Es ist ein kalter Morgen im November, kurz nach neun, es nieselt. Ich bin nicht unterwegs in die Redaktion, sondern zu einem Versicherungsbüro – ich will eine Internetversicherung abschließen. Zumindest tue ich so. In meinem vorausgegangenen Telefonat mit dem Versicherungsvertreter habe ich versucht, möglichst wie die Zielgruppe zu wirken. So wie einer der „Homeshopper, Homebanker, Surfer und Chatter“, um deren Gunst beispielsweise die Sparkassenversicherung wirbt. Damit ich in Zukunft „mit Sicherheit im Netz unterwegs“ sein kann – wie die ARAG verspricht, ein weiterer Anbieter von Internetversicherungen.
Die Sparkassenversicherung hat im letzten Jahr 10.500 Verträge für ihren „InternetSchutz“ abgeschlossen, der seit Mai 2016 auf dem Markt ist. Die ARAG verkaufte insgesamt etwa 40.000 Policen seit Einführung von web@ktiv 2012. Davon allein 3.000 seit November letzten Jahres. Andere Versicherer wollten mir keine Auskunft geben oder gaben im Fall von CosmosDirekt an, über keine entsprechenden Statistiken zu verfügen. Aus Sicht des Gesamtverbandes der Deutschen Versicherungswirtschaft seien Internetversicherungen bisher ein Nischenprodukt, erklärte mir ein Pressesprecher des Verbandes. Dennoch zeigen die Angaben: Die Zahlen steigen, immer mehr Unternehmen bieten Internetschutz-Policen an. Der Markt wächst.
Ich bin spät dran, denn Zielgruppe sein ist gar nicht so einfach. Meine Probleme begannen am Kleiderschrank: Mehrere Generationen T‑Shirts vom Chaos Communication Congress, zwei von Mozilla, Landesverrat-Pullover, der Rest in der Wäsche. Mist. Nach ein paar Minuten hatte ich ein ordentliches grünes Hemd gefunden, nach weiteren Minuten eine Jacke, die kein schwarzer Kapuzenpulli ist. Endlich los. Auf dem Weg zum Versicherungsbüro zweifle ich daran, ob ich „überzeugend“ wirken kann. Aber ich will wissen, was es mit diesen Internet-Versicherungen auf sich hat und ob eine solche Versicherung sinnvoll sei kann.
Ein buntes Sammelsurium an Leistungen
Was meine Haftpflichtversicherung für mich tut, weiß ich – zumindest ungefähr. Gegen was eine Internetversicherung versichern soll, kann ich mir am Anfang nicht so recht vorstellen. Kann ich jetzt Torrents aktueller Filme und Serien bereitstellen und die Versicherung übernimmt die vorprogrammierten Zahlungsaufforderungen der Abmahnkanzleien? Zahlt mir die Versicherung die Erpressungssummen von Ransomware? Wohl kaum, ist meine Vermutung.
Einige der Internetversicherungen haben klangvolle Namen wie Digital Life Protect oder web@aktiv, andere heißen – ganz prosaisch – InternetschutzPolice. Sie alle versprechen, den Internetnutzer vor den Gefahren der Online-Welt zu schützen: Betrug beim Online-Einkauf, Phishing, Identitätsmissbrauch – ein Teil versichert sogar gegen Cyber-Mobbing und Reputationsverlust.
Im Juni 2015 hat sich das Verbrauchermagazin Öko-Test diese Internetversicherungen angeschaut. Die Analyse „ist mehr als ernüchternd“, urteilte Öko-Test deutlich. Gilt das immer noch, zwei Jahre später? Wer die Versicherungen vergleichen will, steht schnell vor dem Problem, dass die versprochenen Leistungen sich stark unterscheiden.
Beiträge basieren auf „einigen Annahmen“
Genauso unterscheiden sich die Jahresbeiträge. Für schon 6,90 Euro jährlich kann man bei Ergo Direkt einen Internet-Schutzbrief abschließen. Am Ende der Preisskala befindet das Produkt Digital Life Protect von BNP Paribas. Hier kostet das Komplettpaket 239,40 Euro pro Jahr.
Wie kommt das zustande, will ich wissen und frage Versicherer an, auf welcher Grundlage sich ihre Beträge berechnen. Von einigen bekomme ich keine Antworten, Cosmos Direkt weist mich darauf hin, dass Informationen zur Beitragskalkulation „Unternehmensinterna“ seien, BNP Paribas entschuldigt sich. Man könne mich bei meiner Recherche „leider nicht unterstützen“.
