CyberDirekt hat 2024 erstmals die Gewinnschwelle erreicht und sieht weiterhin enormes Wachstumspotenzial. Die beiden Geschäftsführer Hanno Pingsmann und Ole Sieverding sprechen über die Herausforderungen auf dem Weg zur Profitabilität, aktuelle Markttrends und die Rolle von KI in der Cyber-Versicherung.
CyberDirekt hat 2024 erstmals die Gewinnschwelle erreicht. Was waren die größten Herausforderungen auf dem Weg zur Profitabilität?
Pingsmann: Der Markt für Cyberversicherungen in Deutschland ist noch relativ jung und es hat einige Zeit gedauert, bis das Thema bei Entscheidungsträgern in Unternehmen, aber auch bei Vermittlern auf die Agenda gelangte. Daneben ist das Angebotsspektrum sehr heterogen und die Produkte sind teils äußerst komplex. Einige Makler haben aufgrund dessen erstmal einen Bogen um die neuen Angebote gemacht. Mit unserer digitalen Plattform, über die wir den Vergleich von führenden Cyberversicherungen sowie eine vollständig digitale Quotierung, Antragstellung und Policierung möglich machen, unterstützen wir heute Makler aktiv in der Beratung und im Vertrieb. Natürlich mussten wir für den Auf- und Ausbau unserer Plattform viele Ressourcen aufwenden. Heute arbeiten 8 von 20 Mitarbeitende im Produktmanagement sowie der Softwareentwicklung und kümmern sich darum, die Produkte aller gelisteten Anbieter sowie den Leistungsvergleich aktuell zu halten sowie neue Tarife zu integrieren. Im Fokus stand und steht für uns, ein erstklassige Lösung für unsere Kooperationsmakler bereitzustellen und gleichzeitig die gewünschten Beratungsleistungen mit einer hohen Expertise anzubieten. Dass wir nach rund sechs Jahren jetzt in die Gewinnzone vorgestoßen sind, zeigt, dass sich unsere Arbeit gelohnt hat und unsere Partner einen großen Mehrwert in der Zusammenarbeit mit CyberDirekt sehen.
40 % Wachstum sind beachtlich. Wie sind die Aussichten für 2025?
Sieverding: Die Entwicklung der Cyber-Versicherungssparte war in den ersten Jahren schon sehr beachtlich und dennoch glaube ich, dass wir uns noch am Anfang in einer dynamischen Wachstumsphase befinden, die noch lange anhält. Die Nachfrage nach Cyber-Versicherungen wird angesichts einer zunehmenden Digitalisierung aller Lebensbereiche und verstärkter Regulierung weiter hoch bleiben. Wir beobachten zudem, dass immer neue Anbieter mit innovativen Produkten in den Markt drängen und sich der Wettbewerb intensiviert hat. Der Bedarf für Lösungen wie der CyberDirekt Plattform, die Transparenz im Markt schaffen und Orientierung bieten, wird sich damit weiter erhöhen. Wir sind für 2025 gut aufgestellt und werden gemeinsam mit dem Markt weiter wachsen - vermutlich sogar stärker.
Sie sagen, dass CyberDirekt „gerade erst am Anfang“ steht. Was sind die nächsten großen Schritte?
Pingsmann: Die Cyber-Versicherung für mittelständische Unternehmen hat sich in Deutschland erst 2016/2017 entfaltet und ich freue mich, dass wir diesen Markt in den letzten 6 Jahren schon mitgestalten konnten. Natürlich wollen wir unsere Vergleichsplattform kontinuierlich weiterentwickeln und an die Marktbedürfnisse anpassen. Dazu gehört, dass wir mehr Versicherer und Assekuradeure mit innovativen Produkten auf unserer digitalen Vertriebsplattform integrieren. Schon heute können wir über IT-Schnittstellen neue Cyber-Anbieter anbinden, die für die Quotierung einer Prämie ihre eigenen externen Schwachstellen-Scans durchführen können, deren Ergebnisse sich unmittelbar auf die Preissetzung auswirken. Ebenso erfolgen die Antrags- und Abschlussprozesse vollständig digital, wenn der Anbieter uns dies ermöglicht. Hierdurch wird der Weg zur Versicherungspolice beschleunigt und der administrative Aufwand für Vermittler und Produktgeber erheblich reduziert. Daneben wollen wir unser Team weiter ausbauen und unsere regionale Präsenz erhöhen, um noch näher an unseren Vertriebspartnern zu sein und im Bedarfsfall auch vor Ort bei der Kundenberatung unterstützen zu können.
