Angriff auf das Herz der Wirtschaft


Die Aussagen kennt Dirk Kalinowski zur Genüge. „In Gesprächen erleben wir regelmäßig, dass Kunden glauben, ihre Daten und Systeme seien gar nicht interessant genug für einen Cyberangriff“, berichtet der Experte für Cyberversicherungen bei Axa. Mit den Kunden meint er weder die Privatkunden noch die großen Konzerne. Es sind die vielen tausend kleinen und mittelständischen Unternehmen im Land, die sogenannten KMUs. Also vom kleinen Handwerker bis zum verarbeitenden Betrieb mit einem Umsatz in mittlerer zweistelliger Millionenhöhe. 2,5 Millionen solcher Unternehmen gebe es in Deutschland, hat die E+S errechnet. Viele bezeichnen sie als das Herz der deutschen Wirtschaft.

Die Einschätzung des Axa-Experten deckt sich mit den Erfahrungen anderer Versicherer. Jonas Krotzek von E+S bezeichnet die KMUs als „Unternehmen mit starkem Bewusstsein und niedrigem Level an Vorkehrungen gegen Cyber-Vorfälle“. Das kann er auch mit Zahlen belegen. Nur zehn Prozent aller Unternehmen besitzen eine traditionelle Cyber-Abdeckung, obwohl sich 89 Prozent eines signifikanten und offensichtlichen Risikos bewusst sind.

Da verwundert es auch nicht, dass die Versicherer gerade bei den kleinen und mittleren Unternehmen im kommenden Jahr gute Geschäfte wittern. Cyber werde bei den wesentlichen Entwicklungen für 2018 weit oben stehen, ist sich Frank Reichelt, Deutschland-Chef des Rückversicherers Swiss Re, sicher. „Speziell Mittelständler (KMU) sind als Kundengruppe sehr interessant.“


Dafür soll auch die Einführung der europäischen Datenschutzgrundverordnung sorgen. Ab Mai kommenden Jahres tritt sie in Kraft. Wie in den USA müssen angegriffene Unternehmen dann auch die Attacken melden.

Bislang verschwiegen wohl viele Unternehmen – ob aus Angst um die eigene Reputation oder schlicht aus Scham –, dass sie Opfer eines Cyberangriffs geworden sind. Und zahlten einfach. „Auch in den USA haben gesetzliche Regelungen das Entstehen dieses Marktes begünstigt“, beobachtet Jan-Oliver Thofern. Der Vorstandschef des Maklers Aon Benfield geht davon aus, dass sich der europäische Markt für Cyberversicherungen in den kommenden Jahren rasch entwickeln wird.

Zwar ging es in den vergangenen Jahren schon rasch nach oben, das galt allerdings nur für die relativen Zahlen, die Jahr für Jahr im zweistelligen Prozentbereich stiegen. In absoluten Zahlen war das Geschäft indes überschaubar. Bei der Munich Re veröffentlichten die Verantwortlichen zuletzt ein Gesamtvolumen von rund 263 Millionen Euro für das abgelaufene Jahr. Das Geschäft mit Erst- und Rückversicherungen hielt sich dabei in etwa die Waage. „80 bis 90 Prozent des Geschäfts kamen aus den USA“, berichtet Vorstand Hermann Pohlchristoph.


Einen ersten Schritt in Richtung mehr Akzeptanz bei kleinen und mittleren Firmen haben die Versicherer schon in diesem Jahr gemacht. Der Branchenverband GDV hat sich dafür ein generelles Muster für eine Cyberpolice einfallen lassen. Das Paket schützt vor Datenklau und Betriebsunterbrechungen, übernimmt aber auch die Kosten für IT-Forensiker und die Krisenkommunikation. Quasi als Rundum-Sorglos-Paket für Kleinbetriebe. Damit wäre die breite Masse vom Handwerker bis zum Einzelhändler, vom Landwirt bis zur Kanzlei auf der sicheren Seite. Erste Erfolge gibt es bereits, dennoch bleiben sie überschaubar.

Damit es im kommenden Jahr richtig aufwärts geht, denken die Versicherer mittlerweile über weit mehr nach als über den reinen Schutz im Schadensfall. Weil gerade kleine und mittlere Unternehmen relativ schnell an ihre Grenzen stoßen, wenn es um Fragen der Absicherung geht, soll es hier mehr Service geben. Solche Argumente helfen auch im Vertrieb.
Bei E+S Rück haben sie dafür sogar den Cyber-Club Perseus gegründet. Eine Art ADAC für Cyberangriffe, wie es Jonas Krotzek ausdrückt. Von der Ersthilfe bis zur Schulung soll es dabei Angebote geben. Sogar Cyberattacken kann der Kunde simulieren lassen. „Dort bekommt der Kunde in 15 Minuten eine Antwort, ob es in seinem Unternehmen einen Virenbefall gab oder nicht“, verspricht Krotzek. Wobei sie daran oft selbst Schuld sind. 76 Prozent der Attacken werden schließlich von den eigenen Mitarbeitern verursacht.