Selbst diejenigen, die mir antworten, bleiben vage. Die R+V‑Versicherung verweist mich auf „Statistiken zur Internetkriminalität und erwartete Kosten für die beinhalteten Dienstleistungen“, die ARAG bezieht sich auf „Erfahrungswerte aus bestehenden Produkten“. Über die maximal unkonkrete Antwort der Sparkassenversicherung muss ich kurz schmunzeln:
Da es kaum Erfahrungswerte gibt, haben wir einige Annahmen für die Kalkulation getroffen.
Schlauer bin ich dadurch nicht geworden und beschließe, anders an die Sache heranzugehen. Ich beginne, hunderte Seiten Versicherungsbedingungen zu lesen.
Gemeinsamer Nenner „Phishing-Versicherung“
Es gibt einen gemeinsamen Nenner unter den Versicherungen: Alle sichern ihre Kunden gegen Phishing und den Missbrauch ihrer Zahlungsdaten ab. Oft haben Bankkunden jedoch auch ohne eine entsprechende Versicherung Erfolg, wenn sie direkt von ihrer Bank eine Rückerstattung einer fälschlich abgebuchten Summe verlangen. Solange sie nicht grob fahrlässig handeln. Geben sie gleich zehn TANs ein, wenn eine Phishing-Mail sie dazu auffordert, sieht es eher schlecht aus. Wenn sie ihre Sorgfaltspflicht erfüllen und sich dennoch einen Trojaner einfangen oder ein Betrüger hinter ihrem Rücken tätig wird, stehen ihre Chancen gut, das Geld wiederzubekommen.
Ich habe keine Ahnung, wie kompliziert das im Fall der Fälle ist, daher habe ich „Opfer“ gesucht – und gefunden. Zum Beispiel einen Diplominformatiker, der gerne Fred F. genannt werden will und sich selbst als Digital Native bezeichnet. Er wurde kein klassisches Phishing-Opfer, sondern stellte nach einer Dienstreise fest, dass unerklärlicherweise 360 Euro durch Paypal von seinem Konto abgebucht wurden – für den Kauf einer Spielekonsole, die er nie bestellt hatte. Der Betrüger kannte Freds Kontoverbindungsdaten und hat sie bei Paypal zur Zahlung hinterlegt. Fred bekam einen Hinweis von Paypal, sein Girokonto sei als Zahlungsmittel aus seinem (eigenen) Paypal-Account entfernt worden. Doch er reagierte nicht weiter und vermutete, „dass eventuell nur noch Kreditkarten akzeptiert werden würden oder dergleichen“.
Gegen den Zeitaufwand kann einen niemand versichern
Trotz dieser Nachlässigkeit erhielt er sein Geld zurück, die Bank hat die Lastschrift zurückgebucht. Langwieriger, aber professionell sei die Auseinandersetzung mit Paypal gewesen. Fred ist außerdem zur Polizei gegangen, um den Betrüger anzuzeigen. „Würdest du nach deinen Erfahrungen eine Internetversicherung abschließen?“, frage ich Fred. Nein, sagt er. Er sei ohne größeren Schaden aus der Sache herausgekommen, am meisten Nerven habe ihn der zeitliche Aufwand gekostet:
Allein die beiden Besuche im Polizeirevier summieren sich auf fünf Stunden inklusive An- und Abfahrt, dann das viele Telefonieren, Faxen, Grübeln. Sowas ersetzt einem keine Versicherung, und der Aufwand wäre vermutlich trotzdem da.
Mit seiner Vermutung liegt Fred richtig. Denn zuerst müssen die Kunden versuchen, das Geld von Banken und Zahlungsdienstleistern wiederzubeschaffen. Erst wenn das fehlschlägt, springen die Versicherer ein. Die Sparkassenversicherung erklärt mir, sie würden dann haften, wenn die Banken das nicht tun – „auch bei grober Fahrlässigkeit“. Das bestätigen die Versicherungsbedingungen:
Voraussetzung für die Leistung ist, dass Sie die vereinbarten Pflichten als Kunde gegenüber dem Kreditkarten‑, Zahlungs- oder E‑Geld-Institut schuldhaft verletzt haben und deshalb die Erstattung des Schadens durch die Bank zu Recht vollständig oder teilweise schriftlich abgelehnt wurde.
Bestellt und nicht geliefert
Neben dem Missbrauch von Bankdaten wollen die Versicherungen ihre Kunden vor betrügerischen Online-Händlern in Schutz nehmen. Wer etwas, beispielsweise auf einem Kleinanzeigen-Portal, kauft und bezahlt, aber die Ware niemals bekommt, erhält den Preis erstattet. Derartiger Betrug passiert gar nicht so selten. Laut einer Studie des Digitalbranchenverbandes Bitkom 2016 haben 20 Prozent der Befragten innerhalb eines Jahres Erfahrungen mit Betrug bei Onlinekäufen und ‑verkäufen gemacht.
