Interview mit Stefan Rosenowski, Geschäftsführer, und Holger Tittko, Referent Cyberversicherung des Gesamtverbands der versicherungsnehmenden Wirtschaft e. V. (GVNW)
Unternehmen, die heute eine Cyberversicherung abschließen wollen, müssen ausreichende Präventionsmaßnahmen vorweisen. Wie sehen das die Unternehmen, Herr Tittko, Herr Rosenowski?
Holger Tittko Ausreichende Präventionsmaßnahmen stellen für die meisten Unternehmen kein Problem dar, schon aus reinem Eigeninteresse an einem reibungslosen IT- und OT-Betrieb. Viele KMU, denen oft zu Unrecht eine Nachlässigkeit im Umgang mit Cyberrisiken vorgeworfen wird, haben so gut wie keinen Einfluss auf Präventionsmaßnahmen. Sie bedienen sich in aller Regel eines IT-Dienstleisters und legen damit ihre Geschicke in dessen Hände.
Was sich offenbart, ist eine zunehmende Diversität der Anbieter im Auskunftsverlangen während der Anbahnungsphase oder einer anstehenden Vertragsverlängerung. Was dem einen Versicherer recht ist, genügt seinem Mitbewerber noch lange nicht. Daraus resultiert ein überbordender administrativer Aufwand für den Nachweis des jeweils verlangten Sicherheitsniveaus, von dem unter den Versicherern kein gemeinsames Verständnis vorzuherrschen scheint.
Stefan Rosenowski Als problematisch schätzen wir die Art und Weise in Teilen der Risikoerhebung durch die Versicherer ein. Risikofragebögen und/oder -dialoge mit geschlossenen Fragen können einen Versicherungsnehmer bzw. dessen CISO in die Falle der Folgen einer vorvertraglichen Anzeigepflichtverletzung tappen lassen. Häufig wird danach gefragt, ob es in den zurückliegenden drei Jahren einen Cybervorfall gegeben habe.
Wird die Frage verneint und stellt sich jedoch im Schadenfall heraus, dass gleichwohl eine unentdeckte Infiltration stattgefunden hat, kann der Versicherer gegebenenfalls vom Vertrag zurücktreten. Wird die Frage hingegen mit „ja“ beantwortet, definiert der Versicherer das Risiko als nicht versicherbar. Fair wäre die Frage danach gewesen, ob dem Versicherungsnehmer eine Infiltration bekannt geworden sei.
Wie kann man denn versicherbare und nicht versicherbare IT-Sicherheitsrisiken eigentlich bemessen?
HT Die Nichtversicherbarkeit eines IT-Risikos ist eine häufig wiederholte, selten belegte Behauptung. Die Grenze der Versicherbarkeit wird erst überschritten, wenn Gewissheit sowohl über das schädigende Ereignis als auch über dessen Eintrittszeitpunkt besteht. Tatsächlich sprechen wir aber von einem Risikotransfer, der entweder die Finanzkraft der Versicherungswirtschaft überfordern würde oder – und das ist zunehmend Tagesgeschäft – dem Cyberversicherer die Risikoübernahme als für ihn nicht hinreichend ökonomisch sinnstiftend erscheint.
Eine praktikable Lösung bietet sich aus unserer Sicht nur im erstgenannten Fall an. Er erfordert die Bereitschaft, die Gefahren aus dem Cyberspace als systemisches Risiko anzuerkennen. Dann ist eine Kooperation der öffentlichen Hand mit der privaten Wirtschaft – Public Private Partnership, kurz: PPP – sinnvoll. Das seit Jahren effizient geführte PPP-Modell zur Versicherung der Terrorgefahren in Deutschland beweist, dass dies ein Erfolg für alle Beteiligten werden kann.
Es gibt scheinbar immer mehr Risiken im Cyberbereich, die nicht versicherbar sind. Ziehen sich Versicherer weiter zurück?
HT Ein Teil der Antwort liegt in Ihrer Fragestellung. Wir haben es nur mit scheinbar, nicht mit anscheinend unversicherbaren Risiken zu tun. Deswegen wird man sich auf die Suche nach dem zielführenden Weg der Risikobewältigung begeben müssen, an deren Ende dann gegebenenfalls der Risikotransfer steht. Die Aufbereitung aktueller Risikosachverhalte mag den ein oder anderen Risikoträger verunsichert haben. Die meisten Versicherer werden ihre Produktpalette über kurz oder lang den Risikogegebenheiten anpassen. Dabei wird die Zahl der Schäden durch Ransomware eine Rolle spielen. Ein Rückzug der Versicherer ins Marginale käme hingegen für den überwiegenden Teil unserer Mitgliedsunternehmen dem Bedeutungsverlust der Cyberversicherung gleich.
SR Darüber hinaus schließen Versicherer Cyberrisiken in traditionellen Versicherungssparten aus, welche im Gegenzug nicht adäquat in der Cyberversicherung eingedeckt werden können. Auch so ziehen sich die Erstversicherer weiter zurück, und diese Entwicklung können wir nicht gutheißen.
Seite 1 Captives: „Das Geschäft bleibt dem Erstversicherungsmarkt fern“
Seite 2 Erstaunlich ist es doch, dass Erstversicherer nun ihren Platz in Captive-Bestrebungen suchen und alternativen Risikotransfers zur Seite stehen wollen. Wie beurteilen Sie das?
Stefan Rosenowski 
Holger Tittko 
- Anmelden, um Kommentare verfassen zu können
