„Das eine, perfekte Cyber-Versicherungsprodukt gibt es nicht“
Zusatzleistungen bei Cyber-Versicherungen sind qualitativ eher vergleichbar mit Versicherungsleistungen, die zusätzlich bei Kreditkarten angeboten werden, findet Jörg Wälder, CEO der Cogitanda Group. Worauf es bei Cyber-Beratung wirklich ankommt und warum es das eine, perfekte Cyber-Versicherungsprodukt nicht gibt, verrät er im Interview.
- „Das eine, perfekte Cyber-Versicherungsprodukt gibt es nicht“
- Cyber-Risiko-Prävention umfasst mehrere Bereiche
- „Das eine, perfekte Cyber-Versicherungsprodukt gibt es nicht“
Es gibt kaum eine Woche, die ohne Schlagzeilen im Cyberbereich auskommt. Wie wirken solche Schlagzeilen in der Praxis? Steigern sie die Nachfrage oder sorgt das eher für Abstumpfung und Desinteresse?
Anzeige
Die allgegenwärtige Berichterstattung zu der Cyber-Gefahrenlage hält das Thema im Fokus der Öffentlichkeit, insbesondere auch bei den Entscheidern in der Wirtschaft.
Die „Einschläge kommen stetig näher“, so wird das Thema zu recht aufgenommen. Die Frage steht im Raum: Was bedeutet das für mein Unternehmen, was bedeutet das für meine private Situation? Die Antwort hierauf kann nur heißen, dass man sich mit dem Risiko beschäftigen muss. Man muss die eigene Risikosituation einzuschätzen lernen, sie positiv beeinflussen können, einen Partner finden, der einem im Ernstfall den wirtschaftlichen Schaden abnimmt.
Die regelmäßige Erinnerung an das Thema durch die Medien sorgt für einen stetigen Anstieg der Nachfrage nach Cyber-Präventions- und Versicherungsdienstleistungen. Das ist gut für uns als Anbieter und gut für die, die diese Dienstleistungen nachfragen. Nichts zu unternehmen in Sachen Cyber-Risiken, ist heute keine Option mehr.
Der Acronis Cyber Threats Report 2020 kam zu der Einschätzung, dass 2021 das ‚Jahr der Erpressung‘ wird. Und wie zum Beweis wurde der Axa-Konzern angegriffen und erpresst, nachdem er verkündete, keine Erpressungszahlungen mehr im Rahmen der Cyberdeckung zu leisten. Haben Sie Verständnis für die Entscheidung der Axa? Welches Ausmaß haben solche Ransomware-Angriffe?
Das Jahr 2021 ist das Jahr der Cyber-Erpressung, diese Prognose aus 2020 hat sich ohne Zweifel erfüllt.
Die Entscheidung der Axa, nicht mehr auf erpresserische Forderungen nach Ransomware-Attacken einzugehen, was sich nach unserer Kenntnis allerdings nur auf ihren Heimatmarkt Frankreich bezieht, finden wir interessant. Die Diskussion über das Thema sollte in der Branche geführt werden, idealerweise unter Einbezug der Wirtschaft und der Politik.
Es wäre allerdings blauäugig anzunehmen, dass die Gefahr durch Ransom-Angriffe damit vom Tisch zu bekommen wäre. Ein weiteres Ausufern lässt sich durch eine solche Maßnahme vermutlich aber eindämmen, weil sie die Wahrscheinlichkeit der Zahlung von Erpressungsgeldern reduziert.
Eine Eindämmung des Schadenvolumens durch Ransomware-Angriffe ist ein wichtiges Ziel, da Ransom-Angriffe inzwischen für deutlich über die Hälfte aller Schadenaufwände in der Cyber-Versicherung stehen dürften.
Auch in Deutschland gab es solche Erpressungsfälle. Der Landkreis Bitterfeld hat nach einem Angriff auf die öffentliche Verwaltung sogar den Katastrophenfall ausgerufen. Unterschätzen gerade Behörden die Gefahr?
Dass Behörden die Gefahr unterschätzen, würde ich nicht sagen wollen. Es liegt vielmehr in der Natur der Sache, dass Behörden sich in Sachen IT-Sicherheit schwerer tun.
Die Aufgabenstellungen von Behörden sind vielschichtig, die Systemlandschaften einzelner Bereiche heterogen, Budgets sind knapp und können kurzfristig im akuten Bedarfsfall kaum reallokiert werden, IT-Spezialisten fehlen häufig, die Entscheidungswege sind im Vergleich zu klassischen Unternehmen eher länger.
