Versicherung gegen Hacker
Von Frank Patalong
Neue Geschäftswelt, neue Risiken: Als Anfang des
Jahres mehrere führende
E-Commerce-Unternehmen durch so genannte
"Denial of Service"-Attacken lahm gelegt wurden,
bezifferten die Betroffenen ihren Schaden auf über
2,5 Milliarden Dollar. Zum Glück kann man sich
gegen solche Dinge ja versichern - oder etwa
nicht?
Am 5. April 2000 flatterte
zahlreichen Redaktionen folgende
Pressemitteilung auf den Tisch:
"Erste 'Hacker'-Versicherung für
Unternehmen im Internet".
Man stelle sich das einmal vor: Da
hackt sich wer den Weg auf einen
Firmenrechner, lässt abstürzen,
löscht, fälscht - und richtet Schaden nicht nur an der
Software an, sondern schädigt schlicht das Geschäft.
Dagegen ist - im Extremfall - ein kleiner Hausbrand
schon fast eine Lappalie. Denn Deutschlands
Unternehmenswelt ist längst digital - egal, ob sich ein
Unternehmen auch im E-Commerce versucht, oder sich
"nur" als klassisches "Bricks-and-Mortar"-Unternehmen
auf eine ausgewachsene EDV stützt.
Da kommt dieses Angebot gerade recht: "Die Marsh
GmbH bietet als erster Anbieter weltweit eine neue und
einzigartige Versicherungsmöglichkeit für Unternehmen
im Internet: Ein umfangreiches Versicherungspaket zur
Absicherung der hohen Umsatzverluste, die bei
Betriebsunterbrechungen insbesondere im Internet
entstehen können - sozusagen die
'Versicherungs-Firewall'."
Sozusagen. Das krasseste Beispiel für solch eine
"Betriebsunterbrechung" bietet das Unternehmen gleich
selbst an: "Die Angriffe auf das Internet-Portal Yahoo,
den Online-Aktienhändler E-Trade oder das Bücherhaus
Amazon haben nach Aussagen von Analysten den
Anlegern einen Börsenverlust von fast 2,5 Milliarden
Dollar beschert. Dazu kommen schätzungsweise 250
Millionen Dollar Umsatzverluste und nun fällige
Refiguration."
Thomas Mallinckordt vom Haftpflichtverband der
Deutschen Industrie HDI hält "Hacker-Versicherungen"
für nicht ganz so unproblematisch:
"EDV-Versicherungen bietet die Versicherungsindustrie
ja schon seit langem. Auch unser Unternehmen bietet
Pakete an, die zum Beispiel das Risiko eines Einbruchs
von außen abdecken, oder die Verseuchung mit einem
Computervirus. Das sind Fälle, in denen uns der
Versicherte nachweisen kann, dass er adäquate
Sicherheitsmaßnahmen ergriffen hat, um sein und unser
Risiko zu minimieren. Wenn es dann doch geschieht,
greift die Versicherung."
Aber, meint Mallinckordt, der Fall läge ja schon anders,
wenn es zum Beispiel um Fälle wie die bekannt
gewordenen Denial-of-Service-Attacken geht. "Die
Versicherungsindustrie kennt Leistungspakete, die zum
Beispiel bei Betriebsunterbrechungen greifen." Er sucht
nach Analogien. "Aber für so etwas müssen Gründe zu
definieren sein, die das Versicherungsrisiko kalkulierbar
machen. Niemand kann sich dagegen versichern, dass
vor der Einfahrt seines Werkes gerade Stau herrscht und
die Produktion darum nicht weiterlaufen kann."
Auch ein klassisches Spamming, das gezielte
"Zumüllen" eines E-Mail-Accounts, führe schließlich zu
nicht mehr als einem zugemüllten Briefkasten. Wer
wollte hier eine Risikokalkulation vornehmen?
