Herr Fischer-Erdsiek, können Sie in kurzen Worten beschreiben, wie es um die Cyberversicherung in Deutschland steht?
Die Versicherungswirtschaft, aber auch die Unternehmen sind in der digitalen Realität angekommen. IT-Sicherheit hat sich zu einer definierten Managementaufgabe entwickelt. Die Cyberversicherung ist auf dem Weg von einer optionalen zu einer unabdingbaren Risikotransferlösung.
Die steigende Anzahl erfolgreicher Cyberangriffe auf Unternehmen führt derzeit in der Cybersparte zu hohen Schadenzahlungen. Die Versicherer erkennen durch die hohen Schadenquoten schmerzhaft, dass ihre bisherige Zeichnungspolitik der Komplexität einer IT-Infrastruktur nicht gerecht wird. Derzeit versuchen die Versicherer, dies zu korrigieren. Der Bedarf auf der Kundenseite ist stark angestiegen, die Risiken der Digitalisierung werden von den Unternehmen als existenzbedrohend akzeptiert. Auch das Thema Haftung der Geschäftsleitung bei mangelhafter IT-Sicherheit, Stichwort Organisationsverschulden, ist verinnerlicht.
Zuletzt ging es vor allem um höhere Prämien und geringere Kapazitäten. Die Industrie ist sauer. Zu Recht?
Nicht nur höhere Prämien und geringere Kapazitäten, auch Zeichnungseinschränkungen ab bestimmten Umsatzgrößen oder für bestimmte Branchen bestimmen das Tagesgeschäft, das sind gravierende Einschränkungen auf der Angebotsseite. Natürlich sind das keine guten Botschaften an die Industrie – die reflexartige, undifferenzierte Verhärtung des Marktes ist kaum kommunizierbar. Der Unmut ist insbesondere bei Bestandskunden groß. Im Neugeschäft stoßen wir mit dem Ansatz „Cyberversicherungsschutz nur bei guter IT-Sicherheit“ auf Verständnis.
Der aktuelle Fokus richtet sich also auf Prävention. Ist die Branche hier gewappnet?
Nein, die Versicherungsbranche verfügt bei der Risikobewertung, im Underwriting, aber auch in der Kundenberatung und beim Schadenmanagement über viel zu geringe qualifizierte Mitarbeiterkapazitäten.
Hinzu kommt, dass es in der Versicherungswirtschaft keinen einheitlichen IT-Sicherheitsbewertungsstandard gibt, der die aktuelle Cyberrisikosituation akzeptabel, das heißt in einer notwendigen Tiefe, abbildet. Die mittelständischen Unternehmen sind bereit, ihre IT-Sicherheit zu verbessern, und sehen eine Cyberversicherung als die zweite Verteidigungslinie.
Die Versicherungsbranche könnte mit einem allgemeingültigen IT-Sicherheitsstandard, analog zu den VdS-Richtlinien in der Feuer-Versicherung, im eigenen Interesse einen echten Mehrwert für die IT-Sicherheit liefern. Hierzu hatten wir schon 2015 einen Beitrag in AssCompact.
Mit dem VdS-Check und dem VdS-Sicherheitsmanagement gibt es bereits Systeme für die Prüfung und für die Zertifizierung von Cybersicherheit auch in mittelständischen Unternehmen. Sie arbeiten damit – mit welchem Ergebnis?
Der VdS Quick Check ist bei fast allen unserer Beratungsgespräche als Einstieg gesetzt. Verfügt das Unternehmen über Branchen- oder ISO-Zertifizierungen, setzen wir natürlich gern auch darauf auf. Wir entwickeln auf Basis der Informationen einen IT-Sicherheitsleitfaden, den die Unternehmen mit ihren IT-Systemhäusern oder mit unseren IT-Partnern in Angriff nehmen und ihre IT-Sicherheit damit deutlich verbessern und versicherbar bleiben oder werden. Die Bereitschaft der Unternehmen, sich bis zur VdS-10000-Zertifizierung zu entwickeln, ist deutlich gestiegen.
Unser Vorteil als langjähriger Cyberversicherungsmakler liegt in unserer belastbar bezifferbaren Schadenerfahrung mit den Ursachen und wirtschaftlichen Auswirkungen eines Cyberangriffs. Das macht uns gegenüber den Unternehmen in unserer Argumentation zu Versicherungsschutz und notwendigen hohen Investitionen, die in den kommenden Jahren personell und technisch in IT-Sicherheit getätigt werden müssen, verständlich und bietet Orientierung.
Sie würden sich wünschen, dass mehr Makler und Unternehmen darauf zurückgreifen würden. Warum passiert dies nicht?
Derzeit gibt es viele IT-Sicherheitschecks und -scans, jeder Versicherer bietet ein Tool, längere Fragebögen oder Risikogespräche mit externen Experten. Als Makler ist es schwierig, den Überblick zu behalten. Der VdS hat bereit 2015 erkannt, dass die IT-Sicherheit „der Brandschutz des 21. Jahrhunderts“ ist. Cyberversicherung wurde oder wird als „Verkaufssparte“ gesehen. Viele VdS-Seminare mussten wegen zu geringer Anmeldungen in der Vergangenheit abgesagt werden. Das spricht Bände. Gut gebucht waren die Cyberseminare des BDVM, das wiederum macht Hoffnung.
