Die Grenzen der Versicherbarkeit im Cyberraum

9,5 Billionen US-Dollar - so hoch sollen 2024 die weltweiten Kosten aufgrund von Cyberkriminalität ausfallen. Würde man Cyberkriminalität wie ein Land messen, schreibt Cybersecurity Ventures, von dem diese Einschätzung kommt, wäre sie nach den USA und China die drittgrösste Volkswirtschaft der Welt. Zum Vergleich: Das Bruttoinlandprodukt der Schweiz betrug 2022 knapp 781,5 Milliarden Franken - also weniger als ein Zehntel der Cybercrimekosten. 

In den nächsten beiden Jahren soll das ohnehin bereits immense Schadensausmass um 15 Prozent steigen - also deutlich schneller als die Bruttoinlandprodukte der Schweiz, USA oder China. Somit knacken die Kosten aufgrund von Cyberkriminalität wohl bereits nächstes Jahr die 10-Billionen-Dollar-Marke. 

Diesen Schaden sollen Versicherungsgesellschaften abfedern. Das Geschäft mit Cyberversicherungen ist in den vergangenen Jahren aufgrund steigender Nachfrage deutlich gewachsen. Das Rückversicherungsunternehmen Swiss Re geht davon aus, dass die Prämien bis 2025 auf zusammengezählt 23 Milliarden Dollar ansteigen werden. 

Wann Cyberversicherungen was abdecken

Inwiefern fangen Versicherungsgesellschaften den Schaden tatsächlich ab? Und wo liegen die Grenzen der Versicherbarkeit im Cyberraum? Die erste Frage lässt sich deutlich einfacher beantworten. Zwar gibt es durchaus Unterschiede zwischen den Angeboten der verschiedenen Anbieter. Aber generell decken Cyberversicherungen die folgenden Schäden ab:

• Die infolge eines Cybervorfalls entstandenen Schäden an Daten
• Die Aufwendungen für die Abwehr eines Angriffs
• Die Kosten für die Wiederherstellung der attackierten Infrastruktur
• Der Schaden, der aufgrund der Unterbrüche im Alltagsgeschäft entsteht
• Ausgaben für Krisenmanagement und Kommunikation 

In der Regel sind auch Cybervorfälle gedeckt, die auf fehlerhaftes Verhalten von unachtsamen Angestellten oder Dienstleistern zurückzuführen sind. Gewisse Anbieter kommen auch für Massnahmen auf, um einen drohenden Reputationsschaden abzuwenden. Den tatsächlichen Reputationsschaden sowie Börsenverluste, zu denen es nach einer Cyberattacke kommen kann, müssen Unternehmen in der Regel jedoch selbst berappen. 

René Buff, Leiter des Cyber Committee bei Helvetia. (Source: zVg)

Wann eine Versicherung zahlt und wann nicht, ist - zumindest laut den Anbietern - in den jeweiligen Policen klar definiert. Konkrete Angaben zu Schadenszahlen oder -höhen machen die Versicherungsunternehmen zwar nicht. "Es kann jedoch festgehalten werden, dass bei der Mehrzahl der gemeldeten Schäden ein gedecktes Schadenereignis vorlag und entsprechende Leistungen erfolgten", sagt René Buff, Leiter des Cyber Committee bei Helvetia, auf Anfrage. Ähnlich sind auch die Rückmeldungen von Allianz Suisse ("recht häufig") und Axa ("üblicherweise"). 

"Selten kann es zu Leistungskürzungen kommen, wenn vertragliche Obliegenheiten - zum Beispiel das Erstellen eines wöchentlichen Offline-Backups - nicht eingehalten werden und dadurch die Schadenssumme vergrössert wurde", sagt Simon Seebeck, Leiter des Kompetenzzentrums Cyber Risk bei der Mobiliar. Derartige Ausschlüsse kennen natürlich auch die anderen Anbieter. Diese seien bei Vertragsabschluss aber bereits bekannt, deshalb würden sie im Schadenfall meist eine untergeordnete Rolle spielen, erklärt Thomas Greub, Senior Underwriter Cyberversicherung Unternehmenskundengeschäft bei der Axa. 

