Bedrohungen aus dem Internet können für Firmen existenzbedrohend werden, dochdie Assekuranz zögert mit Deckungsschutz

Im April greifen Hacker den japanischen Elektronikhersteller Sony an und stehlen Millionen von Kundendaten. Im Mai schleusen sich Cyberkriminelle in die IT des amerikanischen Rüstungskonzerns Lockheed Martin ein, der auch für die US-Regierung arbeitet. Erst kürzlich werden erhebliche Sicherheitslücken im IT-System des Autobauers VW bekannt. Die Gefahr von gezielten Angriffen aus dem Internet nimmt zu. Immer häufiger werden Großkonzerne Opfer von Cyberkriminellen, die Daten stehlen, Internetseiten manipulieren oder Firmenserver lahmlegen. Die finanziellen und rechtlichen Folgen für die Unternehmen sind fatal. Denn steht die Produktion für mehrere Stunden oder gar Tage still, weil die IT nicht läuft, ist der Verdienstausfall enorm. „Die IT ist die Achillesferse jedes Unternehmens“, sagt Kim-André Vives vom Makler Südvers.

Viele Firmenchefs in Europa unterschätzen die Gefahr oder halten sie nur für ein untergeordnetes Randthema, beobachtet Marc Heitmann, verantwortlich beim Makler Marsh für IT-Themen. „Da sind die angelsächsischen Länder schon viel weiter.“

Versicherungsschutz ist auf dem Markt eher rar gesät. Der Grund: Die Anbieter fürchten das enorme Risikopotenzial der Cyberangriffe. Denn im EDV-Bereich spielen weniger Sach- und Personenschäden eine Rolle, als Vermögensschäden.

So verwiesen die Versicherer von Sony, zwei Töchter des Schweizer Anbieters Zurich, darauf, dass der Konzern nur gegen Sach- und Personenschäden abgesichert sei. Für Schäden, die dem Unternehmen durch Kunden entstehen, deren Daten gestohlen wurden und die jetzt vor Gericht ziehen, wollen die Gesellschaften nicht aufkommen, geschweige denn für den immensen Reputationsschaden, mit dem Sony jetzt zu kämpfen hat.

„Die Kosten für den Imageverlust eines Unternehmens oder die Folgen eines Diebstahls von Kundendaten sind nicht oder nur schwer abschätzbar“, sagt Dirk Kalinowski, Branchenverantwortlicher für IT bei der Axa. Entsprechend schwierig ist die Kalkulation der Prämie.

Schwer berechenbar sind Risiken, die von einem Datenwurm wie Stuxnet ausgehen, der im vergangenen Jahr ein iranisches Atomkraftwerk paralysierte. „Die Versicherer fürchten solche Kumulschäden, denn ein Virus oder Hackerangriff kann viele Firmen gleichzeitig befallen“, sagt Vives.

Dass die Versicherer nicht intensiver an der Entwicklung neuer Policen arbeiten, liegt aber auch daran, dass die Nachfrage vonseiten der Unternehmen nicht besonders groß sei, sagt Vives. „Der Schutz ist teuer, denn das Risiko muss für jede Firma individuell analysiert werden“, sagt er. „Zudem hat die Industrie in den vergangenen Jahren eine Menge in IT-Sicherheit und Risikomanagement investiert und fühlt sich gut aufgestellt.“ So verzichte mancher Geschäftsführer zugunsten eines ausgefeilteren Risikomanagements lieber auf die Police.

Gefahren drohen sowohl durch Angriffe von außen als auch durch eigene Mitarbeiter. „Manchmal schleppen Angestellte unbewusst beim privaten Surfen durchs Internet Viren und Trojaner ins Firmennetz, ohne dass sie es wollen“, sagt Frank Fischer, Geschäftsführer Sicherheit beim Beratungsunternehmen Accenture. Wird die Firma dadurch zum Ausgangspunkt für die Weiterverbreitung gefährlicher Eindringlinge, die bei Kunden Schäden verursachen, greift in der Regel die Haftpflichtversicherung. „Voraussetzung für die Deckung ist, dass das Unternehmen seine Grundpflichten erfüllt hat, dass das Antivirenprogramm aktuell ist und Passwörter regelmäßig gewechselt werden“, sagt Kalinowski von der Axa. Generell ist der Schutz weltweit gültig. „Für die USA und Kanada sind in der Regel Sondervereinbarungen zu treffen, weil hier die Rechtsprechung bei Haftpflichtschäden sehr viel strenger ist als anderswo“, sagt Heitmann.

Anders als bei Haftpflichtschäden sieht es bei einer Betriebsunterbrechung aus, ausgelöst durch eine Denial-of-Service-Attacke. Dabei wird ein Webserver mit Anfragen und Daten überflutet und dadurch blockiert. Besonders anfällig für solche Gefahren sind Kreditkartenfirmen und Telefondienstleister. Ende vergangenen Jahres legten Hackergruppen die Seiten der Wikileaks-Gegner Visa und Mastercard stundenlang lahm. Zwar kommt der Versicherer für die Kosten der Datenwiederherstellung auf, doch auf den Kosten für die Betriebsunterbrechung bleibt die Firma sitzen. Leidet der gute Ruf, weil Hacker Kundendaten gestohlen haben, zahlt kein Versicherer. „Durch den Skandal verursachte Verluste am Markt sind durch keine Police gedeckt, es sei denn, das Unternehmen ist ein IT-Dienstleister“, sagt Kalinowski. „Hat der eine Elektronikversicherung abgeschlossen, kommt der Versicherer für Maßnahmen wie eine PR-Kampagne auf.“

Weil sich Unternehmen so schwer mit Versicherungsschutz vor Gefahren aus dem Cyberspace wappnen können, ist Prävention entscheidend. Dazu gehört ein ausgearbeitetes Zugangsmanagement, das festlegt, welcher Mitarbeiter auf sensible Daten zugreifen kann, sowie die regelmäßige Schulung von Mitarbeitern. Das Training sollte nicht pauschal, sondern zielgruppenspezifisch aufgebaut sein, sagt Fischer von Accenture. „Für Manager ist es etwa wichtig, die Risiken ihrer iPhones und anderer mobiler Endgeräte genau zu kennen.“

Manche Konzerne arbeiten mit bekannten Hackern zusammen, die früher kriminell waren und ihr Wissen heute Firmen zur Verfügung stellen. Sie decken Sicherheitslücken auf, bevor Cyberkriminelle sie finden.

Welche Maßnahmen sie auch ergreifen – Firmen sollten immer den Rat eines unabhängigen Fachmanns einholen, rät Heitmann von Marsh.

Anne-Christin Gröger

Quelle: Financial Times Deutschland