Interview mit Dr. Christian Gründl, Mitglied des Vorstands der ERGO Versicherung AG, und Alexander Schudra, Leiter Cyber-Versicherung bei der ERGO Versicherung AG
Herr Dr. Gründl, Cyberschäden allein in Deutschland haben laut einer aktuellen Bitkom-Studie die Marke von 200 Mrd. Euro bereits überschritten. Mit Blick auf den Cyberversicherungsmarkt sind das keine guten Nachrichten, oder?
Dr. Christian Gründl: Die Zahl kommt mir sehr hoch vor. Im Jahr 2020 wurden in Deutschland schätzungsweise 160 Millionen Euro an Prämien im Cyberbereich eingenommen, der Schaden ist wohl mindestens 20 Mal so hoch, möglicherweise sogar 50 Mal so hoch. Ein Großteil der Schäden ist nicht versichert. Wir gehen davon aus, dass die Zahl der Cyberattacken in den kommenden Jahren zunehmen wird. Daher müssen wir uns gemeinsam mit unseren Kunden verstärkt auf Prävention und Risikomanagement konzentrieren, um die Gefahren möglichst klein und die Prämien bezahlbar zu halten.
Versicherungsmakler und Kunden beklagen hohe Prämien und eine zurückhaltende Zeichnungspolitik der Versicherer. Sie sind offensichtlich genervt. Wie kann sich die Lage entspannen?
Dr. Christian Gründl: Da habe ich vollstes Verständnis. Der Markt kommt aus einer Phase mit wenig Nachfrage, das Risiko war schwer greifbar und die Produkte weitestgehend zu sehr günstigen Prämien verfügbar. Das alles hat sich in weniger als zwei Jahren komplett verändert: Die Attacken und damit die Schadenaufwände steigen rapide, entsprechend agieren die Versicherer viel vorsichtiger, fragen mehr nach, erhöhen die Prämien oder ziehen sich ganz zurück. Gleichzeitig steigt das Risikobewusstsein durch die mediale Präsenz rasant an und führt zu einer enormen Nachfrage nach Versicherungsschutz. Wenn Beides, wie aktuell zu beobachten, aufeinandertrifft, ist Unmut gewissermaßen vorprogrammiert.
Die gute Nachricht ist, dass die Versicherungsbranche der Veränderungsgeschwindigkeit gewachsen ist. Kunden, Makler und Versicherer finden in vielen Fällen Lösungen, denn am Ende haben wir alle ja das gleiche Interesse: Unsere Kunden abzusichern gegen Cybergefahren. Die Versicherer professionalisieren ihr Pricing und Wording sowie die Risikoaudits. Gleichzeitig schlüpfen Makler inzwischen sehr professionell in die Rolle des Risikoberaters hinsichtlich Informationssicherheit. Das ist aktuell auch eine gute Strategie, um neue Mandate zu gewinnen und bestehende zu festigen – gute Beratung gibt es in diesem Bereich nicht überall und ist ein echtes Alleinstellungsmerkmal. Und die Kunden bemerken, dass mit teilweise sehr einfachen Mitteln viel Sicherheit gewonnen werden kann, was sich wiederum positiv auf das Wording und die Prämie auswirkt.
Herr Schudra, während sich die einen der Risiken bewusst sind und nach Schutz suchen, hängt es – zumindest teilweise noch – beim Mittelstand. Oder machen Sie da andere Erfahrungen?
