhere Prämieneinnahmen generieren könnte als die KFZ-Versicherung. Laut dem Versicherer-Dachverband GDV sollen sich die Prämieneinnahmen in den nächsten Jahren jeweils verdoppeln, das sehen wir auch so. Wie bereits zuvor angesprochen, wird der Cybermarkt, sowohl der dedizierte IT-Security Markt als auch entsprechende Versicherungslösungen, weiter sehr stark wachsen, solange die Digitalisierung auch nur ansatzweise in dem Tempo voranschreitet wie bisher.
Wie schätzen Sie die aktuelle Marktsituation in Deutschland ein? Haben Firmen den Absicherungsbedarf erkannt — und wo gibt es noch Lücken?
Schon heute haben wir in Deutschland Schäden durch Cybercrime von jährlich rund 65 Milliarden Euro, das sind immerhin rund 1,9 Prozent des Bruttoinlandsproduktes (BIP). Dem entgegen haben die Investitionen in entsprechende Risikominderungsmaßnahmen mit rund 8 Milliarden Euro jährlich und in Versicherungslösungen mit bisher lediglich 0,1 Milliarden per annum noch deutliches Entwicklungspotential.
In dem Bereich der Risiko-Prävention scheint es schon eine gewisse Bereitschaft der Unternehmen zu geben, in die Sicherheit ihrer Systeme zu investieren. Dennoch: In der jüngst veröffentlichen 5. Auflage der Cybercrime Studie von KPMG (e-Crime in der deutschen Wirtschaft, 2019), gaben 33 Prozent der Unternehmen mit einem Jahresumsatz von 250 Millionen Euro bis 3 Milliarden Euro an, jährlich lediglich zwischen 10.000 Euro und 50.000 Euro zur Bekämpfung von Cybercrime auszugeben. Das ist in Anbetracht der möglichen und heute bereits eintretenden Schäden bei Unternehmen dieser Größenordnungen eindeutig zu wenig, der nächste substanzielle Schaden ist fast schon nur noch eine Frage der Zeit.
Was sind die größten Kostentreiber, die Unternehmen bei Cyberschäden entstehen können? Können Sie Beispiele nennen?
Aus Sicht der Kunden sind die Folgen aus einem erfolgreichen Angriff mit Ransomware, das Thema Cyber-Betriebsunterbrechungen und insbesondere auch Datenschutzvorfälle regelmäßig wirtschaftlich kritisch. Eine Betriebsunterbrechung kann zum Beispiel zu durchaus substanziellen Schäden führen, wenn, wie bei Mondelez (Hersteller u.a. von Toblerone), im Zuge der Ransomware-Attacke notPetya Produktionsabläufe und Lieferketten für Wochen gestört werden.
Anzeige
Auch erleben wir zuletzt vermehrt den kombinierten Einsatz mehrerer Arten von Schadsoftware bei ein- und demselben Angriff. Software 1 spioniert das Zielobjekt in Ruhe aus, das kann über Wochen und Monate gehen. Ziel dieser Aktion ist es, den Wert des Unternehmens zu ermitteln, also was ist das Unternehmen bereit und in der Lage, im Erpressungsfall zu zahlen? Eher 5.000 oder 500.000 Euro? In der Praxis sind das dann natürlich 0,5 bzw. 50 Bitcoins. Software 2 löscht danach alle Backups, auch jene Backups, die bei einem externen Dienstleister liegen und vermeintlich sicher sind. Sie werden jetzt sagen, das geht doch gar nicht, genau deswegen liegen meine Backups ja in der Cloud. Glauben Sie uns, das geht. Software 1 hat nicht nur den „Wert des Unternehmens“ bestimmt, sie hat auch die Administratorenpasswörter im System gefunden und den Rest können sie sich vorstellen. Software Nr. 3 schließlich ist ein Erpressungstrojaner klassischen Zuschnitts, der das System des Unternehmens verschlüsselt und seine „Hilfe“ beim Entschlüsseln gegen eine angemessene „Gebühr“ anbietet, deren Höhe besagte Software 1 zu bestimmen geholfen hat.
Ransomware: Policen vor 2016 waren nicht adäquat bepreist
Die Erfahrungen mit Cyberrisiken sind noch jung, aber klar ist: Es drohen hohe Kosten, wie etwa die Schadenssummen nach der Hackerattacke Wannacry gezeigt haben. Damals wurde eine Vielzahl von Firmen gleichzeitig geschädigt: Deutsche Bank, DB oder Renault. Naiv gefragt: Lassen sich die Kosten für solche Risiken seriös kalkulieren? Auch vor dem Hintergrund, dass solche Attacken ja in breiter Fläche und international Kosten verursachen?
