Cyberrisiken: Gewappnet für den Ernstfall

Wie sehr die digitale Vernetzung Unternehmen weltweit verwundbar gemacht hat, trat einmal mehr im Frühjahr 2017 zutage: Am 12. Mai infizierte der Erpressungs-Trojaner WannaCry innerhalb eines halben Tages Hunderttausende Computer und verschlüsselte die Festplatte. Die Angreifer verlangten von den Betroffenen aus mehr als 150 Ländern ein Lösegeld von 300 Dollar in der Internetwährung Bitcoin. Wenige Wochen später trieb Petya sein Unwesen und befiel Tausende Systeme in mehr als 60 Ländern.

Der Trojaner hatte es auf Datenvernichtung abgesehen und löschte Sektoren auf der Festplatte. Unternehmen sahen sich gezwungen, ihre Systeme abzuschalten, was teilweise massive Betriebsunterbrechungen zur Folge hatte. Ein britischer Konsumgüterhersteller bezifferte den Schaden durch den Ausfall von Produktion und Vertrieb auf über 100 Millionen britische Pfund, und eine dänische Reederei nannte den Betrag von 200 bis 300 Millionen US-Dollar.

Bereits im Oktober 2016 hatte eine sogenannte DDoS- („Distributed Denial of Service“-)Attacke für Aufsehen gesorgt. Unbekannten Angreifern war es gelungen, zahlreiche populäre Web-Dienste lahmzulegen. Die Attacke war insofern besonders, als die Täter Millionen internetfähige Haushaltsgeräte wie Kameras, Drucker, Router oder Babyphones für ihr Vorhaben kaperten. Dabei nutzten sie die Schwachstellen in der Software dieser Geräte und schlossen sie zu sogenannten Botnets zusammen. Die geballte Rechenleistung dieser Netze nutzten die Täter dann für ihre Cyberattacken.

Mit der Verbreitung der vernetzen Heimelektronik wachsen auch die Möglichkeiten für Hackerangriffe. Milliarden solcher Geräte sind bereits im Alltag aktiv, Dutzende Milliarden werden mit dem Ausbau des Internet of Things folgen. Als problematisch erweist sich, dass viele Anbieter, vor allem günstiger Geräte, keine ausreichenden Schutzmaßnahmen vorsehen.

Die Cyberattacke vom Oktober 2016 war auch deshalb so verheerend, weil die Angreifer mit dem amerikanischen DNS-Dienst Dyn einen neuralgischen Knotenpunkt des Netzes ins Visier nahmen, das sogenannte DomainName-System („DNS“). Es setzt Web-Adressen wie „www.munichre.com“ in die eigentlichen IP-Adressen der Websites um. Legt man DNS-Dienste lahm, können auf einen Schlag viele Websites abgeschnitten werden, selbst wenn ihre eigentliche Infrastruktur perfekt funktioniert.

Die Vorfälle der jüngsten Zeit zeigen, wie wichtig eine Absicherung gegen die Folgen von Cyberangriffen ist. IT-Security und der Schutz von Daten (eigene und auch von Dritten) werden zu einem zentralen Element. Wenig überraschend richten sich Cyberattacken gegen Unternehmen, bei denen viel Geld vermutet wird. Je mehr mit Kunden oder Lieferanten online interagiert wird, desto schmerzhafter können diese Angriffe sein. Cyberversicherungen bieten nicht nur Deckung für Betriebsunterbrechung und Lösegeldzahlungen, sie unterstützen Unternehmen auch beim Wiederherstellen verlorener Datensätze.

Unternehmen können sich gegen Cyberrisiken absichern, wobei je nach Ausgestaltung unterschiedliche Risiken gedeckt sind. Ganz allgemein lässt sich Folgendes festhalten:
 

• Soweit rechtlich zulässig, sind Lösegeldzahlungen versicherbar. Gedeckt sind in diesem Zusammenhang ebenfalls Kosten für externe Berater. In der Regel gibt es hierfür einen Selbstbehalt, der im Fall WannaCry in den meisten Fällen wohl zur Anwendung gekommen wäre.
• Betriebsunterbrechungen infolge eines Cyberangriffs lassen sich abdecken, selbst ohne vorangegangenen Sachschaden. In der Regel gibt es auch hier einen Selbstbehalt oder ein Sublimit sowie einen zeitlichen Selbstbehalt (Wartezeit). Die Wartezeit kann bis zu zwölf Stunden betragen, innerhalb derer viele Angriffe behoben werden können.
• Der Schutz gegen Datenverlust und Datenbeschädigung umfasst die Kosten, die für das Feststellen von Ursachen und Auswirkungen einer Cyberattacke nötig sind. Gedeckt sind zudem die Kosten zur Wiederherstellung der Daten und für die Entfernung der Schadsoftware
• Cyberversicherungen können darüber hinaus den Verlust personenbezogener Daten oder Haftpflichtansprüche Dritter abdecken.
• Gleichzeitig waren die Ereignisse ein Weckruf für die Versicherungsindustrie, sich verstärkt dem Kumulrisiko im Bereich der Cybergefahren zu widmen.

