"Vorsicht auch beim Kleingedruckten", warnt Berater Romeike. Üblich sei etwa ein zeitlicher Selbstbehalt. Schäden, die in den ersten 24 oder 48 Stunden nach einem Angriff liegen, fallen damit aus dem Versicherungsschutz heraus. "Zudem fordern manche Versicherer eine Risikoanalyse, an die sich sogar ein Wartungsvertrag mit einem IT-Serviceunternehmen anschließen kann." Aus Angst vor extremen Schadenersatzansprüchen würden die USA und Kanada vertraglich sogar meist ausgeschlossen.

Sicherheit wichtiger als Versicherung

Tritt ein Schaden auf, rücken bei Chubb die Lost-Control-Experten an. Sie erfassen die Unternehmensstruktur, überprüfen Service Level Agreements wie die vereinbarte Verfügbarkeit oder die Auslastung des Netzwerks und überprüfen den Notfallplan. "Die hohen Anforderungen für eine Police haben Unternehmen inzwischen dazu veranlasst, mehr in ihre Sicherheit zu investieren als in Versicherungsschutz", sagt Baumeister von der Swiss Re.

Wer dennoch nicht auf eine Absicherung verzichten will, nimmt die Versicherung der Risiken selbst in die Hand. Die Deutsche Bank gründete in Luxemburg eine eigene Versicherungsgesellschaft, eine so genannte Captive. "Sie behalten das Geld für Prämien im Unternehmen, bekommen günstigere Konditionen und geben das Risiko weiter an den Kapitalmarkt oder einen Rückversicherer", sagt Romeike. Solange die Captive nicht genügend Eigenkapital als Puffer hat, gibt sie das Risiko zu 90 Prozent an den Rückversicherer weiter, nach einigen Jahren noch zu 10 Prozent. "4000 Captives mit einem Prämienvolumen von 21 Milliarden US-Dollar gibt es weltweit", so Romeike.

Auch für den Mittelstand existieren Captive-Varianten, die den üblichen Versicherungspaketen den Rang ablaufen könnten. Mehrere Unternehmen schließen sich zusammen und gründen eine Versicherungsgesellschaft. Nach der gescheiterten Police "Net Secure" setzt auch das Maklerbüro Marsh auf das Gemeinschaftsmodell Rent a Captive.