Von Antje Kullrich, DüsseldorfDer Schreck war groß, als die britische Tesco-Bank Anfang November einen groß angelegten Hackerangriff auf Girokonten bekannt geben musste. Cyberkriminelle waren in das System des Finanzinstituts, das zum Handelskonzern Tesco gehört, eingedrungen und hatten von den Konten von rund 9 000 Kunden eine siebenstellige Summe abgezogen. Rund 2,5 Mill. Pfund, so teilte die Bank später mit, habe sie ihren Kunden ersetzen müssen.Noch hat es in Deutschland keinen vergleichbaren Fall bei einer Bank gegeben, doch die Finanzbranche ist sich der Gefahr bewusst. In den Risikomanagementsystemen spielen IT-Gefahren eine große Rolle, die Aufsicht hat ein Auge drauf. Wer zusätzlichen Schutz sucht, kann sich gegen Cyberrisiken versichern. “Es gibt ausreichend Deckung und Anbieter”, sagt Georg Bräuchle, Geschäftsführer des Maklers Marsh in Deutschland. Die Großbanken hierzulande sind nach seinen Angaben mittlerweile in der Regel versichert, so wie die meisten Dax-Konzerne. Großbanken gut aufgestelltDie Finanzbranche selbst schweigt sich über ihren Schutz aus. Keine Bank will auf Anfrage Auskunft über Art und Umfang ihrer Cyberdeckung geben. Die Institute befürchten, durch öffentliche Aussagen zur bevorzugten Zielscheibe ehrgeiziger Hacker zu werden.Manche Versicherer halten Cyberpolicen für die Finanzbranche für ein zu schwieriges Geschäft. Nicht alle Gesellschaften, die hierzulande Unternehmen gegen Hackerattacken versichern, bieten ihre Policen auch Banken an. Mit an Bord sind allerdings die großen Industrieversicherer. Allianz Global Corporate Solutions (ACGS), AIG, Chubb und andere offerieren Deckungen für Finanzdienstleister.Auch die Munich Re ist mit ihrer auf große Industrierisiken spezialisierten Erstversicherungseinheit Corporate Insurance Partner dabei. Andreas Schlayer, Senior Underwriter für Cyberrisiken bei der Munich Re, sieht bei den Großbanken zwar hohe Risiken, aber auch eine große Verteidigungsfähigkeit. Das Geschäft lasse sich gut zeichnen, da die Institute sehr professionell aufgestellt seien und ihre Risiken genau identifizieren könnten. “Die deutschen Großbanken sind sehr weit”, sagt er zur IT-Sicherheit. J.P. Morgan investiertWie hoch der Aufwand ist, den global tätige Finanzinstitute betreiben (müssen), lässt sich am Beispiel von J. P. Morgan ablesen. Das IT-Sicherheitsbudget betrug 2014 rund 250 Mill. Dollar, 2015 verdoppelte es sich und stieg 2016 auf mehr als 600 Mill. Dollar. Das geht aus bei der US-Wertpapieraufsicht eingereichten Pflichtangaben hervor. J. P. Morgan war 2014 Opfer einer Cyberattacke geworden, bei der die Daten von 83 Millionen Kundenkonten ausgespäht worden waren. Der Angriff gilt als einer der größten bisher in Sachen Datenabflüsse. Einen versicherten Schaden im Finanzbereich hat es laut führenden Maklern in Deutschland bislang noch nicht gegeben.In anderen Branchen ist das anders. Vor einem Monat sorgte die Hackerattacke auf Router der Deutschen Telekom für gewaltigen Wirbel. Zwar entpuppte sich die Attacke als im Grunde gescheitert, weil die Hacker eigentlich Hunderttausende von Routern in einem Botnet zusammenschließen und nicht abstürzen lassen wollten. Doch für den noch jungen Markt der Cyberversicherungen könnte es in Deutschland der bisher prominenteste Schadenfall werden. Die AGCS führt das Konsortium, das den Telekom-Branchenprimus versichert hat.Mit der steigenden Verbreitung von Cyberpolicen nehmen auch die Schäden zu. Doch sei in der Sparte bisher durchaus Geld zu verdienen, sagen Marktteilnehmer. Die Nachfrage nach Deckungen steige exponentiell, konstatiert Johannes Behrends, Leiter der Cybersparte beim Makler Aon Risk Solutions in Deutschland. Noch dürfte das Beitragsvolumen hierzulande im unteren bis mittleren zweistelligen Millionenbereich liegen, doch in fünf bis sieben Jahren könnte sich das Volumen nach Schätzungen bereits verzehnfachen. Das Volumen des Marktes wird laut Marsh-Manager Bräuchle auch davon abhängen, inwieweit die Versicherer Cyberrisiken in traditionelle Industrieversicherungsverträge in Zukunft integrieren – zum Beispiel in Haftpflichtdeckungen einschließen oder bei Betriebsunterbrechungsversicherungen nicht nur Sachschäden als Ursache zulassen, sondern eben auch Hackerattacken, die alles lahmlegen.Weltweit liegen die Beitragseinnahmen in der Cyberversicherung nach einer Schätzung der Munich Re aktuell bei gut 3 Mrd. Dollar, wobei der Löwenanteil auf den US-Markt entfällt. Bis 2020 soll das Volumen auf rund 9 Mrd. Dollar ansteigen.Cyberpolicen sind in Deutschland seit 2011 auf dem Markt. Der erste Anbieter war Hiscox, Branchenprimus Allianz kam 2013 mit einem eigenen Angebot hinzu. Mittlerweile bieten rund zwei Dutzend Versicherer Cyberpolicen an. Und immer mehr kommen dazu. Für 2017 hat die Gothaer den Einstieg in die Cyberversicherung angekündigt. Sie will Unternehmen ab 5 Mill. Euro Umsatz versichern. Doch längst nicht alle Anbieter übernehmen in Konsortien auch die Führung. Auch die Kapazitäten sind sehr unterschiedlich. Die Großen wie Munich Re oder Allianz schrecken auch vor 100 Mill. Euro nicht zurück, andere beschränken sich auf einen unteren zweistelligen Millionenbereich. “Dynamithandel”Und immer mehr Versicherungsmanager rechnen damit, dass Cyberdeckungen in einigen Jahren ein Massenprodukt sein werden. Und so trauen sich allmählich auch Unternehmen, die lange Zeit äußerst skeptisch waren. Ulrich Wolff von der Sahl, Chef der SV SparkassenVersicherung, verglich Cyberversicherungen noch vor kurzem mit “Dynamithandel”. Doch auch der drittgrößte öffentliche Versicherer bringt im Januar ein Produkt für kleinere Unternehmen auf den Markt – als optionale Ergänzung zur Betriebshaftpflicht. Die Versicherungssumme liegt bei bis zu 100 000 Euro. Die R+V will ein Produkt in ähnlicher Größenordnung lancieren.In Deutschland seien derzeit Kapazitäten von rund 500 Mill. Euro in Konsortien darstellbar, sagen Marktteilnehmer. Weltweit reicht das nicht aus. “Die Kapazitäten, die nachgefragt werden, sind zum Teil größer, als sie der Markt anbietet”, sagt Munich-Re-Manager Schlayer. Großkonzerne, die sich schon länger mit dem Thema beschäftigten, dürften demnächst Deckungen bis 1 Mrd. Euro nachfragen.