Alexander Schudra: Das Risiko durch Cyberattacken war vielen Unternehmen kaum bewusst. Nur 28% der kleinen und mittleren Unternehmer sehen in digitaler Kriminalität eine Gefahr für ihren eigenen Betrieb, ergab eine Studie des Gesamtverbandes der deutschen Versicherungswirtschaft im vergangenen Jahr. Die eigenen Daten seien zu uninteressant, die Server gut abgesichert – eine Cyberversicherung hielt die große Mehrheit der Befragten aus diesen Gründen nicht für nötig. Dabei sieht die Realität anders aus: Die Zahl der Cyberattacken auf Unternehmen ist allein im ersten Halbjahr 2020 im Vergleich zur zweiten Jahreshälfte 2019 um fast 70% gestiegen. Betroffen sind alle Branchen und Betriebe jeder Größe. Es lohnt sich für jeden Betrieb, eine Cyberversicherung abzuschließen. Sie schützt vor einer Gefahr, die alle Branchen betrifft und der sich jedes Unternehmen bewusst sein muss.
Inzwischen ist das Risikobewusstsein durchaus auch im Mittelstand angekommen. Man kann zwar nach wie vor zwischen Kleinstgewerbetreibenden und zum Beispiel etwas größeren Firmen eine Diskrepanz hinsichtlich der Bewertung erkennen. Alles in allem spüren wir in allen Bereichen aber eine enorm gestiegene Nachfrage. Der aktuellen Bitkom-Studie zufolge waren von über 1.000 befragten Unternehmern 88% von einem Cybevorfall betroffen. Die übrigen 12% vermuten es, sind sich aber nicht sicher. Insofern kann man konstatieren: Grundsätzlich verstanden haben sollte es jeder. Die wichtige Frage im Anschluss ist aber: Was kann ich tun, um das Risiko in den Griff zu bekommen?
Ohne Präventionsmaßnahmen gibt es kaum mehr Schutz. Was ist also Voraussetzung für eine Deckung?
Alexander Schudra: Natürlich muss ein gewisser Grundstock an IT-Sicherheit vorhanden sein. Das beginnt bei den obligatorischen Schutzprogrammen vor Schadsoftware, einem regelmäßigen Update der Systeme sowie dem Anlegen und Testen von sogenannten Back-ups, also Sicherungen des IT-Systems. Zudem sollte sich jedes Unternehmen auf einen potenziellen Cyberangriff vorbereiten. Dazu gehört nicht nur eine Cyberversicherung, sondern vor allem Präventionsarbeit. Mitarbeiter sollten sich zu IT-Sicherheit und Datenschutz fortbilden. Für den Ernstfall braucht jeder Betrieb einen Notfallplan: Was sind die wichtigsten Schritte, wenn plötzlich die Systeme lahm liegen? Wer ruft den IT-Dienstleister an? Wer meldet den Schaden der Versicherung?
Cyberkriminelle scheinen trotzdem immer einen Schritt voraus. Sind die neuen und damit schwer kalkulierbaren Risiken auf lange Sicht überhaupt adäquat versicherbar?
Dr. Christian Gründl: Absolut, davon sind wir überzeugt. Wir dürfen als Branche unsere Kunden nicht im Regen stehen lassen, sondern sind aufgefordert mögliche Lösungen zu finden und unseren Kunden als Risikomanager zur Seite zu stehen. Hier gibt es auch gute Synergien: Die Assekuranz kann entsprechende Lösungen wie zum Beispiel Risikoanalysen, Schwachstellen-Scans oder eben auch Präventionsmaßnahmen entwickeln und zu Konditionen bereitstellen, die für einzelne Gewerbetreibende kaum zu realisieren sind. Und mit jeder Maßnahme, die mit dem Versicherer gemeinsam umgesetzt wird, sinkt gleichzeitig das Risiko eines schweren Vorfalls und das Restrisiko wird transparent. Das wiederum ist dann unsere Kernkompetenz: Ein Restrisiko zu kalkulieren und den Risikotransfer über eine bezahlbare Prämie durchzuführen.
Worin besteht für die Versicherer die größte Herausforderung?
