Ein Schutzschirm gegen Cyberattacken Angriffe auf IT-Systeme können die Wirtschaft stilllegen. Versicherungen bieten heute zu wenig Schutz. Eine Branchenlösung will dies ändern – mit dem Staat als Rettungsanker.
Angriffe auf IT-Systeme können die Wirtschaft stilllegen. Versicherungen bieten heute zu wenig Schutz. Eine Branchenlösung will dies ändern – mit dem Staat als Rettungsanker.
Auf den ersten Blick ist die Entwicklung erfreulich: Im Jahr 2022 verzeichnete das Nationale Zentrum für Cybersicherheit (NCSC) 159 Angriffe mit schädlicher Software – etwa gleich viel wie im Vorjahr. Doch die Ruhe ist trügerisch: Der Ukraine-Krieg, so sagen Experten, habe nur zu einem kurzfristigen Rückgang von Cyberangriffen geführt. Der Konflikt habe die Hackertruppen gespalten, sie müssten sich erst neu formieren. Dass sie bald wieder zuschlagen, steht ausser Zweifel. Der Geldbedarf ist grösser denn je.
Wie verheerend sich konzertierte Cyberattacken auswirken können, zeigte der Angriff mit dem Erpressungstrojaner NotPetya vom 27. Juni 2017. Er löschte Hunderttausende Festplatten, der geschätzte Schaden betrug 10 Mrd. $. Vor solchen Attacken zittert auch die Schweizer Wirtschaft.
«Würde es Hackern gelingen, Malware in eine weit verbreitete Software einzuschleusen, könnte der Schaden schnell auf 10 Mrd. Fr. oder mehr steigen», sagt Martin Jara, Schweiz-Chef des Versicherers Helvetia. Das Bedrohungsszenario lässt sich noch steigern: Angriffe auf Telekomfirmen, Stromproduzenten oder Cloud-Anbieter könnten ganze Branchen lahmlegen, Attacken auf Spitäler Menschenleben kosten.
Risiken sind «unversicherbar»
In Gefahrenanalysen figurieren Cyberattacken ganz oben. Der diese Woche veröffentlichte «Global Risk Report» des WEF führt sie als grösste technologische Gefahr überhaupt auf. «Die Möglichkeit einer staatlich unterstützten oder privaten Attacke auf ein anderes Land oder eine Region mit katastrophalen Folgen ist sehr real», schreibt der Rückversicherer Swiss Re in einer Studie vom November.
«Was passiert, wenn jemand die Kontrolle über lebenswichtige Teile der Infrastruktur übernimmt?», fragte Mario Greco, der Chef des Zurich-Versicherungskonzerns kürzlich in einem Interview der «Financial Times». Eine Antwort hatte er nicht: «Cyberrisiken werden unversicherbar», bilanzierte Greco düster.
Dies verunsichert die Realwirtschaft. «Es wird für die Unternehmen immer schwieriger, sich gegen Cyberrisiken zu versichern», sagt Stefan Brupbacher, Direktor des Industrieverbandes Swissmem. Die Prämien seien stark gestiegen. «Gleichzeitig wurde die Deckungssumme durch die Versicherungen minimiert», sagt Brupbacher.
Im Cyberbereich klafft eine Lücke zwischen den potenziellen Schäden und der Versicherungsdeckung. Die Helvetia schätzt, dass in der Schweiz nur jedes zehnte Unternehmen über eine Cyberversicherung verfügt. Der Markt ist zwar gigantisch. Die Versicherer schrecken aber davor zurück, ihn zu erschliessen – aus Angst, ein Grossereignis könnte sie in den Abgrund reissen.
Kein Land hat bisher eine Lösung gefunden, um das Problem der Unversicherbarkeit zu knacken. Doch die Schweiz hat gute Chancen, eine Pionierrolle zu übernehmen. Der Versicherer Helvetia tritt mit einem Vorschlag an die Öffentlichkeit, der einen Ausweg zeigt: mit einem Schulterschluss zwischen dem Privatsektor und dem Staat. «Wir müssen die ganze Abwehrkette verstärken, es braucht die Zusammenarbeit von Privatsektor, Wissenschaft und Bund», sagt Martin Jara, Chef von Helvetia Schweiz.
