Der Versicherungsgroßhändler Victor Insurance hat vor wenigen Wochen eine Cyberversicherung für kleine und mittlere Unternehmen auf den Markt gebracht. Die Bedingungswerke sind hoch spezialisiert und auf die jeweiligen Branchen abgestimmt. Warum diese hohe Differenzierung notwendig ist und wieso gerade KMU eine dankbare Zielgruppe für Cyberpolicen sind, darüber sprach der Versicherungsbote mit Bernd Knof, Geschäftsführer Victor Insurance Deutschland.
Versicherungsbote: Sie haben gemeinsam mit CyberDirekt eine neue Cyberversicherung auf den Markt gebracht. Zielgruppe sind kleinere und mittlere Unternehmen mit bis zu 25 Millionen Euro Umsatz. Warum genau diese Zielgruppe?
Bernd Knof: Victor fokussiert sich auf kleine und mittelständische Unternehmen, die im Vergleich zu großen Gesellschaften mit zumeist eigenen IT-Abteilungen einen schwereren Zugang zu entsprechendem Cyber-Know-how haben. Hohe und kostspielige Investitionen in die IT-Sicherheit sind im Mittelstand durchaus herausfordernder als bei großen Konzernen.
Wenngleich die Bedrohung durch Cyberangriffe jedes Unternehmen betrifft, unabhängig von Größe oder Branche, haben wir gerade im Mittelstand hohen Bedarf an Beratung und Absicherung hinsichtlich Cyberrisiken identifiziert. Unsere Aufgabe sehen wir darin, diese Lücke durch passgenauen Versicherungsschutz und der Unterstützung im Beratungsprozess unserer Kooperationsmakler zu schließen.
„CyberVlex“ bietet zwölf verschiedene Bedingungswerke, die auf verschiedene Branchen abgestimmt sind. Weshalb ist das notwendig? Der Trend geht ja eher in eine andere Richtung: Die Allianz will zum Beispiel nur noch wenige standardisierte Tarife anbieten, getreu dem Motto „Keep it simple!“.
Dem Ansatz „Keep it simple!“ stimme ich zwar zu, bei kleinen und mittelständischen Unternehmen bedeutet dies in meinen Augen, bedarfsgerechten Versicherungsschutz einfach, schlank und digital abzubilden – für Makler und Versicherer gleichermaßen. Neue Geschäftsmodelle, Technologien und Wertschöpfungsketten entwickeln sich mit hoher Geschwindigkeit. Aus diesem Grund verändern sich vor allem die Cyberrisiken sehr schnell und unterscheiden sich immens voneinander. Dies gilt für das produzierende Gewerbe genauso wie für den Arzt, den Rechtsanwalt oder den Handwerker.
Wir sind der Überzeugung, dass Cyberrisiken jeder einzelnen Betriebsart individuell betrachtet und behandelt werden müssen, um Gewerbetreibende bestens absichern zu können. Der Arzt oder Apotheker hat ein völlig anderes Cyberrisiko als der Handwerker. Die Cyberrisiken eines Rechtsanwalts wiederrum unterscheiden sich erheblich von denen eines Hotels oder einer Gaststätte. Die Ergebnisse unserer Analysen waren eindeutig: Jede Branche braucht ihr eigenes individuelles Bedingungskonzept! So entstand die Idee unseres Branchenkonzeptes “CyberVlex” mit 12 passgenauen Versicherungslösungen für 12 ausgewählte Branchen, welches wir zur DKM dieses Jahr in den Markt eingeführt haben. Wir sind mit der Resonanz aus dem Markt bisher mehr als zufrieden. Das ist unsere Interpretation von „Keep it simple“.
Warum kooperieren Sie mit Cyberdirekt? Benötigen Sie in dieser speziellen Sparte Expertise von externen Partnern?
Das CyberVlex-Produkt ist das Ergebnis einer sehr produktiven Zusammenarbeit zwischen CyberDirekt und Victor. Insbesondere die Technologieplattform und die zahlreichen präventiven Dienstleistungen von CyberDirekt ermöglichen es, bedarfsgerechten Versicherungsschutz mit umfassendem Service zu kombinieren und somit dem Kunden einen echten Mehrwert zu bieten. Wir wollen immer das bestmögliche Produkt für unsere Kunden entwickeln und wenn dies Kooperationen beinhaltet, sind wir gerne dazu bereit diese zu schließen.