Das vorstellbare Kumul in Cyber ist beachtlich und deswegen sehr ernst zu nehmen. Bedingt wird dies dadurch, dass eine solche Cyberattacke vor geographischen Grenzen nicht Halt macht und bisher nur limitiert Vergangenheitsdaten vorliegen: Deshalb sind Kumule nur schwer zu modellieren.
Anzeige
Weiterhin tut sich die Versicherungsbranche mit dem Erfassen der Gesamtexposure-Situation in Cyber schwer. Es gibt die „affirmative“ Cyber-Deckung, Add-on-Produkte zu bestehenden P&C-Produkten („property and casualty insurance“: Schaden- und Unfall-Versicherung), bei der die Abgrenzung zwischen den Deckungselementen ein Problem werden könnte, und last but not least „Silent Cyber“-Risiken, die Versicherer heute noch ganz generell in ihren Beständen haben, wenn sie neben Cyber auch andere Schaden- und Unfall-Sparten anbieten.
[„Silent Cyber“: Damit gemeint sind potenzielle Cyber-Schäden, die in „konventionellen“ Sach- und Haftpflichtversicherungen verborgen sind, oft unbemerkt. Der Versicherer muss auch für diese Folgeschäden zahlen, wenn der Versicherungsnehmer keine spezielle Cyberpolice abgeschlossen hat: etwa für Personenschäden, wenn die Steuerung eines autonomen Fahrzeuges manipuliert wird und es in eine Menschenmenge fährt, Anmerkung Redaktion].
Lloyd’s scheint von den „unsichtbaren“ Cyber-Risken jetzt genug zu haben - In einem radikalen Schritt hat der Markt vor Kurzem angekündigt, dass alle P&C-Policen, die über Lloyds abgewickelt werden, ab spätestens 2021 klar deklarieren müssen, ob und in welchem Umfang Cyber-Risiken gedeckt sind oder nicht.
Während wir eigene Modelle entwickeln, um das Cyber-Kumul einschätzbar zu machen, muss festgestellt werden, dass diese Aufgabe kaum von einem einzelnen Unternehmen bewältigt werden kann. Aus diesem Grund stehen wir im regen Austausch mit verschiedenen Stakeholdern der Cyber-Versicherungs- und Cyber-Security-Industrien, wie zum Beispiel Cyber-Risikomodellierern, Rückversicherern und IT-Security-Dienstleistern und Beratungen, Herstellern von Hard- und Software, etc. Wir müssen und werden dieses Thema gemeinsam in den Griff bekommen.
Ob die aktuellen Schätzungen zu Cyber-Kumulen „seriös“ sind, ist sicherlich vom Betrachtungswinkel abhängig. 2030 werden die Cyber-Kumul-Modelle von heute vermutlich belächelt werden – Daten und Erkenntnisse sind heute noch recht begrenzt. Dies bedeutet für uns jedoch nicht, dass die aktuellen Modelle und Bepreisungen von Cyber unseriös sind. Jede Zeit in der Entwicklung einer neuen Sparte hat ihre eigenen Herausforderungen. Heute, wo der Cyber-Versicherungsmarkt sich noch in den Kinderschuhen befindet, gilt es, sich mit einem tendenziell vorsichtigen Pricing aufzustellen. Schritt für Schritt werden Pricing und Kumul-Einschätzung an Qualität zulegen.
Cyberschäden ändern sich: Mir scheint, es besteht eine Art Wettlauf zwischen Hackern und Sicherheits-Dienstleistern. Bedeutet auch die Tarifkalkulation ein ständiges Hinzulernen?
Ja, der eingeschränkte „Vorhersagewert“ von Daten zu Cyber-Schäden kommt erschwerend zu den bereits zum Thema „Cyber-Kumul“ umrissenen Modellierungs-Herausforderungen hinzu. Das beste Beispiel hierfür sind die Policen, die Cyber-Versicherer bis Ende 2016 bepreist haben, bevor die beiden Ransomware-Angriffe von NotPetya und WannaCry im Folgejahr ungeahnte Schäden verursacht haben. Das Schadenpotential von Ransomware und damit die durchschnittlichen Cyber-Schäden eines Unternehmens wurden also, wenn man sich nur nach historischen Daten vor 2016 ausgerichtet hat, stark unterschätzt und die Policen waren dementsprechend nicht adäquat bepreist.
Anzeige
Die Fragen stellte Mirko Wenig
- Deutsche Firmen — Cyberschutz mangelhaft!
- Ransomware: Policen vor 2016 waren nicht adäquat bepreist