Schon heute setzt die Branche datengesteuerte Methoden ein, um Cyberereignisse zu modellieren. Diese Modelle basieren auf Szenarien, die vor allem Häufigkeit (Frequenz) und Schwere der Vorfälle berücksichtigen. Mögliche Szenarien sind die Ausbreitung von Schadsoftware wie Malware oder Spyware über systemrelevante Betriebssysteme, das Lahmlegen eines großen Cloud-ServiceProviders oder der Angriff auf die Infrastruktur des Internets. Ziel der Modellierung ist, die finanziellen Auswirkungen von Cyber-Massenszenarien wie WannaCry oder Petya zu ermitteln.

In letzter Zeit fällt es zunehmend schwerer, einzelne Cyberangreifer zu typisieren und voneinander abzugrenzen (siehe Übersicht links). Das hat auch für die Versicherungswirtschaft Konsequenzen. Traditionelle Ausschlüsse in der Versicherungspolice wie Terror oder Krieg greifen möglicherweise nicht, da Staaten oder Geheimdienste kaum ihre Beteiligung an einem Cyberangriff zugeben werden. Selbst bei Cyberterroristen – die durchaus ein Interesse daran haben, ihre Cyberkompetenzen in den Medien zu verbreiten – ist es schwierig, den Urheber und somit den vertragsgemäßen Ausschluss nachzuweisen.

Ein gutes Beispiel hierfür bietet der Cyberangriff auf den französischen Fernsehsender TV5 Monde im April 2015. Dabei wurde das Programm für mehrere Stunden unterbrochen und Websites des Senders mit Logos und islamistischen Parolen des „Cyber-Kalifats“ besetzt. Obwohl jeder Internetnutzer beim Aufrufen der Homepage von TV5 Monde eine Fahne des Islamischen Staats zu sehen bekam, vermuten IT-Forensiker, dass russische Hacker hinter dem Angriff steckten. Die Kosten zur Wiederherstellung und Sicherung der Systeme bezifferte der Sender auf knapp fünf Millionen Euro.

Mehr denn je sind ganze Industriezweige und somit Volkswirtschaften, Staaten und die Gesellschaft an sich vom Internet sowie von einer funktionierenden IT- und Telekommunikationslandschaft abhängig. Um den zunehmend komplexeren Bedrohungslagen Rechnung zu tragen, wird sich der Markt für Cyberversicherung dynamisch entwickeln. Die Nachfrage antreiben werden der technische Fortschritt und die zunehmende digitale Vernetzung. Aber auch medienwirksame Cyberangriffe, Vorschriften von Regulierungsbehörden und Gesetzgeber (insbesondere die EU-Datenschutz-Grundverordnung mit neuen Vorschriften zu Datenschutz und Meldepflichten, die ab dem 25. Mai 2018 in allen EU-Mitgliedstaaten gilt) sowie das wachsende Bewusstsein um die Cybergefahren werden zu einer stärkeren Verbreitung von Cyberpolicen beitragen. In den USA, dem größten Markt für Cyberversicherungen, haben eigenständige Deckungen zwischen 2011 und 2015 bereits um jährlich 30 Prozent auf 1,5 Milliarden Dollar zugelegt.

Schadenseitig ist damit zu rechnen, dass ausgefeilte Ransomware- oder DDoS-Attacken zu vermehrten Betriebsunterbrechungen führen. Hier schnelle Hilfe zu gewährleisten, um cyberbedingte Schäden zu minimieren, ist Teil der Aufgaben der Assekuranz. Unabhängig von der Nachfrage sollten Versicherer, die bislang keine Cyberprodukte anbieten, das eigene Cyber-Exposure im klassischen Property- oder Casualty-Bereich abschätzen und das Thema „Silent Cyber“ in der internen Risiko- und Portfolioanalyse angehen. Die Antwort von Munich Re für das eigene Portfolio ist das aktive Management derartiger Risiken, das Verfolgen einer klar definierten Cyberstrategie und weitere Investments in Cyber-Underwriting und -Risikoexpertise.