Sie arbeiten auch mit Maklern zusammen. Machen derart viele Bedingungswerke die Beratung nicht komplizierter — und sollten sich Makler auf eine Zielgruppe spezialisieren? Etwa Arzt- und Anwaltspraxen beraten statt „Allrounder“ sein?
Ganz im Gegenteil! Durch CyberVlex und seinen branchenspezifischen Ansatz wird der Vermittler auf die bestmögliche Weise in die Lage versetzt, den passenden Versicherungsschutz seinem Kunden anzubieten. Ob der Besuch beim Arzt in Begleitung mit dem Konzept „Gesundsheits- und Heilwesen“ oder im produzierenden Gewerbe mit dem Konzept “Handwerk und produzierende Unternehmen”. Der branchenspezifische Ansatz vereinfacht die Beratung für die Vermittler dabei erheblich und minimiert auch die Beratungsrisiken im Gegensatz zu einem “one-fits-all-Ansatz”. Hierzu passt unsere Erkenntnis, dass insbesondere auf bestimmte Berufsgruppen spezialisierte Makler ein besonderes Interesse an „CyberVlex“ haben.
In Deutschland gelten viele Unternehmen im Bereich Cyberrisiken als schlecht abgesichert. Victor gehört zur MMC Gruppe, die international gut aufgestellt ist. Können Sie einen Einblick geben, wie gewerbliche Cyberpolicen auf anderen Märkten verbreitet sind? Ist Deutschland hier noch „Entwicklungsland“?
Die Ausbreitung von gewerblichen Cyberpolicen ist hier in Deutschland sicherlich noch stark unterrepräsentiert. Global gesehen ist Cyber die am stärksten wachsende Versicherungssparte. Was vor einigen Jahren in den USA als einfacher Schutz gegen Hackerangriffe begonnen hatte, ist mittlerweile eine umfassende Absicherung gegen Betriebsunterbrechung, Erpressung, Betrug, Verlust und Haftungsrisiken im Zusammenhang mit Daten sowie IT-technische Fehler und Ausfälle. Dabei ist in den USA aber auch in Asien die Digitalisierung und das Cloud-Computing als solche weiter vorangeschritten als in Deutschland. Die Marktpenetration in Cyber ist heute lediglich in den USA im zweistelligen Prozentbereich, wobei selbst dort die Gewichtung bei den Großunternehmen mit Abstand am höchsten ist.
Für Deutschland erwarte ich, dass Cyber über mehrere Jahre mit zweistelligen Raten wachsen wird und der Anteil der kleinen und mittleren Unternehmen konstant und schnell zunehmen wird. Insofern ist der deutsche Cybermarkt in der Tat noch unterentwickelt, aber mit einer ganz klaren, signifikanten Wachstumsperspektive für die kommenden Jahre.
Was sind die größten Kostentreiber, die gerade kleinen und mittleren Unternehmen bei Cyber entstehen können? Und wie hoch kann ein solcher Schaden ausfallen? Haben Sie vielleicht Beispiele?
Die Kostentreiber für kleine und mittlere Unternehmen sind vielfältig und unterscheiden sich entlang der unterschiedlichen Branchen erheblich. So sind im Bereich der Kammerberufe, insbesondere bei Steuerberatern oder Rechtsanwälten die Risiken hinsichtlich Datenschutzverletzungen sehr hoch. Ähnliches gilt für Ärzte, die mit hochsensiblen Daten arbeiten. Verschärft wird dieses Risiko durch die neue DSGVO und die damit einhergehenden strengeren Rahmenbedingungen.
Auf der anderen Seite stellen Betriebsunterbrechungen z. B. durch einen Cyber-Vorfall für produzierende Unternehmen oder Online-Handelsunternehmen eine große Gefahr dar. Jede Sekunde wo das Band still steht oder die Website nicht aufgerufen werden kann, bedeutet finanzielle Verluste für die Unternehmen. In allen Fällen können Cyberschäden für die Unternehmen existenzbedrohend sein. Aus diesem Grund ist es notwendig den passenden Versicherungsschutz für das jeweilige Unternehmen zu identifizieren sowie ein umfassendes Servicepaket bereits vor dem Versicherungsfall in das Konzept zu integrieren.
Die Unternehmen sehen nicht, dass Angriffe teils ungezielt erfolgen
Versicherungsbote: Haben Sie eine Idee, weshalb in Deutschland viele Firmen nicht abgesichert sind? Es ist ja nicht so, dass das Thema abstrakt und ungreifbar wäre: Fast jedes dritte KMU hat laut einer Umfrage im Auftrag des GDV schon einmal Schäden erlitten, viele mehrfach. Warum wird trotzdem nicht vorgesorgt?
