Zurich lanciert eine Versicherung gegen Hacker-Angriffe und Daten-Klau. Es sei gut möglich, dass Firmen grössere Schadensfälle bald nicht mehr selber tragen können, sagt Marie-Fleur Auf der Maur, Cyber-Expertin bei der Zurich. 

Illustration: iStock

Frau Auf der Maur, die Zurich lanciert als erstes Schweizer Assekuranzunternehmen eine «Cyber-Security & Privacy»-Versicherung. Das ist wohl hauptsächlich ein Werbegag, oder?

Nein, keineswegs. So genannte Cyber-Attacken – wie Daten-Klau, Hacker-Angriffe oder gezielte System-Unterbrüche – haben in den vergangenen paar Jahren massiv zugenommen.

Das Schadenspotenzial ist enorm und kann Folgen in dreistelliger Millionenhöhe haben, wie dies verschiedene bekannte Fälle gezeigt haben. Vor diesem Hintergrund ist es nur verständlich, dass Unternehmen sich versicherungstechnisch schützen wollen.


«In den USA sind solche Versicherungen längst selbstverständlich»


Den Schutz ihrer Daten muss doch jede Firma selber an die Hand nehmen.

Absolut, allerdings ist eine Absicherung vor grossen Schadensfällen künftig kaum mehr selber tragbar. Denn mit der voraussichtlich im nächsten Jahr in Kraft tretenden EU-Datenschutz-Verordnung entsteht für die Unternehmen eine Meldepflicht bei Diebstahl von personenbezogenen Daten.

Was hat das für Konsequenzen?

Wer sich nicht daran hält, dem drohen horrende Strafen von bis zu zwei Prozent des Umsatzes oder einer Million Euro.

In den USA existieren solche Meldegesetze bereits seit Jahren. Darum sind solche Versicherungen dort längst eine Selbstverständlichkeit. Praktisch jedes dritte Unternehmen in Amerika hat heute einen solchen Versicherungs-Schutz – das ist Standard.

Wie ist die Idee bei Zurich in der Schweiz geboren?

Unsere US-Niederlassung bietet seit gut zehn Jahren entsprechende Angebote für Firmen an. Wir konnten daher auf einem grossen Erfahrungsschatz aufbauen, was wohl mit ein Grund dafür ist, dass wir die Vorreiter unter den Schweizer Versicherern sind.


«Die Bausteine sind frei wählbar»


Die ersten Gespräche fanden im Sommer vor einem Jahr statt. Seit Ende 2012 haben wir konkret an einem für den Schweizer Markt passenden Produkt gearbeitet.

Wie muss man sich nun eine solche Versicherung vorstellen?

Bei uns besteht sie aus fünf Bausteinen, die frei wählbar sind: Erstens aus einer Cyber-Haftpflichtversicherung, die bei einem Cybervorfall Verteidiungs- und Prozesskosten sowie allfälligen Schadenersatzzahlungen deckt.

Zweitens aus einer Daten-Rekonstruktions-Versicherung, die für den Aufwand aufkommt, der für die Wiederherstellung der Daten nötig ist. Drittens aus einer Privacy-Breach Komponente, welche die Kosten für die Information der betroffenen Kunden sowie allfällige Kosten für Kommunikations-Massnahmen zur Wiederherstellung der Reputation im Krisenfall deckt.


«Eine Erpressung muss glaubhaft sein»


Viertens offerieren wir ein Modul für den Schaden, wenn die Geschäftstätigkeit zum Beispiel durch einen gehackten Onlineshop unterbrochen wird. Last but not least existiert ein Versicherungsschutz bei Cyber-Erpressung, also wenn ein Hacker sich bei einer Firma meldet und eine finanzielle Forderung stellt.

Eine Firma könnte doch «auf die Idee kommen», sich sozusagen selber zu erpressen, um eine hübsche Summe zu kassieren.

Um dies zu verhindern, muss die Erpressung eines Unternehmens glaubhaft dargelegt werden. Der Versicherer ist nur dann entschädigungspflichtig, wenn die Schadenexperten vor der Bezahlung des Lösegeldes das Einverständnis gegeben haben.

Was kostet eine solche Versicherung?

Die Bandbreite ist gross, zumal die einzelnen Bausteine frei wählbar sind und der Schutz letztlich von der Versicherungssumme, der Grösse des zu versichernden Unternehmens und der Anzahl vom Unternehmen bearbeiteter Daten abhängt.


«Für Banken ist das Thema existenziell»


Grob gesagt liegt die Prämie zwischen sechs Promille und einem Prozent des Versicherungsbetrags. Es gibt allerdings auch schon Lösungen für KMUs ab 10'000 Franken. Die maximal versicherbare Summe liegt bei 25 Millionen Franken.

Wer ist Ihre Zielkundschaft?

Im Prinzip alle Firmen, die mit sensiblen Kundendaten zu tun haben; namentlich Krankenversicherungen, Detailhandelsfirmen, Transportunternehmen, aber auch Firmen, die Online-Shops betreiben und natürlich Banken, für welche die ganze Problematik in den vergangenen Jahren geradezu existenziell geworden ist.

Das Interesse aus dieser Branche ist entsprechend gross. Erste Verträge sind bereits unter Dach und Fach.

Welches Potenzial sehen Sie in dieser Schweiz mit diesem neuen Geschäftsbereich?

Wir haben Erfahrungswerte in den USA und rechnen hierzulande über die nächsten zehn Jahre mit einem Prämienpotenzial von 30 bis 100 Millionen Franken. Die neue EU-Datenschutzverordnung und die Zunahme von Hacker-Attacken und Cyber-Angriffen dürften den Markt kräftig ankurbeln.


«Die Investitionen gehen in die Milliarden»


Ein Indiaktor sind die Investitionen in die Sicherheit: In diesem Jahr geben Firmen weltweit 67 Milliarden Dollar für Sicherheit aus, rechnet Gartner, der wichtigste Marktforscher im Sicherheitsbereich. Und 2016 dürfte das Marktvolumen dannzumal mehr als 86 Milliarden Dollar betragen.


Marie-Fleur Auf Der Maur 2Marie-Fleur Auf der Maur ist Juristin (MLaw) und Betriebsökonomin (MA in Management) sowie verantwortlich für «Cyber Security & Privacy» bei der Zurich Insurance Company in der Schweiz.