Interview mit Stefan Rosenowski, Geschäftsführer, und Holger Tittko, Referent Cyberversicherung des Gesamtverbands der versicherungsnehmenden Wirtschaft e. V. (GVNW)
Unternehmen, die heute eine Cyberversicherung abschließen wollen, müssen ausreichende Präventionsmaßnahmen vorweisen. Wie sehen das die Unternehmen, Herr Tittko, Herr Rosenowski?
Holger Tittko Ausreichende Präventionsmaßnahmen stellen für die meisten Unternehmen kein Problem dar, schon aus reinem Eigeninteresse an einem reibungslosen IT- und OT-Betrieb. Viele KMU, denen oft zu Unrecht eine Nachlässigkeit im Umgang mit Cyberrisiken vorgeworfen wird, haben so gut wie keinen Einfluss auf Präventionsmaßnahmen. Sie bedienen sich in aller Regel eines IT-Dienstleisters und legen damit ihre Geschicke in dessen Hände.
Was sich offenbart, ist eine zunehmende Diversität der Anbieter im Auskunftsverlangen während der Anbahnungsphase oder einer anstehenden Vertragsverlängerung. Was dem einen Versicherer recht ist, genügt seinem Mitbewerber noch lange nicht. Daraus resultiert ein überbordender administrativer Aufwand für den Nachweis des jeweils verlangten Sicherheitsniveaus, von dem unter den Versicherern kein gemeinsames Verständnis vorzuherrschen scheint.
Stefan Rosenowski Als problematisch schätzen wir die Art und Weise in Teilen der Risikoerhebung durch die Versicherer ein. Risikofragebögen und/oder -dialoge mit geschlossenen Fragen können einen Versicherungsnehmer bzw. dessen CISO in die Falle der Folgen einer vorvertraglichen Anzeigepflichtverletzung tappen lassen. Häufig wird danach gefragt, ob es in den zurückliegenden drei Jahren einen Cybervorfall gegeben habe.
Wird die Frage verneint und stellt sich jedoch im Schadenfall heraus, dass gleichwohl eine unentdeckte Infiltration stattgefunden hat, kann der Versicherer gegebenenfalls vom Vertrag zurücktreten. Wird die Frage hingegen mit „ja“ beantwortet, definiert der Versicherer das Risiko als nicht versicherbar. Fair wäre die Frage danach gewesen, ob dem Versicherungsnehmer eine Infiltration bekannt geworden sei.
Wie kann man denn versicherbare und nicht versicherbare IT-Sicherheitsrisiken eigentlich bemessen?
HT Die Nichtversicherbarkeit eines IT-Risikos ist eine häufig wiederholte, selten belegte Behauptung. Die Grenze der Versicherbarkeit wird erst überschritten, wenn Gewissheit sowohl über das schädigende Ereignis als auch über dessen Eintrittszeitpunkt besteht. Tatsächlich sprechen wir aber von einem Risikotransfer, der entweder die Finanzkraft der Versicherungswirtschaft überfordern würde oder – und das ist zunehmend Tagesgeschäft – dem Cyberversicherer die Risikoübernahme als für ihn nicht hinreichend ökonomisch sinnstiftend erscheint.
Eine praktikable Lösung bietet sich aus unserer Sicht nur im erstgenannten Fall an. Er erfordert die Bereitschaft, die Gefahren aus dem Cyberspace als systemisches Risiko anzuerkennen. Dann ist eine Kooperation der öffentlichen Hand mit der privaten Wirtschaft – Public Private Partnership, kurz: PPP – sinnvoll. Das seit Jahren effizient geführte PPP-Modell zur Versicherung der Terrorgefahren in Deutschland beweist, dass dies ein Erfolg für alle Beteiligten werden kann.
Es gibt scheinbar immer mehr Risiken im Cyberbereich, die nicht versicherbar sind. Ziehen sich Versicherer weiter zurück?