Dr. Christian Gründl: Für mich gibt es drei große Herausforderungen, mit denen wir als Versicherer umgehen müssen. Zum ersten ist die Sparte noch sehr jung, so dass es keine langen Schadenhistorien gibt. Die Bedrohungslage ist zusätzlich sehr volatil, was die Preisfindung schwierig macht. Zum zweiten benötigen wir als Branche völlig neue Skills und Fähigkeiten – und damit neue Kolleginnen und Kollegen, die im IT-Sicherheitsumfeld sehr nachgefragt sind. Last but not least: Der Kumul-Fall in Cyber ist und bleibt eine extreme Bedrohung. Wenn wir uns vorstellen, dass ein IT-Virus potenziell einen Großteil der Kunden gleichzeitig treffen könnte, gibt es kaum Diversifizierung.
Und wie sehen zeitgemäße Lösungen zur Absicherung aus?
Alexander Schudra: Eine gute Cyberversicherung übernimmt sowohl Eigen- und Drittschäden als auch Service-Leistungen und Kosten für Spezialisten. Damit sind die folgenden Kostenpunkte abgedeckt:
Kosten durch Diebstähle
Unterbrechung des Betriebs und daraus folgende Ertragsausfälle
Schadenersatz an Dritte (z.B. an Kunden wegen Datenmissbrauch)
IT-Experten, die den Schaden begrenzen und analysieren
ggf. Anwälte und PR-Spezialisten
Nicht zuletzt sollte ein abgerundetes Paket auch ein gewisses Maß an Assistenz enthalten, zum Beispiel die Verfügbarkeit von Schulungsmöglichkeiten der Mitarbeitenden im Unternehmen oder abgestimmte „Testangriffe“, um Schwachstellen aufzudecken und zu schließen.
Was stellen denn die größten Hürden dar beim Thema Cyberversicherung in den Unternehmen? Und wo sehen Sie Ansatzpunkte für Vermittler?
Alexander Schudra: Nachdem die grundsätzliche Bereitschaft sich dem Thema anzunehmen, inzwischen deutlich gestiegen ist, stehen viele Entscheider in den Unternehmen vor der Frage: Was ist zu tun, vor allem was zuerst? Daraus kann durchaus eine echte Hürde werden, was die Umsetzung betrifft – da bleibt einiges zunächst in der Projektphase hängen, auch aufgrund der zusätzlichen Kosten, die nicht immer eingeplant sind. Es gibt zahlreiche Angebote, angefangen bei Kanzleien über Systemhäuser und Beratungsfirmen bis hin zu Versicherungsunternehmen. Die Assekuranz hat an dieser Stelle den Vorteil, dass man sich mit Risiken und deren Management traditionell gut auskennt. Das trifft auch für viele Makler zu. Wenn diese Kompetenz nun mit dem neuen Themengebiet IT-Security in Einklang gebracht wird, ist das ein echtes Asset und schafft Kundenbindung!
Auch Versicherer sind vor Cyberangriffen und Ransomware nicht gefeit, wie ein aktuelles Beispiel zeigt. Was macht das mit dem Image der Versicherer und müssen diese selbst noch viel mehr tun?
Dr. Christian Gründl: Nun, zunächst ist ein Versicherungsunternehmen auch ein ganz normales Unternehmen mit Mitarbeitenden, Rechnern, Servern und vielem mehr. Gleichzeitig ist die Assekuranz ein exponierteres Ziel aufgrund sensibler Daten und der Abhängigkeit von elektronischer Kommunikation und EDV im Allgemeinen. Insofern muss die Branche gewissermaßen vorangehen, schon allein aus Eigeninteresse für den laufenden Geschäftsbetrieb.
Was die Angriffe aber auch deutlich zeigen: Trotz der hohen Sensibilität der Branche, schon allein aufgrund der starken Regulierung und Anforderung an Daten- sowie IT-Sicherheit, ist man gegen das Restrisiko niemals komplett gewappnet. Es kann jeden treffen – daher ist die Cyberversicherung für jedes Unternehmen ein Muss.
Bild oben: © blackboard – stock.adobe.com; Porträtfotos: © ERGO
Source: ImmoCompact