Versicherungsbote: Haben Sie eine Idee, weshalb in Deutschland viele Firmen nicht abgesichert sind? Es ist ja nicht so, dass das Thema abstrakt und ungreifbar wäre: Fast jedes dritte KMU hat laut einer Umfrage im Auftrag des GDV schon einmal Schäden erlitten, viele mehrfach. Warum wird trotzdem nicht vorgesorgt?
Bernd Knof: Wir beobachten eine stetig wachsende Wahrnehmung von Cyberrisken und dem daraus resultierenden Schadenpotential. Die aktuelle Berichterstattung über Cyber-Vorfällen spielt hierbei natürlich eine tragende Rolle. Trotzdem ist die Nachfrage heute – so meine Einschätzung – vor allem aufgrund dreier Faktoren noch nicht dem Risiko angemessen: Der erste Aspekt ist schlicht und ergreifend der, dass die Prämie für eine Cyberversicherung eine neue Ausgabe für die Unternehmen darstellt, welche die letzten Jahre nicht vorhanden war. Zusätzlich vertreten insbesondere kleinere Unternehmen die Ansicht, dass sie als Angriffsziel nicht „lohnen“, sondern eher größere Industrieunternehmen. Die Tatsache, dass kleinere Unternehmen aufgrund der tendenziell geringeren Sicherungsmaßnahmen durchaus attraktive Angriffsziele für Hacker sind, wird hierbei außer Acht gelassen. Auch die Tatsache, dass viele Cyber-Angriffe ungezielt erfolgen, wird nicht gesehen.
Der dritte Faktor ist meiner Meinung nach, dass die Cyberpolicen bis jetzt nicht Branchen-spezifisch sind. Da größtenteils das gleiche Bedingungswerk und der gleiche Umfang für Industrieunternehmen, kleine und mittelständische Unternehmen sowie Gewerbetreibende verwendet wird, sind bestimmte Deckungsbestandteile für die KMU‘s nicht relevant. So hat insbesondere ein Steuerberater oder Rechtsanwalt das Risiko für Vertragsstrafen durch Verletzung der Standards bei Kreditkartentransaktionen (sog. Verletzung der Standards „PCI DSS“) nicht. Dieses durchaus kostspielige Deckungselement wird aber eben vom Steuerberater bzw. Rechtsanwälte mitgezahlt.
In Interviews bekamen wir von anderen Cyberversicherern bereits zu hören, das Underwriting in diesem Segment sei schwierig, weil die Erfahrungen mit Cyberschäden noch gering seien. Im schlimmsten Fall treten sie geballt, global und bei mehreren Unternehmen auf, wie etwa bei den Angriffen mit „Wannacry“. Würden Sie zustimmen? Wie lassen sich Schadenskosten seriös kalkulieren?
Das von Ihnen angesprochene Risiko des Kumuls, bekannt oder unbekannt, ist natürlich eine wesentliche Komponente bei der Kalkulation der Cyber-Versicherung. Hierbei ist allerdings wichtig, den Fokus nicht nur auf die Versicherungssumme zu legen, sondern auch auf die Services, die es ermöglichen dem Kunden schnellstmöglich zu helfen bzw. Schäden im Vorfeld zu verhindern. Im Übrigen ist das Kumul-Risiko unseres Erachtens im geographisch wie Branchen-spezifisch stark diversifizierten KMU-Markt tendenziell niedriger als in der Großindustrie, bleibt aber Teil des zu tragenden Risikos.
Unterstützen Sie auch die Prävention vor Cyberangriffen? Wenn ja, wie?
Ja, unbedingt. In meinen Augen ist das intelligente und effektive Zusammenspiel zwischen Serviceleistungen vor dem Schadenfall – also Präventivmaßnahmen und einen professionellen und umfassenden Schadenmanagement während und nach dem Schadenfall – von elementarer Bedeutung, um die Auswirkungen von Cyberangriffen maximal möglich zu reduzieren. Die Police steht dabei im Mittelpunkt und muss diese beiden Elemente mit den Deckungsinhalten des Bedingungswerks perfekt harmonisieren – im besten Falle branchenspezifisch und passgenau auf die individuellen Bedürfnisse und Risiken der Kunden.
Durch unsere Kooperationen mit CyberDirekt haben wir insbesondere das Angebot zu wichtigen Präventionsmaßnahmen aufgebaut. Dazu zählen wichtige Serviceleistungen wie z.B. Online-basierte Cyber-Trainings für alle Versicherten, Phishing-Simulationstests für einen Zeitraum von 12 Monaten sowie detaillierte Web-Security-Checks für alle vom Kunden betriebenen Webseiten und die Erstellung eines Cyber-Notfallplans für jeden Versicherungsnehmer.
Die Fragen stellte Mirko Wenig