Auch unsere Präventionsangebote wollen wir noch weiter ausbauen. Wir bieten bereits seit Jahren IT-Sicherheitstrainings für Mitarbeitende in Unternehmen sowie Phishing-Tests an. Zukünftig wollen wir über unsere Schwestergesellschaft RapidResponse hier noch aktiver in der Präventionsarbeit werden und unseren Geschäftspartner bei Seite stehen, wenn Kunden IT-Beratungsleistungen suchen.
Einige Versicherer haben in der Vergangenheit Cyber-Policen gekündigt oder ihre Bedingungen verschärft. Wie bewerten Sie diese Entwicklung und wie sieht es bei Ihnen aus?
Sieverding: Wir beobachten Entwicklungen in unterschiedliche Richtungen. Während sich einige Anbieter aufgrund ihrer Schadenerfahrung fast vollständig aus dem Markt zurückziehen oder eine strengere Zeichnungspolitik fahren, gibt es ebenso Akteure, die sich über günstigere Preise und teils mit besseren Bedingungen am Markt positionieren. Daneben gibt es auch neue Anbieter, die mit innovativen Produktkonzepten frischen Wind in den Markt bringen. Dies ist auch ein Grund dafür, dass etablierte Versicherer ihre Konzepte überdenken und anpassen. Die zusätzlichen Kapazitäten steigern den Wettbewerb und das breite Angebotsspektrum bildet weiterhin einen weichen Markt zugunsten von kleinen und mittleren Unternehmen.
Inwieweit könnten KI-gestützte Angriffsmethoden zu einem Paradigmenwechsel in der Cyberversicherung führen?
Pingsmann: Durch KI hat sich die Bedrohungslandschaft für Unternehmen stark erweitert. Die Verfügbarkeit von KI senkt die Einstiegshürde für Kriminelle, denn man braucht heute kein fundiertes technologisches Wissen mehr, um Cyber-Angriffe durchzuführen. So kann KI schnell einen Schadcode generieren oder ermöglicht die Perfektion von Social-Engineering-Angriffen wie z.B. CEO-Fraud.
Durch KI können aber auch Cyber-Angriffe schneller, gezielter und mit höherem Schadpotenzial ausgeübt werden. Wenn die finanziellen Schäden größer und vielfältiger werden, wird sich dies vermutlich auf Seiten der Versicherer auch auf die Prämienkalkulation auswirken. Aktuell sind die Bedrohungen durch KI-gestützte Angriffe in den Bedingungswerken noch nicht abgegrenzt und daher im Rahmen einer Cyber-Versicherung mit eingeschlossen.
Cyberkriminalität ist ein sich ständig veränderndes Feld. Wie können es Anbieter schaffen, dass die Policen stets aktuelle Risiken abdecken und Kunden auch vor neuen Bedrohungen geschützt sind?
Sieverding: Grundsätzlich ist in den marktgängigen Cyber-Policen schon ein breites Feld von Cyber-Risiken versichert. Eine Vielzahl von Cyber-Angriffen sind unter dem versicherten Risiko einer sog. “Informationssicherheitsverletzung” bzw. “Netzwerksicherheitsverletzung” abgedeckt. Eine gute Cyber-Versicherung schließt z.B. auch das Risiko einer Betriebsunterbrechung mit ein, welches durch den Angriff auf einen externen Cloud- / bzw. IT-Dienstleister entstehen kann. Darüber hinaus ist auch das Risiko von Identitätsdiebstahl versicherbar, ohne dass es dabei zu einer Verletzung der Netzwerk- / Informationssicherheit gekommen sein muss. Zudem gibt es Cyber-Versicherungstarife am Markt, die nach dem Prinzip einer offenen Deckung ausgestaltet sind, wo es keine abschließende Auflistung von Schadensauslösern gibt. Diese Cyber-Versicherungen bieten dem Kunden den verlässlichsten Schutz im Angesicht der sich wandelnden Risikosituation.