HT Ein Teil der Antwort liegt in Ihrer Fragestellung. Wir haben es nur mit scheinbar, nicht mit anscheinend unversicherbaren Risiken zu tun. Deswegen wird man sich auf die Suche nach dem zielführenden Weg der Risikobewältigung begeben müssen, an deren Ende dann gegebenenfalls der Risikotransfer steht. Die Aufbereitung aktueller Risikosachverhalte mag den ein oder anderen Risikoträger verunsichert haben. Die meisten Versicherer werden ihre Produktpalette über kurz oder lang den Risikogegebenheiten anpassen. Dabei wird die Zahl der Schäden durch Ransomware eine Rolle spielen. Ein Rückzug der Versicherer ins Marginale käme hingegen für den überwiegenden Teil unserer Mitgliedsunternehmen dem Bedeutungsverlust der Cyberversicherung gleich.
SR Darüber hinaus schließen Versicherer Cyberrisiken in traditionellen Versicherungssparten aus, welche im Gegenzug nicht adäquat in der Cyberversicherung eingedeckt werden können. Auch so ziehen sich die Erstversicherer weiter zurück, und diese Entwicklung können wir nicht gutheißen.
Erstaunlich ist es doch, dass Erstversicherer nun ihren Platz in Captive-Bestrebungen suchen und alternativen Risikotransfers zur Seite stehen wollen. Wie beurteilen Sie das?
SR Grundsätzlich ist mehr Eigentragung an sich kein Problem und für Unternehmen, die von ihrem eigenen Risikomanagement überzeugt sind, ein probates Mittel. Der Weg zu einer Captive ist über Machbarkeitsstudien und eine Gründungsphase mit allen regulatorischen Aspekten lang und nicht ganz einfach zu gehen. Daher ist ein Wettbewerb in Beratungs- und späteren Serviceleistungen durchaus willkommen.
Aber den Erstversicherern sollte klar sein, dass der Weg zu einer Captive für den Versicherungsnehmer eine langfristige und strategische Entscheidung sein kann. Ist ein solches Eigentragungsmodell umgesetzt, wird es nicht mehr so schnell gekippt werden und das Geschäft bleibt dem Erstversicherungsmarkt fern.
Also, lieber einen alternativen Risikotransfer zu begleiten als eine „klassische“ Cyberpolice anzubieten, ist nicht die Lösung?
SR Das wäre eine katastrophale Entwicklung, denn nur ein Teil der versicherungsnehmenden Wirtschaft ist überhaupt in der Lage, Captives ins Leben zu rufen. Das ist kein übliches Instrument für den Mittelstand. Aufseiten der KMU sehen wir zwar einen noch funktionierenden Markt, aber der Mittelstand, der für eine Captive zu klein ist, steht vor dem Problem der künstlichen Kapazitätenverknappung, das er entweder gar nicht oder nur zu außergewöhnlich hohen Preisen bei einem hohen administrativen Aufwand lösen kann.
Was erwarten Sie denn von Versicherern und auch Versicherungsmaklern in dieser Situation?
SR Wir wünschen uns von der Versicherungswirtschaft mehr partnerschaftliche Dialoge, was eine frühzeitige, kompetente Kommunikation erfordert. So gelangen wir zu einem gegenseitigen Verständnis, um kreative Lösungen für die Risikofinanzierung zu entwickeln und umzusetzen. Ein Risikodialog oder auch die Ergebnisse daraus müssen nicht erst ein paar Tage vor dem Fristende zur Vertragskündigung stattfinden bzw. kommuniziert werden. Gelingt es den Versicherern jedoch nicht, den Versicherungsnehmer von Risiken in seinen Büchern angemessen zu entlasten, wird dies auf Dauer die Cyberversicherung als Risikofinanzierungsmittel insgesamt infrage stellen.
Wie ist dann Ihr Ausblick auf das „Cyberjahr“ 2023?
HT Wohl und Wehe der Cyberversicherung werden nicht zuletzt von der Flexibilität der Cyber-Erstversicherer abhängen. Ob es langfristig bei der gewohnten Cyberpolice aktueller Prägung bleiben wird, ist fraglich. Wenn nach der Prognose des Branchenverbands Bitkom e. V. vom 31.08.2022 die Professionalität digitaler Angriffsvektoren weiterhin zunehmen wird, droht den Versicherungsnehmern spätestens im Herbst 2023 Ungemach. Dann steht die Erneuerung der meisten Verträge an.
Dieses Interview lesen Sie auch in AssCompact 01/2023, S. 42 f., und in unserem ePaper.
Bild: © Stefan Rosenowski und Holger Tittko, GVNW
Stefan Rosenowski 
Holger Tittko 
- Anmelden, um Kommentare verfassen zu können