Die negativen Wirkungen erfolgreicher Angriffe auf Behörden können für das Gemeinwesen enorm sein, hier sollten die Prioritäten sowohl in puncto Budgets und Umsetzungszeitschienen dringend neu gedacht werden.
Wie schätzen Sie die aktuelle Marktsituation in Deutschland ein? Haben Firmen den Absicherungsbedarf erkannt beziehungsweise wo sehen Sie noch Lücken?
Wir denken schon, dass sich die Entscheider in den Unternehmen vom Grundsatz her bewusst sind, dass es hier Absicherungsbedarf gibt.
Das Thema ist technisch sehr anspruchsvoll, mit Blick auf die klassische Ausbildung von Unternehmenslenkern eher neu, es ist im Alltag zunächst einmal kaum sichtbar, aber wenn es sich bemerkbar macht, dann schlägt das Unheil häufig gleich mit voller Wucht zu.
Man kann vielleicht eine Analogie zum Umgang mit dem Thema Atomkraft herstellen. Keine Sorge, das wird jetzt keine politische Ausführung. Die Analogie liegt darin, dass man Radioaktivität nicht sehen, schmecken, riechen kann, das Risiko von Kernreaktoren für den Nicht-Spezialisten nicht einschätzbar ist. Man weiß, da liegt ein gewisses Risiko, aber da man das Thema nicht versteht, wird es gerne verdrängt. Ähnlich verhält es sich mit dem Thema der Cyber-Risiken.
Wir beobachten jetzt aber doch eine deutliche Zunahme der Bereitschaft bei den Verantwortlichen in Unternehmen, sich dem Thema zu stellen. Um sie beim Verstehen, positiven Beeinflussen und dem Transfer der wirtschaftlichen Risiken aus Cyber-Risiken und Vorfällen zu unterstützen, dafür gibt es die COGITANDA. Wir machen nichts anderes, kennen uns in der Materie also sehr gut aus.
Insgesamt lässt sich beobachten, dass in der recht jungen Sparte Cyberschutz nun die Schäden eintreten. Wie ist Ihre Einschätzung? Werden die Prämien teurer?
Die Prämien steigen, teilweise sogar deutlich. Wie Sie richtig sagen, ist die Schadenlast spürbar angestiegen. Das führt unausweichlich zu höheren Prämien. Haupttreiber hierbei sind die eben schon erwähnten Ransom-Schadenfälle.
Anzeige
Es gibt aber nicht nur das Phänomen der steigenden Prämien. Daneben steht die Frage, ob einzelne Unternehmen überhaupt noch Versicherungsschutz bekommen können, wenn ihre IT-Systeme nicht in der erforderlichen Form abgesichert sind. Die Frage von Cyber-Risiko-Prävention wird eines der wichtigsten Themen in den nächsten Jahren werden.
Cyber-Risiko-Prävention umfasst mehrere Bereiche
Dienstleister kooperieren mit Versicherern und bieten Zusatzservices an. Können Sie uns anhand konkreter Beispiele aufzeigen, welchen Nutzen solche Dienstleister im Schadenfall haben?
Wir sehen diesen Themenkomplex nicht als „Zusatzservices“, da dem Thema der Risiko-Prävention eine viel zu hohe Bedeutung beikommt. Das ist ein eigenständiges Thema, das volle Aufmerksamkeit, hohe Professionalität und einen permanenten Platz auf der Agenda der Entscheider in den Unternehmen erfordert.
Anzeige
Diese Themen als Zusatzservice zum Versicherungsvertrag anbieten zu wollen, kann der Sache nicht gerecht werden. Nehmen wir ein Beispiel aus dem Kundensegment KMU, sagen wir die Cyber-Nettoprämie liegt bei 1.800 Euro pro Jahr. Welchen Teil dieser Prämie wollen Sie als Versicherer in das Thema Zusatzleistungen stecken? 10 Prozent der Prämie, also 180 Euro zum Beispiel? Sie ahnen, worauf ich hinauswill.
Die Zusatzservices, die wir im Markt in Verbindung mit Cyber-Versicherungspolicen sehen, haben etwas von der Qualität der Zusatzversicherungsdeckungen bei Kreditkarten. Sie klingen im ersten Moment gut, aber wenn man genauer hinschaut, ist die Sache nicht der Rede wert.
Wir betreiben das Thema Cyber-Risiko-Prävention mit der nötigen Ernsthaftigkeit, haben die COGITANDA Risk Prevention GmbH in der Unternehmensgruppe, die – für kleine oder große Unternehmen – die richtigen Untersuchungs- und Lösungsansätze im Angebot hat.
Und wie wirkt sich so etwas auf die Vergleichbarkeit von Angeboten aus?