Erstaunlich viele Menschen meldeten sich, als ich auf Twitter nach Betroffenen fragte. Besonders hart traf es eine Studentin, die gleich zweimal hintereinander betrogen wurde. Sie will ihren Namen nicht nennen, daher nennen wir sie Nadja. Erst überwies sie Geld an einen Händler, der in einer Ebay-Kleinanzeige ein Microsoft Surface Pro anbot. Weil Nadja sich das Produkt neu nicht leisten konnte, erschienen ihr die 700 Euro für ein Gebrauchtgerät günstig. Doch das Produkt kam nie an. Der Verkäufer redete sich heraus, übermittelte ihr eine gefälschte DHL-Versandnummer, gab vor, das Paket habe nicht zugestellt werden können und sei zurückgeschickt worden. Dann passierte nichts mehr: Kein Paket, keine Geldrückerstattung.
Würden Betroffene sich nach einer schlechten Erfahrung versichern?
Nadja hat Anzeige erstattet und „aus einer Kurzschlussreaktion heraus“ versucht, ihr ersehntes Surface beim nächsten Händler zu bekommen. „Wie hoch ist wohl die Wahrscheinlichkeit, zwei Mal hintereinander abgezogen zu werden?“, fragte sie sich. Genau das passierte. Wieder ist sie zur Polizei gegangen, wieder hat sie Anzeige erstattet. Sie schämt sich heute noch dafür, gleich auf zwei Betrüger hereingefallen zu sein. Deshalb hat sie nie wieder nachgefragt, was aus den Anzeigen geworden ist.
Das ist kein Einzelfall. Ein Großteil derer, die Erfahrungen mit Betrug beim Online-Kauf gemacht haben, erzählten mir ähnliche Geschichten: Mal war es eine teure Kamera, mal nur ein 30-Euro-Betrag. Alle waren sich einig, dass sie eigentlich Anlass gehabt hätten, skeptisch zu werden. Unrealistisch geringe Preise für teure Hardware, keine Händlerbewertungen, Versand der Ware nur nach Vorauszahlung per Überweisung. Trotz ihrer Erfahrungen würde Nadja, wie Fred, keine Internetversicherung abschließen. Eher eine Rechtsschutz, sagt sie, damit sie sich im Zweifelsfall eine Klage leisten könnte. Das war nach dem Verlust von 1.300 Euro mit knappem Studentenbudget nicht mehr möglich.
Ein Versicherungsvertreter rät ab
Was würde ein Versicherungsvertreter empfehlen? Ich sitze, ordentlich gekleidet, in einem spärlich dekorierten Konferenzraum, um genau diese Frage zu stellen. Vor mir steht ein wässriger, aber heißer Kaffee. Ich nehme mir ein klebriges Bonbon mit Versicherungslogo aus der Schale auf dem Tisch. „Mein“ Versicherungsvertreter, nennen wir ihn Achim A., kommt in den Raum. Er ist schätzungsweise so alt wie ich und wirkt freundlich. Ich erzähle ihm von meinen „Bekannten“ Fred und Nadja und frage, ob mir eine Versicherung in solchen Fällen würde. Mir selbst sei sowas nie passiert, doch man höre ja immer mal wieder was aus dem Freundeskreis.
Ich versuche aufrichtig interessiert zu wirken und habe den Eindruck, dass es gelingt. Die Gesprächsatmosphäre ist entspannt, wir wechseln schnell zum „Du“. Dann sagt er: „So ein Produkt brauchst Du eigentlich nicht, das meiste ist sowieso schon in einer Rechtsschutzversicherung drin. Hast du sowas?“, fragt Achim. Nein, antworte ich wahrheitsgemäß, „sowas habe ich bisher nicht gebraucht“. Mein Alter Ego ist nämlich erst seit wenigen Monaten mit dem Studium fertig. Ich frage ihn nach Lebensumständen, bei denen sich eine Internetversicherung für mich lohnen könnte. Ihm fallen keine ein, die ihn selbst überzeugen. Die Rechtsschutzversicherung decke mehr realistische Schadensfälle ab, wesentlich teurer sei sie auch nicht.
