In einem sind sich wohl alle einig: Cyber-Attacken werden zu einer immer größeren Bedrohung. Die Frage ist nicht, ob, sondern wann der Angriff erfolgt. Ob es sich für Tankstellen lohnt, eine Cyber-Versicherung abzuschließen, erklärt Carl Michael Götte, Geschäftsführer der Versicherungsvermittlung Constantia.
Unerfüllte Voraussetzungen
Götte sieht Cyber-Versicherungen als sinnvollen Zusatzschutz an, um im Fall eines erfolgreichen Cyber-Angriffs sofort fachkundige Unterstützung unter anderem bei der Wiederherstellung der Systeme zu erhalten und im Nachgang den finanziellen Schaden zu minimieren. Jedoch gebe es insbesondere für Tankstellen Schwierigkeiten bei der Haftung im Schadenfall. Denn der Betreiber nutzt in der Regel die IT-Systeme der Mineralölgesellschaften und hat somit keinen Einfluss auf die Absicherung dieser Systeme. Beim Abschluss einer Versicherung müssen bestimmte Anforderungen erfüllt sein. Dabei geht es unter anderem um die Sicherheit der Passwörter, Firewalls und Datensicherung. Die Einhaltung der Anforderungen kann der Betreiber jedoch nicht ohne Weiteres gewährleisten. „Er kann also kaum kontrollieren, ob Obliegenheiten im Vertrag mit der Versicherung wirklich eingehalten werden. Er kann nur darauf hoffen, dass die Gesellschaft diese Maßnahmen ergreift, denn sonst hat er keinen Versicherungsschutz. "Wenn die Versicherung nicht greift – und das ist meine Befürchtung bei den Standardprodukten bezogen auf diese spezielle Branche –, muss man den Schaden selbst tragen", erklärt Götte.
Keine Lösung von der Stange
Der Versicherungsvermittler rät daher davon ab, eine Standard-Cyber-Versicherung abzuschließen. Er sei bereits mit Tankstellenverbänden sowie mit Versicherern im Gespräch, um ein auf die Branche abgestimmtes Versicherungsprodukt zu erstellen. Jedoch sei zum einen die Nachfrage nicht groß genug – das liegt laut Götte am fehlenden Bewusstsein für die Gefahr, nach dem Motto: Bei mir gibt es eh nichts zu holen. Zum anderen sind die Zuständigkeiten unklar. Die Pächter wüssten oft nicht, wer haftet, auch in den Verträgen mit den Mineralölgesellschaften sei dies nicht klar geregelt, und die Gesellschaften wiederum lassen sich nicht in die Karten schauen. „Man braucht zunächst Standards, die man in den Verträgen verankert. Bei Tankstellen sind die Zuständigkeiten aber recht kompliziert und undurchsichtig." Daher gebe es zurzeit keine vernünftige Lösung für Tankstellen auf dem Markt. "Man kann immer nur im Einzelnen schauen, ob man eine individuelle Lösung zwischen Pächter und Versicherung findet", so Götte.
Das Ende der Cyber-Versicherung?
Ein geeignetes Produkt für die Tankstellenbranche zu erstellen, ist nicht die einzige Hürde. Hinzu kommt, dass sich die Leistungen und Anforderungen der Versicherer wandeln. Cyber-Versicherungen sind sehr gefragt, da die Angriffe zunehmen und die Kosten im Ernstfall in Milliardenhöhe steigen können. Dadurch ist das Produkt für die Versicherungen kaum noch rentabel. "Die Branche denkt darüber nach, Leistungen und Deckungsstrecken zu reduzieren. Einzelne Anbieter wollen ganz aussteigen", sagt Götte.
Auch Ingo Köhne, Geschäftsführer der IT-Consulting Möhrle Happ Luther, beobachtet diese Entwicklung: "Es lässt sich eine gewisse Zurückhaltung erkennen, was die Leistungen betrifft." Grund dafür ist laut Köhne ein Gerichtsurteil aus dem vergangenen Jahr. Als russische Hacker im Jahr 2017 die Buchhaltungs-Software M.-E.-Doc, die in der Ukraine flächendeckend genutzt wird, angegriffen haben, entstand Unternehmen weltweit ein großer finanzieller Schaden. Unter anderem dem amerikanischen Pharmakonzern Merck. Obwohl der Konzern eine Cyber-Versicherung hatte, weigerte sich diese, den Schaden von 1,4 Milliarden Dollar zu tragen. Merck zog daraufhin 2019 vor Gericht. Das Gericht entschied Anfang des letzten Jahres zugunsten des Konzerns. Köhne erklärt: "Das Urteil führt dazu, dass die Cyber-Versicherungen sich selbst schützen. Die Bedingungen werden zum Beispiel so verändert, dass Angriffe, die von einem Staat ausgehen und kritische Infrastruktur betreffen, nicht abgedeckt sind." Dadurch werde die Versicherung entwertet und für Kunden unattraktiver.
Sichern statt versichern
Was rät der IT-Experte aufgrund dieser Entwicklung? "Bevor man sich überlegt, ob man eine Versicherung abschließt, empfehle ich, eine zeitgemäße Absicherung der IT zu schaffen. Die Versicherung ist dann erst Schritt C oder D. Wenn meine Haustür nicht abschließbar ist und jeder reinkann, sollte ich mir erst mal ein Schloss kaufen und keine Versicherung." Mit einem höheren Schutzniveau, falle meist auch der Schaden bei einem Angriff geringer aus. Betreiber sollten zum Beispiel darauf achten, im Rahmen ihrer Möglichkeiten eine geringe Angriffsfläche zu bieten. Laut Köhne liegt das größte Risiko in Ransomware-Angriffen, die oft per E-Mail erfolgen und meist das Ziele haben, alle Daten und Systeme zu verschlüsseln, auf die die Person Zugriff hat. "Das ist ein recht leichtes Einfallstor und da ist Awareness, also Sensibilisierung, das große Thema. Trotzdem kann es passieren, dass man unaufmerksam oder gestresst ist und auf den Link klickt, auf den man in einer ruhigen Minute nicht geklickt hätte."
Zusammen gegen die Angreifer
Sowohl Köhne als auch Götte rufen dazu auf, sich intensiv mit dem Thema Cyber-Sicherheit auseinanderzusetzen und anschließend zu entscheiden, ob eine Cyber-Versicherung infrage kommt. Denn wenn die Zuständigkeiten geregelt und die Anforderungen der Versicherung erfüllt sind, ist der Schutz bei einem Angriff auch gegeben. Göttes Appell an Pächter und Gesellschaften: "Es ist eine Gemeinschaftsaufgabe. Alle sollten an einem Strang ziehen, denn die Gefahr ist akut."