Simon Seebeck, Leiter des Kompetenzzentrums Cyber Risk bei der Mobiliar. (Source: zVg)

Übliche Voraussetzungen für eine Cyberversicherung, die bei Nichteinhaltung zu Leistungsminderungen führen könnten, sind etwa:

• Ein IT-Grundschutz muss vorhanden sein (Antivirenprogramme, Firewalls etc.).
• Verwendete Softwarelösungen müssen aktuell gehalten und Sicherheitsupdates entsprechend zeitnah eingespielt werden (Patchmanagement).
• Backups müssen regelmässig erstellt und getrennt vom Firmennetzwerk aufbewahrt werden.
• Mitarbeitende müssen regelmässig geschult und vor Cyberrisiken sensibilisiert werden. 

Wo die Versicherbarkeit im Cyberbereich endet

Unternehmen, auch wenn sie deutlich mehr als nur das Mindestmass bei der Cyberhygiene erfüllen, sind trotzdem nicht vor allen Gefahren aus dem digitalen Äther gefeit. "Angriffe gegen das versicherte Unternehmen im Rahmen eines Cyberkrieges oder auch gezielte Angriffe von staatlich gesteuerten Akteuren gelten gemeinhin als nicht versicherbar", sagt Ivo Heeb, Experte Underwriter Cyber & Technology bei der Allianz Suisse. Die Allianz steht diesbezüglich nicht alleine da. Seebeck von der Mobiliar erwähnt in diesem Zusammenhang zudem Cyberterrorismus sowie "systemische Ereignisse wie ein Infrastruktur-Ausfall (Strom-, Elektrizität-, Finanzmarktinfrastruktur, Wasserversorgung, Satellitensysteme, Wasserversorgung, Aviatik-Infrastruktur)". 

"Für Ereignisse, die über Einzelangriffe hinausgehen und eine weitaus höhere Deckungskapazität erfordern, also grossflächige- (systemische) Cyberattacken, besteht im Bereich der benötigten finanziellen Kapazitäten eine Lücke, sowohl in der Schweiz als auch weltweit", erklärt Buff von Helvetia diesen Umstand. "Angesichts des riesigen volkswirtschaftlichen Schadenspotenzials bei solchen systemischen Ereignissen kann das Versicherungsprinzip des Ausgleichs (die Prämien vieler decken die Risiken einzelner) nicht mehr greifen."

Thomas Greub, Senior Underwriter Cyberversicherung Unternehmenskundengeschäft bei der Axa. (Source: zVg)

Eine in der Theorie nachvollziehbare und sinnvolle Grenze, welche die Versicherungsunternehmen hier setzen. In der Realität schaffen sie hiermit aber eine Grauzone. Wo die Cyberkriminalität endet und der Cyberkrieg beginnt, ist selten klar. Cyberkriege werden nämlich mehrheitlich von mehr oder weniger legitimierten Kriminellen ausgetragen - die zugleich weiterhin ihren kriminellen Machenschaften nachgehen können. Die Art, wie gewisse Staaten das Thema Cyberwarfare anpacken, zeigt gewisse Parallelen zur Freibeuterei von früher. 

Wenn Sie mehr darüber erfahren möchten, wie Kriminelle den Staaten unter die Arme greifen und was dies mit der historischen Freibeuterei zu tun hat, können Sie hier den Hintergrundbericht zum Thema Cybersöldner lesen.

Was diesen Punkt betrifft, sollten Unternehmen also den Dialog mit der eigenen Versicherung suchen. Es sei denn, die Police klärt bereits exakt, in welchen Fällen die Versicherung von Cyberwarfare, Cyberterror oder staatlich gesteuerten Attacken ausgeht. 

