Cyberangriffe sind nicht mehr versicherbar

Immer mehr Geld muss zur Regulierung von Schäden durch Cyberattacken durch Versicherungsgesellschaften zur Verfügung gestellt werden. Derartige Verträge seien in naher Zukunft nicht mehr zu finanzieren.

Das Jahr 2022 war das zweite Jahr in Folge, in dem der Schaden durch Naturkatastrophen die Grenze von 100 Milliarden Dollar überstieg. Doch diese Summe scheint die Versicherer nicht weiter zu beunruhigen. Der Vorstandsvorsitzende der Schweizer Versicherungsgesellschaft Zurich, Mario Greco, ist weit mehr um die Schäden durch Cyberangriffe besorgt.

Im Gespräch mit der Financial Times verdeutlicht er, dass der Cyberspace zukünftig nicht mehr versicherbar sein wird. Greco beschäftigt sich mit der Frage, was geschehen würde, wenn jemand die Kontrolle über bedeutsame Teile der Infrastruktur übernehmen würde. Der Vorstandsvorsitzenden sorgt sich nicht nur um die Daten, sondern um die Zivilisation im Allgemeinen. Cyberkriminelle können das Leben wie wir es kennen empfindlich stören.

Die Versicherungswirtschaft hat bereits darauf reagiert und Maßnahmen zur Schadensbegrenzung umgesetzt. Dazu zählen zum einen die Erhöhung der Versicherungsbeiträge und zum anderen die die Anpassung der Policen in der Art und Weise, dass Kunden mehr der Verluste selbst tragen müssen. Beispielsweise lehnte die Versicherungsgesellschaft Zurich im Jahr 2019 eine Forderung des Lebensmittelkonzerns Mondelez in Höhe von 100 Millionen Dollar ab, die der Konzern aufgrund eines NotPetya-Angriffs forderte. Im weiteren Verlauf der Verhandlungen einigten sich die beiden Parteien dennoch.

Mario Greco machte auch deutlich, dass eine einzelne Cyberattacke auf weitere Unternehmen übergreifen kann und damit zu katastrophalen Folgen für kritische Infrastrukturen führen kann. Als Beispiel führte er den Ransomware-Angriff auf die Colonial Pipeline an, welcher zu einer temporären Benzinknappheit im Südosten der USA führte.

Der Staat soll sich an Verlusten durch Cyberangriffe beteiligen

Nach Einschätzung von Greco könne der Privatsektor Schäden aus Cyberattacken nur bis zu einem gewissen Grad abfangen. Er ist der Meinung, dass Regierungen ein privat-öffentliches System einrichten sollten, um systemische Cyber-Risken steuern zu können. Diese Vorgehensweise sollte für Cyber-Risiken angewendet werden, welche nicht quantifizierbar sind, ähnlich denen, die in einigen Ländern für Terroranschläge und Erdbeben bestehen.

Greco befürwortet auch die Einführung gesetzlicher Vorgaben zur Verhinderung von Lösegeldzahlungen bei Ransomware-Erpressungen. Seiner Auffassung nach wird es weniger Cyberanschläge geben, wenn die Zahlung von Lösegeldern begrenzt wird.