Dringend notwendig ist eine Einigung der Versicherungswirtschaft und des GDV auf die VdS-10000-Systematik als Branchenstandard. Wichtig ist dann auch eine deutliche Unterstützung für deren dringend notwendige Weiterentwicklung. Die Makler und die Unternehmen wären sicherlich erleichtert und würden bzw. müssten auf diesen Standard zurückgreifen.
Inwieweit hat die Corona-Pandemie die Situation verändert?
Den Unternehmen wurden durch Entwicklungen wie Home-Office und Videokonferenzen die Notwendigkeit und die Abhängigkeit von der IT-Infrastruktur drastisch vor Augen geführt. Es wird von einem Digitalisierungsschub gesprochen, ich denke, wir beginnen, bestehende Möglichkeiten besser zu nutzen. Die Internet-Kriminellen gehen den Weg ihrer Kompetenz-Weiterentwicklung konsequent und intensiv weiter. Die Nutzung der Corona-Unsicherheit ist dabei ein Baustein in deren „Waffenarsenal“.
In anderen Ländern fordern Politiker die Einstellung von Ransom-Versicherungen, die Lösegeldzahlungen bei Cybererpressungen bezahlen. Die AXA ist dem gefolgt. Wie beurteilen Sie die Lage für Deutschland?
Die derzeit vereinbarten Lösegeldkosten als Quasi-Abrufposition sehe ich kritisch. Als Schadenminderungsmaßnahme ist Lösegeld akzeptabel und sollte nicht grundsätzlich ausgeschlossen werden. Die Unternehmen müssen mit Unterstützung der Cyberhotline der Versicherer durch eine qualifizierte, schnelle Schadenbearbeitung diese Position weitgehend obsolet machen. Technische Möglichkeiten wie ein Security Operation Center (SOC) und Security Information and Event Management (SIEM) müssen von mittelständischen Unternehmen als Lösungsansatz genutzt werden.
Mittlerweile steigern die Hacker den Druck. Die Supermarktkette tegut berichtet von einer Doppelerpressung. Im ersten Schritt eine Erpressung hinsichtlich des Angriffs auf das Warenwirtschaftssystem. Nachdem dies nicht fruchtete, legten die Hacker nach, dass bei Nichtzahlung Kundendaten veröffentlich werden würden. Ist das schon die Regel?
Das ist leider fast schon Standard. Die Wertschöpfungskette der Internet-Kriminellen ist arbeitsteilig. Daten werden verschlüsselt und bereits zuvor weiterverkauft. Betroffen sind regelmäßig auch die Privat-Konten der Geschäftsleitung, die dann zusätzlich noch erpresst wird. Die hochqualifizierten Cyberkriminellen erweitern ihre Angriffsfläche und damit den Druck täglich. Wir bieten eine Dienstleistung über einen Partner, der bei einem Angriff sofort das Darknet durchpflügt und rausfindet, welche Kommunikation zu dem kompromittierten Unternehmen stattfindet und welche nächsten Schritte geplant werden, unter anderem die Weitervermarktung von Daten. Auch deshalb ist die Zahlung von Lösegeld zu prüfen – die Daten sind bereits verteilt.
Risiken aufzuzeigen und abzusichern, ist Ihr tägliches Geschäft. Macht Ihnen die Entwicklung auch persönlich Sorgen? Angriffe auf Infrastrukturunternehmen oder auch Behörden nehmen zu. Und selbst Fehler argloser Mitarbeiter können fatale Folgen haben.
Nein, keine Sorgen, sondern ein gutes Gefühl an der Herausforderung, die Themen Digitalisierung, IT-Sicherheit und Cyberversicherung mit gestalten zu können. IT-Sicherheit und Cyberversicherung ist unser Branchenbeitrag zur Digitalisierung.
Glücklicherweise erkenne ich in den Gesprächen mit unseren Kunden ein eindeutiges Commitment zur Digitalisierung und zur IT-Sicherheit. Es hat auf der Kundenseite ein Umdenken in einer Geschwindigkeit stattgefunden, die ich vor 18 Monaten bzw. vor Covid-19 nicht für möglich gehalten habe. Dieser Trend wird auf die Versicherbarkeit einzahlen und wir können unsere Kunden auch digital sicherer machen.
Unsere Branche hat mit dem Thema IT-Sicherheit und Cyberversicherung eine riesige Chance, aber auch Verantwortung. Sie muss – endlich – die richtigen Entscheidungen zu den notwendigen Standards treffen und in die Ausbildung von Mitarbeitern investieren.
Hintergrund: Cybersecurity der VdS
Die VdS als Tochter des GDV bietet für die Cybersicherheit den VdS Quick Check. Wie im Interview beschrieben setzt das Maklerunternehmen NW Assekuranz diesen regelmäßig als ersten Schritt in der Beratung ein und fordert, die VdS-10000-Zertifizierung als Branchenstandard durchzusetzen. Mehr zu den Cybersecurity-Maßnahmen finden sich auf www.vds.de.
Das Interview lesen Sie auch in AssCompact 07/2021, Seite 38 f., und in unserem ePaper.
Bild: © natali_mis – stock.adobe.com
Achim Fischer-Erdsiek 
- Anmelden, um Kommentare verfassen zu können