Wie sensibilisieren Sie Unternehmen für Cyber-Risiken. Gerade bei Firmen, die bislang noch keine Cyberversicherung in Betracht gezogen haben, stelle ich mir das schwierig vor.
Pingsmann: Es gibt in der Tat nach wie vor noch zu viele Unternehmen, die Cyber-Gefahren keinen hohen Stellenwert einräumen. Oft herrscht die falsche Annahme, dass man als Unternehmen zu klein sei oder keine relevanten Daten verarbeite, um ein interessantes Ziel für Kriminelle zu werden. Auch die gefährliche Überzeugung, dass hohe Investitionen in die eigene IT-Sicherheit Hacker-Angriffe verhindern würden, begegnet uns immer wieder.
Wir versuchen dem entgegenzuwirken, indem wir transparent kommunizieren, dass es trotz aller Schutz- und Präventionsmaßnahmen keine hundertprozentige Sicherheit garantieren. Eine falsche Handlung eines Mitarbeitenden kann Kriminellen Tür und Tor öffnen. Deswegen betonen wir in Gesprächen immer wieder die Bedeutung von regelmäßigen IT-Sicherheitstrainings, um Belegschaften für Cyber-Gefahren zu sensibilisieren. Wir selbst bieten solche Mitarbeiterschulungen für Unternehmen an und merken hier, dass das Interesse stetig steigt.
Unsere Vertriebspartner versuchen wir in der Kundenberatung bestmöglich zu unterstützen. Zum Beispiel stellen wir für diverse Branchen Schadenbeispiele zur Verfügung, die helfen können, konkrete Gefahren für Unternehmen zu verdeutlichen und die Leistungen einer Cyberversicherung im Schadenfall erklären.
Welche Mindestanforderungen an die IT-Sicherheit gibt es, die Unternehmen erfüllen müssen, um eine Cyberversicherung abschließen zu können?
Sieverding: Hierzu haben wir erst Ende 2024 eine eigene Marktstudie veröffentlicht, die zeigt, dass sich die Anforderungen an IT-Sicherheitsstandards unter den Anbietern extrem unterscheiden. Die meisten Anbieter differenzieren ihre Anforderungen je nach Branche, Umsatz, Risikoprofil und dem gewünschten Deckungsumfang.
Trotz erheblicher Unterschiede haben sich fünf Sicherheitsmaßnahmen etabliert, die von der Mehrheit der Versicherer eingefordert werden. So werden eine Firewall- und Antivirenlösung, Datensicherung, regelmäßige Updates und Patch-Management, Rechte- und Rollenkonzepte sowie eine Multi-Faktor-Authentifizierung in der Risikoprüfung abgefragt.
Während einige Versicherer in ihrer Risikoprüfung sehr konkret auf die genannten Maßnahmen eingehen und detaillierte Informationen zu den bestehenden Sicherheitsvorkehrungen einfordern, bleiben andere Anbieter dagegen äußerst vage. Auf unserem Marktvergleich gibt es sogar einen Anbieter, der für den Policen-Abschluss keine IT-Mindestanforderungen einfordert. Ein weiterer Anbieter arbeitet mit Prämienzuschlägen, wenn die geforderten IT-Sicherheitsstandards vom Antragsteller nicht erfüllt werden können.
Welche Markttrends sehen Sie für die kommenden Jahre?
Pingsmann: Der Cyber-Markt wird weiter rasant wachsen und gleichzeitig werden die geforderten IT-Mindeststandards kontinuierlich steigen. Unternehmen mit einem sehr guten IT-Sicherheitsniveau erhalten günstigere Tarife, wohingegen Unternehmen mit Nachholbedarf deutlich höhere Prämien zahlen müssen oder gar keinen Versicherungsschutz mehr erhalten.
Auf der Anbieterseite erwarten wir immer mehr Cyber-Versicherer, die ihre Risikoprüfung durch externe Schwachstellen-Scans ergänzen. Es ist aber auch davon auszugehen, dass das Underwriting sich weiter professionalisieren wird und z.B. die unterschiedlichen Grundvoraussetzungen der Antragsteller berücksichtigt werden. Wir werden mit hoher Sicherheit weitere Markteintritte in Deutschland und das Vordringen von innovativen Cyber-Versicherungsprodukten sehen.