Risiken durch Cyberangriffe »Schäden, die ein privater Versicherer nicht tragen kann«

Zahlt im Fall eines großen Hackerangriffs die Versicherung? Dazu gibt es nun neue Regelungen. Jürgen Reinhart vom Rückversicherer Munich Re erklärt, was sie für Kunden und Steuerzahler bedeuten.
Ein Interview von Martin Hesse
Laptop von oben: In den vergangenen Jahren haben Versicherer mit Cyberpolicen ein gutes Geschäft gemacht

Laptop von oben: In den vergangenen Jahren haben Versicherer mit Cyberpolicen ein gutes Geschäft gemacht

Foto: B. TONGO/EPA/REX/Shutterstock

Dieser Artikel gehört zum Angebot von SPIEGEL+. Sie können ihn auch ohne Abonnement lesen, weil er Ihnen geschenkt wurde.

Nichts fürchten Versicherer so sehr wie unkalkulierbare Risiken. Das klingt zunächst absurd, weil sie nach landläufiger Meinung ja gerade dazu da sind, Risiken abzusichern. Schwierig wird es allerdings für die Branche, wenn sich schlecht berechnen lässt, in welchem Maße bestimmte Risiken über die Zeit schlagend werden und damit womöglich Schäden entstehen, die von den Versicherern nur mit Verlusten oder gar nicht getragen werden können. Eine Studie der Beratungsgesellschaft PwC und des Centre for the Study of Financial Innovation hat ergeben: Als das größte derartige Risiko sehen die Versicherer derzeit Cyberangriffe.

Immer häufiger haben Hacker in den vergangenen Jahren die IT-Systeme von Unternehmen, Behörden und Institutionen angegriffen und dabei teils große Schäden angerichtet. Oft geht es den Angreifern darum, Geld zu erpressen, manchmal aber auch um Sabotage oder Spionage. Wer hinter den einzelnen Attacken steckt, lässt sich häufig nur mutmaßen; teils sind es kriminelle Gruppierungen, manchmal stehen auch staatliche Akteure im Hintergrund.

Versicherer haben jahrelang eifrig Cyberpolicen verkauft, der Münchner Rückversicherer Munich Re erwartet, dass dieser Markt von rund sieben Milliarden Dollar (2020) bis auf 20 Milliarden Dollar im Jahr 2025 wächst. Inzwischen aber übersteigen die Kosten oft die Prämieneinnahmen, manch ein Anbieter zieht sich deshalb wieder zurück. Hinzu kommt, dass auch klassische Sachversicherungen teils für Schäden aus Hackerangriffen aufkommen müssen. Dabei wurde mancher Vertrag noch zu Zeiten geschrieben, als es Cyberattacken vornehmlich in Science-Fiction-Romanen gab.

Um das steigende Risiko von Hackerangriffen in den Griff zu bekommen, haben die Mitglieder der Lloyd's Market Association – einem der wichtigsten Branchenverbände – an diesem Montag neue Standardklauseln für Cyberversicherungen beschlossen. Sie besagen, was unter einem Cyberangriff verstanden wird und welche Schäden von den Versicherern nicht gedeckt werden: etwa Schäden durch Angriffe, die von Staaten initiiert werden.

Jürgen Reinhart, Leiter des Geschäfts mit Cyberversicherungen bei Munich Re, erklärt, was es mit den neuen Regeln auf sich hat.

SPIEGEL: Herr Reinhart, der Versicherungsmarktplatz Lloyds of London hat Standardklauseln beschlossen, die festlegen sollen, wann Versicherer die Schäden eines Cyberangriffs tragen – und wann nicht. Will die Assekuranz damit Großrisiken beim Staat abladen?