Die aktuell steigende Nachfrage nach Cyberversicherungen wird gemäss Buff von Helvetia die Resilienz des Wirtschaftsstandorts Schweiz stärken, "da sich zukünftig nur noch versichern kann, wer entsprechende Sicherheitsstandards garantiert". Diese Entwicklung werde auch die Versicherungslücke bei einem systemischen Angriff verringern. "Das Risiko von nicht versicherbaren Grossrisiken bleibt aber bestehen", schränkt er ein. Gemäss ihm sei das Unternehmen bereit, zusammen mit dem Staat, der Wirtschaft und der Wissenschaft an einer "partnerschaftlichen Lösung zur Erreichung einer besseren Versicherbarkeit derartiger Angriffe" zusammenzuarbeiten. "Wie ein solcher Lösungsansatz konkret aussehen könnte, wäre partnerschaftlich zu entwickeln", sagt Buff.

Vor etwas mehr als einem Jahr hatte Zurich-CEO Mario Greco mit einer ähnlichen Aussage bereits hohe Wellen geschlagen. Ende Dezember 2022 sagte er in einem Interview gegenüber der Financial Times, dass Cyberangriffe in den nächsten Jahren unversicherbar werden könnten (lesen Sie hier mehr dazu). 

Mario Greco, CEO von Zurich. (Source: zVg)

Es gebe eine Grenze, bis zu der Versicherungen alle Schäden infolge von Cyberattacken übernehmen könnten. Daher forderte er Regierungen dazu auf, "privat-öffentliche Systeme zu schaffen, um systemische Cyberrisiken zu handhaben, die nicht quantifiziert werden können" -  ähnlich jenen Systemen, die es in einigen Ländern für Erdbeben oder Terroranschläge gibt.

Versicherungen schützen schon vor einem Cybervorfall

"Der Zugang zum Netzwerk des Versicherers ist ein wesentlicher, nicht zu unterschätzender Vorteil einer Cyberversicherung", sagt Heeb von Allianz Suisse. "Dieses unterstützt die Kunden bei der Abwehr des Angriffs, den forensischen Untersuchungen und der Wiederherstellung der Daten." Gemäss den befragten Experten bieten ihre Unternehmen im Rahmen einer Cyberversicherung auch fachliche Unterstützung bei der Überwindung des Cybervorfalls beziehungsweise der Wiederherstellung von Daten, Dienstleistungen im Bereich IT-Forensik, Rechtsberatung sowie Krisenmanagement und -Kommunikation an.

Ivo Heeb, Experte Underwriter Cyber & Technology bei der Allianz Suisse. (Source: zVg)

Die Versicherungen warten dabei nicht, bis ein Schadensfall gemeldet wird. "Cybersicherheit beginnt lange vor dem Schadeneintritt und ist Aufgabe des Managements respektive der Unternehmensführung", sagt Buff von Helvetia. So bieten die Versicherer etwa auch Security-Checkups, um die eigene Cybermaturität zu prüfen, sowie organisatorische und technische Ratgeber, um sie zu verbessern. Je nach Anbieter gehen diese Präventionsservices noch weiter; gewisse bieten etwa auch Schulungen und Sensibilisierungen für Mitarbeitende an. "Von der Prävention, über die Schadensminderung bis hin zur Restrisikoabsicherung", bringt Seebeck von der Mobiliar den Umfang einer Cyberversicherung auf den Punkt. 

Weshalb das Thema Cybersecurity in die Chefetage gehört und wie man es dahin bringt, sagt Umberto Annino, Mitglied des Cybersecurity Advisory Board der SATW, hier im Interview.