Gerhard Ohle von der Axa Colonia kann sich da nur
anschließen. "Wir bieten seit Jahren so genannte
Vertrauensschaden-Versicherungen an, gegen den Fall,
dass ein Mitarbeiter von innen schädigend in die EDV
eingreift. Solche Pakete sind inzwischen ausgedehnt
auch auf Angriffe durch Dritte, zum Beispiel durch
Hacker."
Doch auch für die Axa Colonia gilt, dass Riskiken
irgendwie kalkulierbar sein müssen: Der Kunde muss
dem Versicherer nachweisen, dass er sich mit
entsprechender Software, "mit Firewalls und
Virenscanner" gegen solche Attacken sichert. Für Fälle
wie die Denial-of-Service-Attacken gilt für ihn: "Es ist
außerordentlich schwierig, solch ein Risiko zu
berechnen".
Problematisch sind die Zahlen,
mit denen agiert wird. Wenn
Ausfallzeiten wie im Falle der
großen E-Händler gleich mit
Milliardenbeträgen berechnet
werden, zu was für
Versicherungsprämien soll das
führen? Thomas Mallinckordt:
"Man kann sich gegen
Ausfallzeiten versichern. Aber
wenn ein Kunde stunden- oder tagelang versucht, Ihre
Website anzusurfen, um dort einzukaufen, was für ein
Imageschaden wird dadurch verursacht? Kommt der
Kunde wieder? Spricht sich das herum? Verkaufen
deshalb Leute ihre Aktien des betroffenen
Unternehmens? Und sind das Ansprüche, für die eine
Versicherung Ersatz zu leisten hätte?"
Die Marsh GmbH, sagt Dirk Grote, Produktentwickler
beim Versicherungsmakler. "Marsh deckt alle Risiken ab,
auch Schäden, die Dritte erleiden". Was das bedeutet,
entdeckt man auf Nachfrage: "Es ist ja zum Beispiel
vorstellbar, dass ein Unternehmen im
Business-to-Business-Bereich Betriebsausfälle hat und
dadurch Handelspartner Schäden erleiden".
Doch was ist mit den 2,5 Milliarden, die in der
Pressemitteilung erwähnt werden? Deckt das Paket
wirklich das volle finanzielle Risiko einer
Denial-of-Service-Attacke ab? Grote: "Dabei geht es um
den so genannten Bilanzschutz. Wenn ein Unternehmen
zum Beispiel 250 Millionen Dollar weniger Umsatz
macht, dann hat das Auswirkungen auf die Börse. Hier
greift der Bilanzschutz: Wir versichern eine Deckung des
durch den Betriebsausfall verursachten Schadens in
voller Höhe - und dadurch sollte es erst gar nicht zum
Bilanzschaden kommen. Wenn der Aktionär weiß, dass
die 250 Millionen Dollar gar nicht in der Bilanz
auftauchen werden, weil wir dafür aufkommen, kommt
es womöglich ja gar nicht erst zum Absturz der Aktie."
Ach so. Die Risken, versichert Grote, werden durch das
dahinter stehende Versicherungskonsortium
genauestens analysiert. "Natürlich verlangt eine
Versicherung von ihrem Kunden ein Sicherheits-Audit,
natürlich muss der Kunde nachweisen, dass er sich
gegen Risiken schützt." Das Versicherungspaket sei
"fertig", könne so verkauft werden. "Natürlich muss es
auf jeden einzelnen Kunden zugeschnitten werden" -
genau wie bei der Konkurrenz. Grote: "Und natürlich
erhöht sich der Versicherungsbeitrag entsprechend dem
Risiko".
Die neue Ökonomie mag neue Risiken mit sich bringen.
Neue Versicherungen hat sie bisher nicht
hervorgebracht - nur neue Namen. Eine
Hackerversicherung gefällig? Fragen Sie einen Vertreter
Ihrer Wahl.
A R T I K E L V E R S E N D E N
© SPIEGEL ONLINE 14/2000