Reinhart: Nein, wir wollen vor allem Klarheit schaffen. Es gab schon immer Klauseln, die die Deckung systemischer Risiken ausgeschlossen haben, insbesondere Schäden infolge von Krieg oder Nuklearkatastrophen. Aber diese Klauseln waren nicht mehr zeitgemäß, weil sie formuliert wurden, als Kriege formal erklärt und mit herkömmlichen Waffen ausgetragen wurden. Heute bedienen sich Staaten krimineller Organisationen und greifen verdeckt mit Cyberattacken an. Das kann zu Schäden führen, die ein privater Versicherer nicht tragen kann.

SPIEGEL: Aber bisher hat es solche Extremschäden infolge von Hackerangriffen doch gar nicht gegeben?

Reinhart: Das stimmt zwar, war aber vielleicht nur ein glücklicher Zufall. Es gab schon Attacken, etwa auf das amerikanische Software-Unternehmen SolarWinds, die vermutlich auf staatliche Akteure zurückgehen. Die finanziellen Schäden waren beherrschbar, hätten in einigen Fällen aber deutlich größer ausfallen können. Bis vor zwei Jahren haben auch Pandemien keine systemischen Schäden angerichtet, aber Corona hat offengelegt, dass auch die Versicherungsbranche auf eine solche Pandemie nicht angemessen vorbereitet war. Im Fall der Cyberrisiken wollen wir das verhindern.

Zur Person
Foto: Munich Re

Jürgen Reinhart, 56, arbeitet seit 25 Jahren bei Munich Re, einem der führenden Rückversicherer der Welt. Er hat in München Mathematik studiert und in Raumfahrttechnik promoviert, später die Prüfung zum Aktuar abgelegt und durchlief bei Munich Re verschiedene Stationen im Versicherungsgeschäft. Seit 2015 ist Reinhart verantwortlich für das schnell wachsende Cybergeschäft des Konzerns. Er ist für die Strategie, das Risikomanagement und die Grundsätze des Zeichnens von Cyberpolicen für Unternehmen zuständig.

SPIEGEL: Warum war es so schwer, überhaupt eine Formulierung für den Cyberkriegs-Ausschluss zu finden?

Reinhart: Im Gegensatz zum konventionellen Krieg ist es bei Cyber schwierig nachzuweisen, ob es sich um staatlich motivierte Attacken handelt. Munich Re hätte deshalb gerne Szenarien beschrieben, die zu einem unkontrollierbar großen Schaden führen, ohne dabei explizit »Krieg« zu benennen. Das war in der Branche nicht durchsetzbar. Wichtiger war uns, einen Konsens zu erzielen, um einen Standard zu setzen. Wir haben deshalb lange verhandelt und schließlich einen Kompromiss gefunden.

SPIEGEL: Und wie sieht der aus?

Reinhart: Erstens ist nun sichergestellt, dass im Falle eines konventionellen Krieges in den Policen auch keine Cyberschäden gedeckt sind. Zweitens legen die Klauseln fest, dass bei einem staatlich initiierten Cyberangriff, der einen »major detrimental impact« auf den angegriffenen Staat hat, also schwere negative Folgen, der Versicherer die Schäden nicht deckt. Das wäre zum Beispiel der Fall, wenn das Finanzsystem, die Wasser- oder Stromversorgung oder das Gesundheitssystem infolge eines Angriffs zusammenbräche.

SPIEGEL: Wie können Sie als Versicherer überhaupt feststellen, ob ein staatlicher Auftraggeber hinter einem Cyberangriff steht?

Reinhart: Den neuen Klauseln zufolge greift die Versicherung dann nicht, wenn der betroffene Staat selbst die Attacke einem staatlichen Auftraggeber zuschreibt. Bei derart großen Schäden werden die betroffenen Regierungen dies in der Regel tun.

SPIEGEL: Und wenn die Regierung eines betroffenen Landes nicht von einem kriegerischen Akt spricht?

Reinhart: Dann müssen wir als Versicherer beweisen, dass eine Cyberattacke einen politischen Hintergrund hat. Bis uns das gelingt, dürfen wir die Zahlungen bei ausreichenden Indizien zur Begleichung von Schäden aussetzen.

