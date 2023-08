Eine Studie von Cybersecurity Ventures stellt für das Jahr 2031 eine bedrohliche Prognose aus. Begünstigt durch die dramatischen Entwicklungen bei KI und Quantencomputern sei zu befürchten, dass alle zwei Sekunden eine hochentwickelte globale Ransomware-Attacke stattfinden werde. Der geschätzte Schaden werde sich auf 265 Milliarden Dollar pro Jahr belaufen.

Undurchsichtige Gewässer

Nicht nur deshalb ruft die halbe Welt nach Cyberversicherungen. Dabei möchte man an Erfahrungen mit Ransom-Versicherungsprodukten in anderem Kontext anknüpfen. Zum Beispiel ist die Versicherungswirtschaft engagiert, die internationale Piraterie vor der Küste von Somalia zu bekämpfen. Dies hat zu besserer Abwehrfähigkeit bei potenziellen Opfern geführt. Auch eine Verhandlungsmethodik hat sich für diese Fälle festigen können. Im Kontext mit der Piraterie ist ein Markt entstanden. Mutmasslich geht nun ein grösserer Teil des gesamten Umsatzes an die Versicherungsbranche. Dafür haben die Zahlungen an Piraten abgenommen.

Ursächlich für den Lösungsansatz in der internationalen Piraterie dürfte gewesen sein, dass man die Zuständigkeiten in den internationalen Gewässern und die Lösungsfindung auf diesen als zu kompliziert oder zu wenig handhabbar empfunden hatte. Es waren bildlich gesprochen "Muddy Waters" – undurchsichtige Gewässer. Die undurchsichtige Rechtslage hat es notwendig gemacht, den betroffenen Schifffahrtsunternehmen finanzielle Lösungen zu bieten. Dies hat eine "Versicherungslösung" notwendig gemacht.

Resilienz schaffen

Ich argumentiere, dass anwaltliche Beratung gegen Cyberangriffe einen Mehrwert bietet. Dank Beizug einer im IT-Bereich spezialisierten Anwaltskanzlei kann man in Erpressungssituationen im digitalen Umfeld eine entscheidende Verbesserung erzielen. Sie kann die Rechtslage rasch und belastbar klären. Das stärkt das Opfer und ist – neben guter IT-Sicherheit und gutem Vendor Management – ein wichtiger Schritt hin zu Resilienz gegen Erpressungen und Lösegeldforderungen.

Spezialisierte Beratung gibt den Opfern Handlungsstärke. Die Grundlagen werden geklärt. Also reduzieren sich auch die Lösegeldbeträge. Und somit wird auch der Druck auf die Finanzierung durch die Versicherungsgesellschaft reduziert. Statt hohen Lösegeldsummen bezahlt sie Unterstützungskosten und gegebenenfalls taktische Zahlungen von wenigen hundert bis tausend Franken. Der Beitrag der spezialisierten Anwaltskanzlei zur Lösung von Erpressungssituationen kann hier somit einen Unterschied machen.

Digitalisierung ist kein Muddy Water

Worauf ich hinaus will: Anders als die Piraterie auf internationalen Gewässern ist die Digitalisierung kein "undurchsichtiges Gewässer". Die Rolle der Versicherungsunternehmen bleibt dabei gleichwohl zentral. Dank ihres starken Vertriebsnetzes direkt zu der gesamten Unternehmensbasis in der Schweiz behält die Versicherungswirtschaft die Aufgabe eines "Kulturvermittlers". Sie vermittelt die IT-Sicherheitskultur, die bei Unternehmen heute teilweise noch immer eher schwach verankert ist. Hintergrund dürfte die Komplexität der Aufgabenstellung sein. Vieles wird deswegen durch IT-Dienstleister erledigt. Und offenbar erst seit dem Xplain-Hack ist im öffentlichen Bewusstsein angekommen, dass es gutes Vendor Management braucht. Man muss seine Crew (dazu zählen auch externe IT-Dienstleister) im Griff haben.

Es braucht Koordination

Versicherungen können einen wichtigen Beitrag dafür leisten, dass KMU ihre IT-Sicherheit in den Griff bekommen. Der Vorteil für die Versicherung: Punktuelle Cyberkriminalität und -vandalismus bleiben entgegen der Ankündigung der Zürich-Versicherung weiterhin deckbar, jedenfalls wenn es um Einzelangriffe geht. Man wird das Modell aber künftig skalieren müssen. Für grossflächige "systemische" Cyber-Attacken gibt es weiterhin keinen guten Schutz. Das ist aktuell wohl nicht nur in der Schweiz der Fall, sondern auch weltweit.

Eine Lösung drängt, da ein riesiges volkswirtschaftliches Schadenpotenzial besteht. Beispielsweise bei flächendeckenden Angriffen auf ganze Branchen, Regionen oder kritische Infrastrukturen. Das Versicherungsprinzip des Ausgleichs stösst da an seine Grenzen.

Die Versicherungsgesellschaft Helvetia hat unlängst an einem Symposium die Diskussion um Lösungen angestossen, wie auch bei solchen Cyber-Toprisiken ein Ökosystem aus Versicherungswirtschaft, Branchenverbänden, Wissenschaft, Behörden und spezialisierten Beratern und Anwaltskanzleien die Resilienz stärken und das Schadensausmass verkleinern könnte. Solche Gespräche sollten vertieft werden. Der koordinierte Ansatz wird die Verhandlungsposition von Opfern weiter stärken.