Ein Gastkommentar von Sebastian Scholz und Matthias Müller

Anzeige

Die Zahlen sind gewaltig: Auf 55 Milliarden Euro summieren sich Schäden durch Cyber-Attacken allein in Deutschland, weltweit sind es sogar 490 Milliarden Euro. Zwischen 2015 und 2017 erlebte jedes zweite Unternehmen hierzulande einen Cyber-Angriff, so eine gemeinsame Studie des Digitalverbands Bitkom und des Bundesamts für Verfassungsschutz. Die Folgen reichen von Betriebsunterbrechungen über Restrukturierung der IT bis hin zu Schadenersatz- und Strafzahlungen für Datenschutzverstöße. Hinzu kommt der Reputationsverlust.

Cyber-Policen noch wenig verbreitetSebastian Scholz verantwortet bei der PPI AG als Senior Manager im Bereich Consulting Versicherung unter anderem das Geschäftsfeld Cyber.

Angesichts dieser Gefahren können Cyber-Versicherungen ein wirksamer Schutz vor den negativen Folgen von Angriffen sein. Das gilt für Firmen aller Größenordnungen, vor allem aber für kleine- und mittelständische Unternehmen (KMU), die zwar über technische Basissicherungen wie etwa Firewalls, Virenscanner oder Backups verfügen, aber meist über keine eigenen IT-Fachabteilungen mit Expertise für Cyber-Abwehr. Allerdings liegt laut der Wirtschaftsprüfer von KPMG das entsprechende Prämienvolumen in Deutschland erst bei rund 90 Millionen Euro. Zum Vergleich: In den USA investieren Unternehmen bereits 2,4 Milliarden Dollar jährlich in Versicherungen gegen Internetkriminalität.

Echtzeit-Ratings erleichtern Risikoanalyse und Akquise

Ein wesentlicher Grund für dieses eher verhaltene Wachstum ist die komplexe Risikoberechnung: Technologien, Malware und Anwendungsfelder im IT-Sektor ändern sich rasch. Hinzu kommt der geringe Bestand an analysierbaren Schadendaten im jungen Cyber-Versicherungssektor. Schließlich müssen die unterschiedlichen Deckungsbausteine je Versicherer bei Policen- und Prämien kalkuliert werden.

Gegenüber den etablierten Methoden der Risikoanalyse wie Fragebogen, Risikodialog und IT-Audit haben vollautomatisierte Echtzeit-Ratings für Cyber-Risiken eigene Stärken: Sie eignen sich für alle Unternehmensgrößen und zwar sowohl unter funktionalen als auch unter Kostenaspekten. Die digitalen Helfer schätzen dabei IT-Risiken sehr schnell ein. Der Vertriebs- und Antragsprozess wird durch ihre Nutzung nicht in die Länge gezogen.

Transparenz hilft beim Verkaufen

Hinzu kommt: Auch der Vertrieb profitiert direkt vom Einsatz der neuen Technologie. Denn wenn das Echtzeit-Rating vor Ort beim Kunden stattfindet – etwa mit einer Mobile-App – kann das den Verkaufsprozess signifikant befördern. Denn so lassen sich mit dem Kunden individuelle Szenarien durchspielen. Das macht den Nutzen einer Cyber-Versicherung viel greifbarer. Noch optimaler ist die Situation, wenn ein Customizing möglich wird: Das heißt, die Software erlaubt, wichtige Kundenparameter – Unternehmensgröße oder die Rolle von IT- und Online-Anwendungen im Geschäftsmodell – abzufragen, oder sogar auch Versicherer-individuelle Fragestellungen. Letzteres vermag beispielsweise cysmo, eine Lösung des Hamburger Beratungshauses PPI. Aus der Auswertung der Parameter sowie der technischen Auswertung (Cyber-Score) entsteht ein passgenaues Angebot – und das schon während des Vertriebsgesprächs.

Matthias Müller ist bei der PPI AG als Mitglied der Geschäftsleitung für den Bereich Versicherungen verantwortlich.Bewertung nach Standards

Datenquelle für den Cyber-Score ist in der Regel die Domain des Versicherungsnehmers. Von diesem Startpunkt aus prüft die Software die Widerstandsfähigkeit der IT-Infrastruktur – quasi aus Angreifersicht. Dieses Vorgehen verursacht keinerlei Rechenlast auf dem analysierten System. Ein Eindringen findet ebenfalls nicht statt. Vielmehr arbeiten die Lösungen mit Informationen, die online frei verfügbar, allerdings nicht auf den ersten Blick für jeden ersichtlich sind. Das Scoring berücksichtigt Standards wie die BSI- oder VDS-Richtlinien. Und seine Ergebnisse können den jeweiligen Deckungsbausteinen einer Police zugeordnet werden.

Win-Win-Situation

Neben der Unterstützung des Vertriebsprozesses erlauben die Leistungen des vollautomatisierten Echtzeit-Ratings während des Antragsprozesses die IT-Angreifbarkeit des jeweiligen Interessenten online zu überprüfen. Die Underwriter erhalten so ein schnelles und effizientes Werkzeug. Die Versicherungsnehmer profitieren ebenfalls: Denn dank der dokumentierten Lücken wissen sie nun, wo sie ihre IT sicherer machen können. Das reduziert das Risiko und sorgt in der Folge für günstigere Policen.

Vielfacher Folgenutzen

Überhaupt das Stichwort ´Folge´: Der Nutzen von digitalen Bewertungstools für Cyber-Risikoversicherungen kann weit über den Vertriebs- und Antragsprozess hinausreichen und sowohl Kundenbetreuung wie auch den aktuariellen Prozess stärken. Wie das? Da der aktuelle Status der IT-Angreifbarkeit nach der Erstanalyse bekannt ist, wird ein kostengünstiges regelmäßiges Monitoring möglich, was auf den vorhandenen Daten aufbaut. So kann der Kunde seine Risiken minimieren, der Versicherer sich vom Wettbewerb differenzieren und die Geschäftsbeziehung zum Kunden sehr aktiv gestalten – etwa für Cross-Selling.

Der aktuarielle Prozess profitiert besonders von Big Data. Denn ein digitales Bewertungstool erzeugt natürlich Daten, die sich aggregieren und analysieren lassen, etwa hinsichtlich der technischen IT-Infrastruktur beim Kunden. Damit sammeln Versicherer wichtige Erkenntnisse bezüglich Cloud-Umgebungen, Betriebssystemen, Providern oder Firewalls ihrer Kunden. Dieses Wissen ist ein wertvolles Asset für die Entwicklung neuer Cyber-Produkte oder Modifikationen bestehender Versicherungen beziehungsweise von Rekalkulationen.

Anzeige

Dank der Digitalisierung können für Cyber-Versicherungsprodukte also Tools bereitgestellt werden, die vorgelagerte Prozesse – etwa im Vertrieb – stärken, Angebotserstellung und die Produkt (weiter-)entwicklung unterstützen und auch nachgelagerte Abläufe wie die Kundenbindung auf ein ganz neues Level heben.