SPIEGEL: Das Problem bei Cyberangriffen ist doch gerade, dass sich die Auftraggeber kaum aufdecken lassen. Wie wollen Sie das machen?

Reinhart: Bei Munich Re haben wir ein großes Team von Experten, die teils einen nachrichtendienstlichen Hintergrund haben. Außerdem beauftragen Versicherer auch spezialisierte externe Ermittler.

»Wir müssen Lösungen suchen, aber es gibt Grenzen der Belastbarkeit«

SPIEGEL: Was bedeuten die Regelungen für Ihre Kunden, also vor allem Unternehmen, aber auch Behörden oder Versorgungsbetriebe?

Reinhart: Allen Unternehmen dürfte mit diesen neuen Klauseln klar sein, in welchen Fällen Versicherer die Schäden ausgleichen werden und in welchen nicht. Ab sofort werden Policen nach und nach dahingehend geändert werden. Allerdings wird es Jahre dauern, bis die neuen Standardklauseln in allen Verträgen umgesetzt sind.

SPIEGEL: In den vergangenen Jahren haben Versicherer mit Cyberpolicen ein gutes Geschäft gemacht. Da aber die Zahl der Angriffe stark gestiegen ist, zogen sich zuletzt Versicherer zurück oder schränkten ihr Angebot ein. Wird aufgrund der neuen Regelungen wieder mehr Versicherungsschutz angeboten?

Reinhart: Die Klarheit durch diese Klauseln hilft den Versicherern, aber politisch motivierte Angriffe sind nur eines von mehreren sogenannten Kumulrisiken. Es gibt andere Arten von Cyberattacken, die gleichzeitig eine Vielzahl an großen Schäden zur Folge haben können. Etwa wenn infolge eines Angriffs ganze Lieferketten zusammenbrechen oder große Cloud-Anbieter und damit Zigtausende Kunden betroffen sind. Wenn unsere Branche Cyberrisiken nicht mehr abdecken kann, werden wir als Versicherer überflüssig. Wir müssen Lösungen suchen, aber es gibt Grenzen der Belastbarkeit.

SPIEGEL: Was passiert mit den verbleibenden Risiken. Muss da der Staat einspringen?

Reinhart: Ein gewünschter Nebeneffekt der neuen Klauseln ist, dass auch die Staaten nun zumindest für den Fall politisch motivierter Angriffe Klarheit haben werden, welche Schäden privat gedeckt sind. Damit ist die Basis für eine staatliche Lösung gelegt, etwa eine Art »Cyberwar-Pool«, so wie es schon einen »Terrorpool« gibt.

»Das Thema ist politisch hoch sensibel«

SPIEGEL: Werden sich die Versicherer an einem solchen Pool beteiligen?

Reinhart: Wir gehen mit den neuen Klauseln an die Grenzen dessen, was wir leisten können. Deshalb wird sich Munich Re an einem Pool nicht beteiligen können. Die Staaten müssten sich überlegen, wie sie eine solche Rücklage aufbauen.

SPIEGEL: Wie hoch müsste die für ein Land wie Deutschland sein?

Reinhart: Das kann ich nicht beziffern, aber es müsste ein substanzieller Betrag sein.

SPIEGEL: Wäre es da nicht sinnvoller, eine europäische Lösung anzustreben?

Reinhart: Es wäre ideal, wenn sich Staaten zusammentun. Aber das Thema ist natürlich politisch hoch sensibel. Man hat ja in der Pandemie gesehen, wie gering zunächst die Bereitschaft zur Solidarität innerhalb Europas war. Es spielt immer auch die Frage eine Rolle, wie gut Unternehmen und Staaten sich selbst gegen Angriffe schützen.

Mehr lesen über Verwandte Artikel
Die Wiedergabe wurde unterbrochen.