Der Markt für It-Versicherungen ist in Aufruhr. Ob Gothaer, Onsecure, Tela oder Wüba: Kaum hatten die Versicherungen IT-spezifische Produkte geschaffen, strichen sie sie wieder aus ihrem Angebot. Auch das New-Yorker Assekuranz- und Maklerunternehmen Marsh hat sein "Net Secure" wieder vom Markt genommen, weil der Rückversicherer Lloyds seit den Terroranschlägen vom 11. September die Risiken nicht mehr tragen wollte. "Der Markt sortiert sich neu", sagt der unabhängige Risk-Management-Berater Frank Romeike.
Der Grund liegt in der Finanzsituation der Versicherer, die sich seit anderthalb Jahren stark verschlechtert hat. Die Krise nach den Anschlägen hat große Löcher in die Bilanzen gerissen und kostete bereits tausenden von Versicherungsspezialisten den Job. Und sie blieb nicht ohne Folgen für die Preise: "Die Versicherer haben die Prämien stark erhöht, die Unternehmen aber nicht im gleichen Maße ihre Budgets für Versicherungen", so der Cyber-Liability-Spezialist Urs Baumeister von der Schweizer Rückversicherung Swiss Re. "Es ist ein Risiko für Versicherer, unliebsame Überraschungen durch Viren oder Hacker aus dem Internet abzusichern. Man wagt sich auf dünnes Eis, denn es gibt keine zuverlässigen Zahlen über Schäden durch Internetattacken", erklärt der Jurist.
Risiko kaum zu beziffern
Berater Romeike meint sogar: "Die Gefahr ist in den vergangenen Jahren noch gestiegen." Als sich der damalige Leiter Risk Management von IBM Deutschland bei der Allianz über die Absicherung von IT-Risiken informierte, sei das Gespräch plötzlich gekippt, erinnert sich Romeike. "Plötzlich sollte ich als Repräsentant von IBM dabei helfen, das IT-Risiko zu kalkulieren." Marktforscher versuchen immer wieder, den globalen Schaden von Attacken aus dem Internet in Zahlen zu fassen. Erst Ende Januar bohrte sich der Wurm "Slammer" durchs Internet. 13000 Geldautomaten der Bank of America arbeiteten nicht mehr, in Südkorea stand das Internet einen ganzen Tag still. Den Schaden durch den Produktivitätsausfall bezifferte das britische Marktforschungsunternehmen MI2G weltweit auf 950 Millionen bis 1,2 Milliarden US-Dollar.
"Vorsicht auch beim Kleingedruckten", warnt Berater Romeike. Üblich sei etwa ein zeitlicher Selbstbehalt. Schäden, die in den ersten 24 oder 48 Stunden nach einem Angriff liegen, fallen damit aus dem Versicherungsschutz heraus. "Zudem fordern manche Versicherer eine Risikoanalyse, an die sich sogar ein Wartungsvertrag mit einem IT-Serviceunternehmen anschließen kann." Aus Angst vor extremen Schadenersatzansprüchen würden die USA und Kanada vertraglich sogar meist ausgeschlossen.
Sicherheit wichtiger als Versicherung
Tritt ein Schaden auf, rücken bei Chubb die Lost-Control-Experten an. Sie erfassen die Unternehmensstruktur, überprüfen Service Level Agreements wie die vereinbarte Verfügbarkeit oder die Auslastung des Netzwerks und überprüfen den Notfallplan. "Die hohen Anforderungen für eine Police haben Unternehmen inzwischen dazu veranlasst, mehr in ihre Sicherheit zu investieren als in Versicherungsschutz", sagt Baumeister von der Swiss Re.
Wer dennoch nicht auf eine Absicherung verzichten will, nimmt die Versicherung der Risiken selbst in die Hand. Die Deutsche Bank gründete in Luxemburg eine eigene Versicherungsgesellschaft, eine so genannte Captive. "Sie behalten das Geld für Prämien im Unternehmen, bekommen günstigere Konditionen und geben das Risiko weiter an den Kapitalmarkt oder einen Rückversicherer", sagt Romeike. Solange die Captive nicht genügend Eigenkapital als Puffer hat, gibt sie das Risiko zu 90 Prozent an den Rückversicherer weiter, nach einigen Jahren noch zu 10 Prozent. "4000 Captives mit einem Prämienvolumen von 21 Milliarden US-Dollar gibt es weltweit", so Romeike.
Auch für den Mittelstand existieren Captive-Varianten, die den üblichen Versicherungspaketen den Rang ablaufen könnten. Mehrere Unternehmen schließen sich zusammen und gründen eine Versicherungsgesellschaft. Nach der gescheiterten Police "Net Secure" setzt auch das Maklerbüro Marsh auf das Gemeinschaftsmodell Rent a Captive.