Beruht die aktuelle Sanierungswelle bei den Versicherern auf einem daraus resultierenden Lerneffekt?
SE Ja, sicher. Die Versicherer haben aus den Schäden gelernt. Ohne Sicherheitsmaßnahmen bekommt heute keiner mehr eine Cyberversicherung. Das ist wie in der Feuerversicherung: Ohne Sprinkleranlage gibt es meist keinen Risikoschutz. Hierin liegt die wesentliche Veränderung im Markt. Parallel dazu haben die Versicherer die Beschäftigten in den Cyberabteilungen inzwischen deutlich besser ausgebildet und die Risikobewertung wurde erheblich verbessert. Langsam bildet sich ein Katalog an Sicherheitsmaßnahmen heraus. Ich bin überzeugt, dass dadurch viele Kunden vor hohen Cyberschäden bewahrt worden sind, was eine segensreiche Entwicklung ist.
AFE Das ist die neue Rolle der Versicherungswirtschaft. Nicht nur Risikoträger sein, sondern auch präventiv tätig werden. Die Versicherungswirtschaft muss den Geschäftsführer eines Unternehmens in die Lage versetzen, sein Cyberrisiko umfangreich zu verstehen. Denn dieses Risiko ist existenzgefährdend. Grundsätzlich geht IT-Sicherheit vor und erst danach kommt der Abschluss einer Cyberversicherung. Denn im Falle eines Leistungsfalls ist der Schaden bereits entstanden. Wenn ich an dieser Stelle Dr. Grund, Executive Director bei der BaFin, zitieren darf: „Der Versicherungswirtschaft fehlt die Cyber-Underwriting-Intelligenz, die Erfahrung in der Bewertung von IT-Risiken.“
Um komplexe Risikosituationen bewertbar zu machen, setzt NW ProRisk vermehrt auf unsere über die Jahre entwickelten und durch unsere eigene Beratungsfirma durchgeführten IT-Sicherheitsaudits. Die Ergebnisse wie eine IT-Sicherheits-Roadmap stellen für die Unternehmen vielfach den Weg in die Versicherbarkeit dar. Unsere Systematik ist mit den Fragebögen aller wesentlichen Cyberversicherer abgestimmt. Zur schnellen Umsetzung der Roadmap bieten meine IT-Kollegen auch intensive Unterstützung an. Erst kürzlich war einer unserer Kunden von einem Angriff betroffen. Hätte es den vor zwei Monaten erwischt, hätte es ihn weggepustet. Mit Audit war er bereits gut aufgestellt und wusste, welche Maßnahmen einzuleiten waren.
Wie gehen die Unternehmen damit um, dass es zur Erfüllung der „Hausaufgaben“ des Versicherers womöglich zu viel Zeit braucht und die Cyberversicherung zu spät gezeichnet wird?
AFE Im durchschnittlich produzierenden Mittelstand kommt man in der Regel immer wieder auf die gleichen Problemstellungen zurück. Mit entsprechenden Dienstleistern sind die relativ einfach behebbar. Ein Beispiel: Das Thema Datensicherheit steht und fällt im Schadenfall mit dem Schutz des Active Directory – dem Verzeichnisdienst von Microsoft für Windows-Netzwerke. Dessen Optimierung ist an einem Nachmittag gut lösbar. Aber ja, die Unternehmen müssen Hausaufgaben machen, um die Zeichnungsvoraussetzungen zu erfüllen. Und je schneller, desto besser.
SE Grundsätzlich bleiben die Versicherer aber hart. Wer die Voraussetzungen nicht erfüllt, bekommt keinen Risikoschutz. Oft wird auch der bestehende Versicherungsschutz nicht weitergeführt. Was dann noch helfen kann, sind zeitlich befristete Anforderungen wie zum Beispiel die Umsetzung von Awareness-Trainings oder eines Notfallplanes innerhalb von sechs Monaten. Das kann Teil des Versicherungsschutzes sein.
Wir als Cybermakler mussten uns angewöhnen, dem Kunden sehr klare Ansagen zu machen. Ganz nach dem Motto: „So können Sie nicht weitermachen!“ Aber bei Cyber kehrt die Versicherungswirtschaft wieder in ihre ureigenste Rolle zurück. Das kann für Kunden schmerzhaft sein, aber nur folgerichtig, wenn sie ihre Absicherung erhöhen wollen.
AFE Diese Rolle wird von den Unternehmen sehr gut akzeptiert. Wir haben mittlerweile die gleiche Interessenlage. Der beste Schaden ist der, der nicht eintritt. Ein uralter Spruch, aber wahr. Für Industriemakler ist Cyber mehr denn je eine qualifizierte Eintrittssparte.
Cyberattacken unterliegen fortwährenden Veränderungen, Cyberkriminelle passen sich schnell an. Inwiefern hält der Versicherungsschutz mit dieser Dynamik Schritt?
SE Ich hätte eigentlich gedacht, dass die Kriminalität dynamischer ist. Im Grunde sind es aber weiter die gleichen Methoden, die gleichen Schädlinge und die gleichen Arten. Ich glaube auch, dass die Anzahl der Schäden 2022 nicht mehr so stark gewachsen ist. Man kann sich also gut schützen.
AFE Das kann ich so nicht bestätigen. In Summe nehme ich deutlich mehr Probleme wahr, die außerdem stetig schneller kommen. Insbesondere was die Komplexität bei Zugang und Durchführung einer Cyberattacke betrifft. Da gibt es neue technische Entwicklungen, die noch mal ganz neue Herausforderungen bedeuten. Sicher, die Entwicklungen repräsentieren heute noch nicht die Masse. Und bei den Massenangriffen hat sich tatsächlich nicht allzu viel Neues getan. Was aber heute neu ist, kann nächstes Jahr bei den Cyberbanden schon Standard sein. Das geht rasend schnell. Und ja, die Hacker professionalisieren sich, was Schadsoftware oder die Unterstützung durch Dienstleister angeht.
Seite 1 Worauf Makler beim Cyberrisikoschutz aktuell achten müssen
Seite 2 Beruht die aktuelle Sanierungswelle bei den Versicherern auf einem daraus resultierenden Lerneffekt?
Seite 3 Wie schwer ist es denn momentan für ein Unternehmen, Deckungskapazität von einem Versicherer aus einer Hand zu bekommen?
Seite 4 Gibt es Unternehmen, die sich auch gegen eine Cyberversicherung entscheiden?
- Anmelden, um Kommentare verfassen zu können