Ich bin enttäuscht, verlasse das Büro mit einem Stapel Informationsunterlagen zur Rechtsschutzversicherung. Hätte ich wirklich vor, eine Versicherung abzuschließen, würde ich mich wohl in guten Händen fühlen. Das heißt: Im Grunde genommen bin ich gar nicht enttäuscht, sondern fühle mich ehrlich beraten. Natürlich ist mir klar, dass Achim mir etwas verkaufen will – diesen Job hat er ziemlich gut gemacht. Auf dem Weg ins Büro, es nieselt stärker, frage ich mich kurz, ob ich wirklich eine Rechtsschutzversicherung brauchen könnte. Ich verwerfe den Gedanken, erstmal will ich weiter dem Phänomen der Internetversicherung auf den Grund gehen.
„Mobbing wie im echten Leben“
Einige der Versicherer werben damit, ihren Kunden Hilfe zu „Cyber-Mobbing“ und Reputationsverlust anzubieten. Die Sparkassenversicherung warnt sehr eindringlich vor diesen Gefahren:
Mobbing wie im echten Leben, nur im Netz für die ganze Welt zugänglich.
Helfen soll laut Sparkassenversicherung und Co. Folgendes: Das Mobbingopfer bekommt von der Versicherung die Möglichkeit, telefonische psychologische Hilfe in Anspruch zu nehmen. In der Regel bis zu drei Stunden im Jahr, die Sparkassenversicherung bezuschusst zudem anschließende psychologische Behandlungen mit maximal 300 Euro. Telefonische psychologische Hilfe, das erinnert mich an Telefonseelsorge. Auch wenn da keine „speziell für Internetmobbing geschulte“ Psychologen am anderen Ende der Leitung sind. Solche arbeiten für die Sparkassenversicherung, sagt das Unternehmen.
Manche Internetversicherungen unterstützen ihre Kunden dabei, verleumderische Inhalte löschen zu lassen. Auf Nachfrage haben ARAG und Sparkassenversicherung mitgeteilt, dass dabei Dienstleister zum Einsatz kommen, die Website-Betreiber im Namen der Kunden kontaktieren. Die Sparkassenversicherung kann keine Angaben dazu machen, in wie vielen Fällen solche Versuche erfolgreich sind – zu wenig Erfahrungswerte bisher. ARAG beruft sich auf die Erfolgszahlen des beauftragten Unternehmens, das „langjährige Expertise“ auf dem Gebiet habe. Die Erfolgsquoten lägen bei über 85 Prozent.
Drei Löschversuche inklusive
Der Versicherungsmehrwert besteht in solchen Fällen darin, dass den Betroffenen der Aufwand abgenommen wird. Denn im Grunde genommen kann eine Privatperson selbst problemlos Löschaufforderungen stellen. Wer will, dass bestimmte Ergebnisse nicht mehr in den Google-Suchergebnissen auftauchen, kann auf eine Schritt-für-Schritt-Anleitung des Suchmaschinenbetreibers zurückgreifen – inklusive Hinweisen, wie man die Inhaber der Seite auffindet und kontaktiert, auf denen die ungewünschten Inhalte verbreitet werden. Das bedeutet Aufwand. Die Erfolgsaussichten dürften ähnlich sein, denn auch die Sparkassenversicherung unternimmt nur drei Versuche:
Bleiben die Löschversuche erfolglos, haben Sie uns gegenüber keinen Anspruch auf eine erfolgreiche Löschung der gegen Ihren Willen veröffentlichten persönlichen Daten oder rechtswidriger Äußerungen.
Danach bleibt nur der Anwalt. Womit wir wieder bei einer Rechtsschutzversicherung angekommen wären.
Zurück zum Anfang: Abmahnungen und Ransomware
Apropos: Zu Beginn fragte ich mich, ob eine Internetversicherung Abmahnungen zahlt. Natürlich nicht. Niemand will einen Blankoschein dafür unterschreiben, Schadensersatzforderungen der Abmahner wegen Urheberrechtsvorwürfen zu begleichen. Das würde „förmlich zu Missbrauch verleiten“, erklärt mir die ARAG. Was bleibt, ist anwaltliche Beratung – wie bei der guten, alten Rechtsschutzversicherung.
Auch „Lösegeldforderungen“ von Erpressungstrojanern würde ich von einer Versicherung nicht bekommen. In den Versicherungsbedingungen der R+V‑Internetschutz-Police wird zwar zugesichert, dass Kosten „der Wiederbeschaffung beziehungsweise der Wiederherstellung“ von Daten übernommen werden, die durch Schadsoftware verlorengegangen sind. Ein Anspruch auf Erfolg besteht logischerweise nicht.
