Schweizer Firmen sind schlecht gegen Hacker versichert

Internetangriffe auf Schweizer Firmen nehmen markant zu: Erst an Ostern legten Hacker die Webseiten von SBB, Digitec, Interdiscount und Microspot mehrere Tage lahm. Die Kosten der Ausfälle bezahlen die Unternehmen selber. Warum ist in der Schweiz kaum jemand gegen solche Attacken versichert?

Bild eines Bildschirms mit Zahlencodes.

Bildlegende: Digitec, Galaxus, Microspot und Interdiscount: Ihre Online-Shops wurden kürzlich gehackt. Reuters/Symbolbild

Kein betroffenes Unternehmen spricht wirklich gerne über Cyber-Angriffe. Wegen dieser «Kultur der Schweigsamkeit» kommen die wenigsten Angriffe auf Informatiksysteme überhaupt ans Licht, wie Reto Häni sagt. Er ist Berater für Cybersicherheit bei der Firma PWC. «Entsprechend ist das Bewusstsein der effektiven Gefahren bei uns oft viel kleiner als zum Beispiel im angrenzenden Ausland.»

Viele Unternehmen sind noch gar nicht auf die Idee gekommen, dass sie vielleicht eine Versicherung gegen Cyber-Attacken bräuchten. Doch auch die Versicherer haben kaum Angebote lanciert. Ausser der Zürich bieten erst einige Ableger ausländischer Versicherungen entsprechende Policen an.

Versicherer fehlen Daten

«Versicherer in den USA oder in Grossbritannien bringen mehr Erfahrung mit», sagt der Cybersicherheitsexperte der KPMG, Matthias Bossardt. Teilweise habe das auch mit regulatorischen Anforderungen zu tun: So sind in diesen Ländern Firmen verpflichtet, Angriffe auf ihre Informatik-Infrastrukutur den Behörden zu melden. Durch die von Amtsstellen erstellten Statistiken stehen den Versicherern die Daten zur Verfügung, die sie für ihre Risikoabschätzungen brauchen.

«  In der Schweiz ist die Datenerhebung für eine solide Risikoberechnung ungenügend. »

Martin Eling
Professor für Versicherungsmanagement, Universität St. Gallen

Diese Sicherheit aber fehle den Schweizer Versicherern noch, erklärt Martin Eling, Professor für Versicherungsmanagment an der Universität St.Gallen. Aufgrund fehlender Daten sei es nicht möglich, eine gute Berechnung zu machen. Deshalb kalkulierten Versicherer in der Schweiz sehr vorsichtig und mit relativ hohen Sicherheitszuschlägen.

Schwierige Risiko-Berechnung

Die Versicherungen beissen sich am komplexen Thema Internetsicherheit deshalb die Zähne aus. Das Risiko zu kalkulieren sei extrem schwierig, weil im Internet für die Unternehmen ganz unterschiedliche Gefahren lauern. Für Unternehmen der produzierenden Industrie sei ein Betriebsunterbruch aufgrund einer Hackerattacke hoch relevant, so Professor Eling. Im Gesundheitsbereich wiederum sei eher der Datenleak das relevante Problem.

Komplex sind auch die Schadensarten, die versichert werden müssen, unterstreicht der Versicherungsexperte der Firma Consulas, Reto Stauffer. So brauche es in einigen Fällen einen IT-Spezialisten, in anderen wiederum eine Rechtsberatung. Oft wolle eine Firma aber auch einen Umsatzausfall versichern, der aufgrund einer blockierten Webseite entstehen kann. «Oder man versichert Ansprüche von Dritten, die klagen oder Forderungen stellen.»

Bewusstsein nimmt zu

Weil die Zahl der grossen und somit unübersehbaren Cyber-Angriffe auch in der Schweiz wächst, steigt in letzter Zeit die Aufmerksamkeit. So habe dieses Risiko in der Bewertung eines grossen Versicherers im Jahr 2013 noch auf Platz 15 gelegen, sagt PWC-Berater Häni. 2014 rutschte es bereits auf Platz acht und 2015 lag es auf Platz fünf.

In der Branche werde nun mit neuen Angeboten experimentiert, sagen die befragten Experten. Zudem würden Unternehmen häufiger nach spezifischen Versicherungslösungen bei Hackerangriffen fragen. Doch alle unterstreichen auch, dass eine Versicherung letztlich nur ein Teil des Gesamtpakets sein könne. Investitionen in eine gut gesicherte Informatik und geschultes, aufmerksames Personal könne dafür sorgen, dass viele Schäden erst gar nicht entstehen.

Privater Cyberschutz bald über Hausratversicherung?

Zurzeit ist das Angebot für die Konsumenten sehr beschränkt, wie Reto Stauffer sagt. Einzelne Anbieter prüften derzeit, ob sie Versicherungen für Private gegen gewisse Risiken aus dem Cyberspace – vor allem bei Cyber-Mobbing und oder Zahlungsmitteldiebstahl – ins Sortiment aufnehmen wollten. «In den nächsten paar Jahren werden diese Angebote sicher zunehmen», so Stauffer. Als Beispiel nennt er die Hausratsversicherung, die mit Cyber-Schutzpaketen ergänzt werden könnte. So wären Konsumenten versichert, wenn Unbekannte wegen eines Virenbefalls Geld von ihrem Konto abheben.