Sein Modell hat zwei Stufen: Für die erste schliessen sich die Versicherungen zusammen – Cyberrisiken kommen in einen gemeinsamen Topf, bei einem Schaden zahlt der Versicherungspool. Auf Stufe zwei fungiert der Staat als Rückversicherer: «Wenn die Schäden einen gewissen Betrag und die Finanzkraft des Pools übersteigen, kommt der Bund zum Einsatz», erklärt Jara.
Vorbild Terrorversicherungen
Bei systemischen Grossereignissen sowie kriegerischen Attacken stiessen privatwirtschaftliche Lösungen an Grenzen, begründet Jara den Rückgriff auf den Staat. Ähnliche Modelle existieren bei Elementarschäden oder Terroranschlägen. Auch dort sind mögliche Schäden so gross, dass sie die Kapazitäten von Einzelinstituten übersteigen.
Mehr Kapital und Staatshaftung sind nur ein Schlüssel, um Cyberrisiken in den Griff zu bekommen. Die Helvetia will auch die Abwehr stärken: Wer eine Versicherung abschliesst, muss gewisse Standards bei IT-Sicherheit und Schutzmassnahmen einhalten und ständig anpassen. Bei der Umsetzung könnte das Nationale Zentrum für Cybersicherheit (NCSC) eine Rolle einnehmen.
«Die vorgeschlagene Initiative ist ein prüfenswerter Ansatz», sagt der NCSC-Leiter Florian Schütz, der gleichzeitig der Cyberdelegierte des Bundes ist. Auch andere Versicherer signalisieren Interesse. «Für Szenarien, die von der Versicherungswirtschaft alleine nicht quantifiziert und bewältigt werden können, sind Lösungen in Zusammenarbeit mit dem Bund notwendig», sagt ein Sprecher von Zurich Schweiz. Axa Schweiz steht Branchenlösungen grundsätzlich offen gegenüber, wie eine Sprecherin sagt. Die Versicherer und Schütz betonen aber, dass für definitive Antworten noch zu viele Fragen offen seien.
Ein strittiger Punkt ist die Staatsbeteiligung. Der Swissmem-Direktor Brupbacher hält eine privatwirtschaftliche Pool-Lösung zwar für prüfenswert, lehnt den Staat als Rückversicherer aber ab: «Das ist nicht seine Aufgabe und wäre ein gefährliches Präjudiz.» Auch der NSCS-Chef Schütz sagt, der Bund müsse in erster Linie die Rahmenbedingungen schaffen, damit sich die Unternehmen selber besser schützen können. Ob er für extreme Ereignisse gewisse Garantien bieten könnte oder ob andere Massnahmen zielführender wären, müsse gut abgewogen werden.
Hato Schmeiser, Professor für Risikomanagement an der Universität St. Gallen, hält eine staatliche Resthaftung hingegen für eine gute Idee. «Dies kann die Voraussetzung schaffen, dass Privatversicherungen überhaupt erst in das Geschäft einsteigen», sagt er. «Als Entschädigung kann der Staat eine Prämie von den Versicherten verlangen.» Ein solches Modell kommt heute bereits beim Nuklearpool zum Tragen. Dieser versichert Nuklearrisiken im In- und Ausland
Über den Versicherungsverband will der Helvetia-Schweiz-Chef Jara nun Unterstützung gewinnen. Je schneller die Umsetzung, desto besser, denn die Risiken steigen. «Gelingt die Lösung, schaffen wir einen Standortvorteil für die Schweizer Wirtschaft», sag Jara.
Ohne Eigeninteresse ist der Vorstoss selbstredend nicht. Denn von einer Poollösung mit Staatsgarantie würde auch die Versicherungswirtschaft profitieren. Sie würde sich einen Milliardenmarkt erschliessen, an dem sie sich bis jetzt mit wenig Erfolg abmühte. In einem Pool würden die Tarife zwar staatlich reguliert und die Gewinne gedeckelt. Angesichts der Gefahren dürfen die Versicherer aber auf stetig steigende Prämien hoffen.