Backups sind die besseren Sicherungen
Ich stelle mir die rhetorische Frage, ob Internetnutzer nicht lieber dafür sorgen sollten, regelmäßige Backups zu machen. Die sind günstiger und schneller zum Einsatz gebracht, wenn Kryptotrojaner Locky mal zuschlagen sollte. Das empfiehlt auch das Bundesamt für Sicherheit in der Informationstechnik. Halt, denke ich mir. Da draußen sind viele Leute, die noch nie ein Backup gemacht haben. Wahrscheinlich sind das genau diejenigen, für die eine solche Versicherung attraktiv ist.
Langsam akzeptiere ich, nicht zur Zielgruppe zu gehören. Die Sparkassenversicherung bestätigt mich darin. Die meisten InternetSchutz-Policen würden von 45- bis 55-Jährigen abgeschlossen, sagt mir ein Pressesprecher. Außerdem traue ich mir – mit den üblichen Restwahrscheinlichkeiten – zu, mich einigermaßen vernünftig durchs Internet zu bewegen, nicht auf Phishing-Mails zu klicken und mein System so aktuell zu halten, dass zumindest bereits bekannte Angriffe nicht mehr viel ausrichten können.
Für die Leute, die damit nicht so viel Erfahrung haben – egal ob sie jetzt 55 oder 21 sind -, wäre dann eine Versicherung genau das Richtige. Das versuche ich mir einzureden, aber es klappt nicht. Die Versicherungsbedingungen nehmen mir meine Illusion: Wer nicht in der Lage ist, seine Geräte abzusichern, hätte bei den meisten Anbietern keinen Anspruch mehr auf Leistungen.
Wer die Bedingungen erfüllt, braucht die Versicherung nicht mehr
Fast alle Versicherer verlangen von ihren Kunden umfangreiche Vorsichtsmaßnahmen: „aktuelle Sicherheitssoftware mit Spyware-Erkennung“ und „Patch-Management-Verfahren“ beispielsweise. Die R+V‑Versicherung verbietet auch die Nutzung von Anwendungen, „für die der Hersteller keine Sicherheitspatches mehr bereitstellt“.
Vergleicht man diese Forderungen mit der Realität, sieht es eher schlecht aus für die Kunden. Selbst bei der optimistischen Betrachtung, dass die drei Prozent der verbleibenden Windows-XP-Rechner in Deutschland irgendwann zu einem aktuellen System wechseln: Die Hälfte aller Anroid-Geräte erhielt 2016 kein einziges Sicherheitsupdate. Daran waren nicht primär die Nutzer Schuld. Das Konfliktpotential zeigt sich deutlich, wenn es darum geht, ob ein System den Aktualitätsanforderungen entspricht und wer das im Streitfall zu verantworten hat – Kunde oder Hersteller.
Was wirklich schützt, ist Aufklärung
Ich komme zu dem Schluss: Nutzer, die es schaffen, die Bedingungen an die Sicherheit ihrer Systeme zu erfüllen, brauchen diese Versicherungen am wenigsten. Nutzer, die das nicht schaffen, sollten lieber aufgeklärt und geschult werden. Das haben mir die Gespräche mit Fred, Nadja und den anderen Betroffenen bestätigt: Alle sind vorsichtiger geworden, haben ihr Verhalten geändert, ihren Umgang mit Passwörtern verbessert und schauen generell genauer hin.
Keiner von ihnen würde nach ihrem Erlebnis eine Versicherung in Erwägung ziehen. Immerhin, das halte ich den Versicherern zu Gute, bieten fast alle ihren Kunden gut aufbereitetes Infomaterial zum Selbstschutz an. Und wenn das Angebot dazu führt, dass die potentiellen Kunden sich mit dem Thema auseinandersetzen und ihr Verhalten im Netz reflektieren, hat das zumindest einen positiven Effekt.
Das Gespräch mit dem Versicherungsvertreter Achim war nicht der einzige Versuch, mich vom Verkäufer direkt von einer Internetversicherung überzeugen zu lassen. Ich rufe am Ende der Recherchen erneut ein Versicherungsbüro an, diesmal eines anderen Anbieters. Mittlerweile weiß ich einiges und kann Fragen stellen, die eine Empfehlung provozieren würden, denke ich. Das Ergebnis ist identisch, der Mensch am anderen Ende der Leitung rät mir zu einer Rechtsschutzversicherung. Zu einem persönlichen Termin kommt es dann gar nicht mehr, über den Sinn einer Rechtsschutzversicherung denke ich manchmal immer noch nach.
Vielen Dank an unseren Autor Simon Rebiger für die Unterstützung der Recherche!