Genau hinschauen lohnt sich

Indem Unternehmen einen gewissen Grundschutz erreichen, stärken sie die Resilienz des gesamten Wirtschaftsstandorts Schweiz. Eine gute Cyberhygiene liegt aber auch sehr viel unmittelbarer im eigenen finanziellen Interesse der Unternehmen. Wie Seebeck von der Mobiliar erklärt, wirkt sich der Reifegrad der Cybersicherheit in der Regel auf die Konditionen des Versicherungsvertrags aus. Weitere Kriterien, die sich auf die Prämien auswirken, sind gemäss Heeb von der Allianz Suisse die Unternehmensgrösse, die Qualität des Risikos und die gewünschte Versicherungssumme. "Während im Kleinkundensegment Versicherungen schon für wenige hundert Franken erhältlich sind, bezahlen die grössten Unternehmen Prämien von mehreren hunderttausend Franken, teils auch höher", sagt Heeb. 

Bei den Prämien zeigen sich auch zwischen den einzelnen Versicherungsunternehmen grosse Unterschiede, wie ein Vergleich des Zürcher Finanzdienstleisters VZ (Vermögenszentrum) deutlich macht. Für den Vergleich fragte VZ mehrere Offerten an. Um 3 Millionen Franken gegen Cyberrisiken zu versichern, müsste das Unternehmen zwischen 17’000 Franken pro Jahr bei der günstigsten und 29’000 Franken pro Jahr bei der teuersten Option zahlen. Die Leistungen seien jedoch vergleichbar, schreibt VZ. 

Um böse Überraschungen zu vermeiden, solle man auch die versicherten Leistungen und die Ausschlüsse sorgfältig studieren. "Oft schützen Cyberpolicen nur vor genau definierten Einzelrisiken. Zudem sollten Unternehmer kontrollieren, welche Risiken und Schäden schon durch andere Sach- oder Haftpflichtpolicen abgedeckt sind", schreibt VZ. So könnten sie verhindern, dass Doppelversicherungen das Firmenbudget unnötig belasten.

Mit Disziplin, Stringenz und Beständigkeit in die Zukunft

10.5 Billionen US-Dollar - so hoch sollen 2025 die weltweiten Kosten aufgrund von Cyberkriminalität ausfallen. Ein deutliches Wachstum im Vergleich zu den vorhergehenden Jahren. Und solange das Geschäft mit Cybercrime zulegt, wird auch der Markt für Cyberversicherungen wachsen. 

"Abgesehen von absoluten und bisher vor allem theoretisch diskutierten Katastrophen-Szenarien, welche ganze Länder und/oder Industrien betreffen, dürften Cyberversicherungen für Unternehmen auch in Zukunft eine wichtige Rolle spielen und sich weiter etablieren", sagt Heeb von der Allianz Suisse. Damit einher geht eine steigende Nachfrage nach den Dienstleistungen von Insurtech-Unternehmen. Tendenziell würden Versicherer je länger, je mehr deren Services in Anspruch nehmen, um etwa die Risikoselektion mit Daten aus externen Schwachstellen-Scans zu unterstützen. 

Greub von Axa zeigt sich ebenfalls zuversichtlich. "Wir sind überzeugt, dass es mit einem angemessenen Risikomanagement - vonseiten der Versicherung als auch vonseiten der Versicherten - weiterhin Lösungen für Cyberrisiken gibt, auch für solche, die zu grossen Schäden führen können", sagt er. Ein angemessenes Risikomanagement bedeute, dass man einerseits Versicherte zu Präventionsmassnahmen anrege und andererseits bei den verbleibenden Risiken genau prüfe, zu welchen Konditionen und bis zu welcher Versicherungssumme man diese übernehmen könne; dazu brauche es Disziplin und Stringenz im Underwriting. Und der Volatilität des Cyberversicherungsgeschäfts will der Versicherer mit Beständigkeit entgegentreten.  

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.

Für die verschiedenen Newsletter der SATW können Sie sich hier anmelden. "SATW News" informiert allgemein über die Aktivitäten der SATW und "MINT" fokussiert sich auf das Themengebiet Nachwuchsförderung. Beide werden auf Deutsch und Französisch angeboten.

Alle weiteren gemeinsamen Beiträge von SwissCybersecurity.net und der SATW finden Sie hier.