Bernd Knof: Wir beobachten eine stetig wachsende Wahrnehmung von Cyberrisken und dem daraus resultierenden Schadenpotential. Die aktuelle Berichterstattung über Cyber-Vorfällen spielt hierbei natürlich eine tragende Rolle. Trotzdem ist die Nachfrage heute – so meine Einschätzung – vor allem aufgrund dreier Faktoren noch nicht dem Risiko angemessen: Der erste Aspekt ist schlicht und ergreifend der, dass die Prämie für eine Cyberversicherung eine neue Ausgabe für die Unternehmen darstellt, welche die letzten Jahre nicht vorhanden war. Zusätzlich vertreten insbesondere kleinere Unternehmen die Ansicht, dass sie als Angriffsziel nicht „lohnen“, sondern eher größere Industrieunternehmen. Die Tatsache, dass kleinere Unternehmen aufgrund der tendenziell geringeren Sicherungsmaßnahmen durchaus attraktive Angriffsziele für Hacker sind, wird hierbei außer Acht gelassen. Auch die Tatsache, dass viele Cyber-Angriffe ungezielt erfolgen, wird nicht gesehen.
Der dritte Faktor ist meiner Meinung nach, dass die Cyberpolicen bis jetzt nicht Branchen-spezifisch sind. Da größtenteils das gleiche Bedingungswerk und der gleiche Umfang für Industrieunternehmen, kleine und mittelständische Unternehmen sowie Gewerbetreibende verwendet wird, sind bestimmte Deckungsbestandteile für die KMU‘s nicht relevant. So hat insbesondere ein Steuerberater oder Rechtsanwalt das Risiko für Vertragsstrafen durch Verletzung der Standards bei Kreditkartentransaktionen (sog. Verletzung der Standards „PCI DSS“) nicht. Dieses durchaus kostspielige Deckungselement wird aber eben vom Steuerberater bzw. Rechtsanwälte mitgezahlt.
In Interviews bekamen wir von anderen Cyberversicherern bereits zu hören, das Underwriting in diesem Segment sei schwierig, weil die Erfahrungen mit Cyberschäden noch gering seien. Im schlimmsten Fall treten sie geballt, global und bei mehreren Unternehmen auf, wie etwa bei den Angriffen mit „Wannacry“. Würden Sie zustimmen? Wie lassen sich Schadenskosten seriös kalkulieren?
Das von Ihnen angesprochene Risiko des Kumuls, bekannt oder unbekannt, ist natürlich eine wesentliche Komponente bei der Kalkulation der Cyber-Versicherung. Hierbei ist allerdings wichtig, den Fokus nicht nur auf die Versicherungssumme zu legen, sondern auch auf die Services, die es ermöglichen dem Kunden schnellstmöglich zu helfen bzw. Schäden im Vorfeld zu verhindern. Im Übrigen ist das Kumul-Risiko unseres Erachtens im geographisch wie Branchen-spezifisch stark diversifizierten KMU-Markt tendenziell niedriger als in der Großindustrie, bleibt aber Teil des zu tragenden Risikos.
Unterstützen Sie auch die Prävention vor Cyberangriffen? Wenn ja, wie?
Ja, unbedingt. In meinen Augen ist das intelligente und effektive Zusammenspiel zwischen Serviceleistungen vor dem Schadenfall – also Präventivmaßnahmen und einen professionellen und umfassenden Schadenmanagement während und nach dem Schadenfall – von elementarer Bedeutung, um die Auswirkungen von Cyberangriffen maximal möglich zu reduzieren. Die Police steht dabei im Mittelpunkt und muss diese beiden Elemente mit den Deckungsinhalten des Bedingungswerks perfekt harmonisieren – im besten Falle branchenspezifisch und passgenau auf die individuellen Bedürfnisse und Risiken der Kunden.
Durch unsere Kooperationen mit CyberDirekt haben wir insbesondere das Angebot zu wichtigen Präventionsmaßnahmen aufgebaut. Dazu zählen wichtige Serviceleistungen wie z.B. Online-basierte Cyber-Trainings für alle Versicherten, Phishing-Simulationstests für einen Zeitraum von 12 Monaten sowie detaillierte Web-Security-Checks für alle vom Kunden betriebenen Webseiten und die Erstellung eines Cyber-Notfallplans für jeden Versicherungsnehmer.
Die Fragen stellte Mirko Wenig