Der Verfassungsschutz beziffert den jährlichen Schaden durch Cyberrisiken auf50 Mrd. Euro. Was für die Industrie zum Megaproblem wird, bietet der AssekuranzChancen, glaubt Sven Erichsen, Geschäftsführer des Versicherungsmaklers Aon

Anne-Christin Gröger Herbert Fromme

Herbert Fromme

und Anne-Christin Gröger, Köln

Der Mann hat es nicht leicht, privat zumindest: Als Hanseat lebt Sven Erichsen mitten im Ruhrgebiet, also dort, wo fußballerisch derzeit die Musik spielt – hartes Brot für den glühenden HSV-Fan, dessen Team im öden Liga-Mittelmaß dümpelt. Sein Sohn macht es geschickter: Der fiebert mit dem FC Bayern sowie Fortuna Düsseldorf. Da ist Spannung garantiert: ganz oben und ganz unten in der Tabelle.

Was er Deutschlands Firmen rät, um sich gegen Cyberrisiken zu schützen, erzählt er der FTD im Interview.

FTD Herr Erichsen, Sie raten Unter- nehmen, spezielle Versicherungen gegen Cyberrisiken wie Hackerangriffe und Datendiebstahl abzuschließen. Bislang geht es auch gut ohne. Warum sollen Firmen auf Ihr Marketing hereinfallen?

Sven Erichsen Es gibt immer mehr Unternehmen, die Onlinegeschäftsmodelle haben. Wenn die per Hackerangriff lahmgelegt werden, hat das enorme Auswirkungen. Werden Kundendaten gestohlen, haben sie hohe Kosten durch die Benachrichtigung der Kunden, Ärger mit Kreditkartenfirmen und mehr. Wir haben eine neue, aggressive Hackerkultur. Wenn das System steht und die Ware nicht rausgeht, kann das schwierig werden. Die Absicherung gegen Hackerangriffe ist mindestens genauso wichtig wie die Versicherung gegen ein Feuer.

Aber gegen solche Risiken kann man sich jetzt schon versichern.

Erichsen Das stimmt. Da haben Firmen eine Vertrauensschadenversicherung, die auch Hackerangriffe einbezieht. Dazu eine Haftpflichtdeckung, eine Elektronikversicherung und so weiter. Bei einem Schaden wälzen sie 20 Ordner und suchen die Unterlagen. In den neuen Cyberrisikopolicen sind auch Elemente enthalten, die es so bislang nicht gab: die sofortige Assistenz durch Experten nach einem Hackerangriff und die Absicherung der Betriebsunterbrechung ohne Feuer oder anderen Sachschaden. Das kriege ich in einer normalen Sachversicherung nicht unter.

Wäre es nicht besser, die Unternehmen investierten in vernünftige Sicherheitsmaßnahmen anstatt in eine Versicherung?

Erichsen Die kleinen Mittelständler haben die größte Angriffsfläche und verfügen in der Regel nicht über die ausgefeilteste Sicherheitstechnik. Aber selbst die besten internen Sicherungssysteme können überwunden werden. Außerdem: Eine Firma mit 50 Mio. Euro Umsatz kann nicht jedes Jahr 500 000 Euro in IT-Sicherheit investieren. Und auch große Konzerne suchen Spezialdeckungen gegen Cyberrisiken, das war etwa von ThyssenKrupp zu lesen.

Billig sind die Spezialpolicen ja nun nicht gerade.

Erichsen Das ist sehr individuell, und die Versicherer pendeln sich hier auch noch ein. Als Faustregel können Sie sagen, dass ein Unternehmen mit 50 Mio. Euro Umsatz und einer Versicherungsdeckung von 1 Mio. Euro rund 10 000 Euro Prämie zahlt.

Wer bietet so etwas an?

Erichsen Im Moment vor allem die angelsächsischen Versicherer wie Hiscox, Chubb und Chartis. Die deutschen Anbieter tun sich noch etwas schwer.

Wird sich das ändern?

Erichsen Mit Sicherheit. Sehen Sie in die USA. Dort hatten wir 2011 ein Prämienvolumen von 800 Mio. Dollar (630 Mio. Euro) aus Cyberpolicen, 2012 werden es 1 Mrd. Dollar werden. 2007 hatten sieben Prozent aller Firmen eine solche Deckung, 2011 waren es schon 14 Prozent.

Und wie gewöhnlich gibt es viele Ausschlüsse.

Erichsen Es gibt Ausschlüsse, zum Beispiel für Eigenschäden aufgrund eigener arglistiger oder vorsätzlicher Handlung oder Unterlassung. Aber da kann man fast immer aushandeln, dass sich diese Begrenzung nur auf das Management bezieht. Anderenfalls wären Hackerangriffe der eigenen Mitarbeiter nicht mitversichert. Patentrechtsverletzungen sind ebenfalls ausgeschlossen. Und meistens werden die USA und Kanada aus der Deckung ausgenommen. Das kann man aber gesondert vereinbaren.

Sie haben ein Konzept für den IT-Branchenverband Bitkom mit dem Versicherer Hiscox gebastelt. Wenn diese Branche nicht weiß, wie sie sich schützt, wer dann?

Erichsen Bei Bitkom sind nicht nur Großkonzernen versichert, sondern auch Einmannbetriebe. Und eigentlich haben alle über die gesamte Bandbreite Bedarf nach so einer Absicherung.

Wie groß ist die Nachfrage?

Erichsen Bisher dürften wir in Deutschland erst etwas mehr als 100 Policen haben, aber die Nachfrage bei uns zieht stark an. Das hören wir auch von anderen Maklern. Ich glaube, das ist die bedeutendste Entwicklung in der Industrieversicherung seit Jahren. Es verlagern sich viele Aktivitäten aus der materiellen in die Datenwelt. Da ist eine Cyberpolice oft viel wichtiger als Spezialdeckungen gegen das Reputationsrisiko oder die Rechtsschutzversicherung.

Brauchen Firmen denn wirklich den Schnickschnack wie die Beratung durch Experten?

Erichsen Stellen Sie sich vor, auf einmal wird der Bildschirm schwarz, die Daten sind weg. Dann muss ich Daten wiederherstellen, habe behördliche Meldepflichten, muss Mitarbeiter beruhigen und eventuell Kunden informieren. Damit sind gerade kleinere Unternehmen leicht überfordert.

Quelle: Financial Times Deutschland