Das würde ich am liebsten mit einer Gegenfrage beantworten: Wie würden Sie die Vergleichbarkeit bei den Kreditkartenangeboten inklusive Versicherungsangeboten einordnen?
Aber die Frage verdient eine seriöse Antwort. Die Beimischung von Zusatzservices in ein Cyber-Versicherungsangebot, die sich auf dem Kostenniveau einer Handvoll Euros abspielt, verdient keine Aufmerksamkeit, da diese Minileistungen keinen ernsthaften Mehrwert bieten können.
Vergleichen sollte man die Angebote von professionellen Risiko-Präventionsunternehmen, die den Bedarf des jeweiligen Unternehmens in Sachen Cyber-Risiko-Prävention analysieren und darauf aufbauend eine ordentliche Leistungsbeschreibung mit entsprechendem Kostenangebot machen. Alles andere macht keinen Sinn.
Warum sollten Unternehmen auch in Sachen Prävention geschult werden?
Es gilt, bei der Cyber-Risiko-Prävention mehrere Bereiche zu unterscheiden. Hierzu gehören Technik, Prozesse und menschliches Verhalten. Während es jedem sofort einleuchtet, dass man sich beim Thema Cyber-Prävention mit Technik und Prozessen zu befassen hat, wird dem Faktor Mensch häufig zu wenig Aufmerksamkeit geschenkt. Was nutzt Ihnen die beste IT-Security-Technik, wenn ein Mitarbeiter im entscheidenden Moment den falschen Klick macht?
Für uns gehört das Training von Menschen zu einem runden Präventionskonzept mit dazu, und zwar als permanenter Bestandteil. Mit der Teilnahme an ein oder zwei Trainings ist die Sache nicht getan. Das Problem muss den Menschen immer wieder vor Augen geführt werden, immer wieder muss das richtige Verhalten trainiert werden.
„Das eine, perfekte Cyber-Versicherungsprodukt gibt es nicht“
Welche Rolle wird die Cyberberatung in Zukunft spielen?
Cyberberatung nach unserer Definition ist ein Zusammenspiel aus drei Komplexen: Risiken erkennen, diese positiv beeinflussen sowie der Zusammenstellung eines individuellen, genau auf den Bedarf im jeweiligen Einzelfall zugeschnittenen Versicherungsschutzes. Hierfür sind wir aufgestellt, genau das geben wir als Tools unseren Maklern an die Hand.
Lässt sich denn sagen, in welchen Bereichen Makler besonderen Weiterbildungsbedarf haben? Oder ist der Markt für solche Aussagen zu heterogen?
Der Maklermarkt ist in der Tat sehr heterogen. Es gibt Häuser, die in Sachen Cyber-Beratung heute bereits ein sehr hohes Niveau erreicht haben, andere stehen da eher noch am Anfang. Unsere Aufgabe ist es, jedem dieser Maklerhäuser die Instrumente an die Hand zu geben, mit denen sie ihre Kunden professionell und passgenau beraten können.
Worauf sollten Makler unbedingt achten, wenn sie Cyberpolicen vermitteln?
Aus unserer Sicht gibt das eine, perfekte Cyber-Versicherungsprodukt nicht. Dafür sind die Kunden und deren konkreter Bedarf viel zu unterschiedlich. Wie also orientiert sich ein Makler jetzt in dem Dschungel unterschiedlicher Cyber-Produkte im Markt?
Unsere Antwort hierauf ist nicht etwa durch ein weiteres fixes Cyber-Versicherungsprodukt zur allgemeinen Verwirrung beizutragen, sondern Maklern einen Cyber-Deckungskonfigurator zur Verfügung zu stellen, mit dem sich eine Cyber-Deckung passgenau für den jeweiligen Kunden in wenigen Minuten zusammenstellen lässt. Dieser Deckungskonfigurator funktioniert ähnlich wie die Fahrzeugkonfiguratoren der Autohersteller im Internet. Sie kennen das bestimmt: Modell wählen, passender Motor, Ledersitze, Xenon-Licht usw.
Anzeige
Genau so funktioniert die Sache bei uns auch, nur halt als Cyber-Versicherungsdeckung. In Deutschland nutzen heute bereits 2.700 Makler den in unserer Plattform integrierten Deckungs-Konfigurator, monatlich kommen 150 Makler hinzu. Unser Ansatz scheint die Antwort auf Ihre Frage zu sein.
- „Das eine, perfekte Cyber-Versicherungsprodukt gibt es nicht“
- Cyber-Risiko-Prävention umfasst mehrere Bereiche
- „Das eine, perfekte Cyber-Versicherungsprodukt gibt es nicht“