Ole Sieverding
Das Interesse an Cyber-Versicherungen steigt und damit auch die Fragen rund um die Branche: Wie sieht der aktuelle Markt für Cyberversicherungen aus? Welche Cyberrisiken sollte man als mittelständisches Unternehmen versichern? Sollte man die Zahlung von Lösegeld bei Ransomware-Angriffen überhaupt versichern? Oder einfach konsequent nicht bezahlen? In unserer Interview-Serie diskutieren wir mit Branchenexperten aktuelle Fragen zum Thema Cyber-Versicherungen. Ole Sieverding ist unser zweiter Interviewpartner der Serie. Er ist Underwriting Manager im Bereich Cyber beim Spezialversicherer Hiscox.
Lieber Herr Sieverding, können Sie uns etwas zu Ihrem Hintergrund erzählen?
Ich bin seit fünf Jahren beim Spezialversicherer Hiscox in München für unsere Cyberversicherung verantwortlich. Zu Beginn war das Produkt noch im Aufbau und ein sehr zartes Pflänzchen. Inzwischen und dank der Leistung des gesamten Teams ist es unser Top Wachstumstreiber im Portfolio und ein elementarer Bestandteil unserer Strategie geworden. Davor habe ich in Hamburg im Vertrieb gearbeitet.
Gibt es eine Anekdote aus Ihrem Berufsleben, die bisher noch kaum jemand kennt?
Eigentlich wollte ich ins Banking und habe deswegen Corporate Finance studiert. Der Zufall hat mich in die Versicherungswirtschaft gebracht, in der mein Arbeitsalltag aktuell von technischer IT-Sicherheit und dem Umgang mit Cyber-Gefahren geprägt ist. Für diese Bereiche hatte ich zu Beginn eigentlich keinerlei Fachwissen vorzuweisen. Ich bin allerdings fest davon überzeugt, dass die persönliche Haltung und damit verbundene Lernbereitschaft das wichtigste Einstellungskriterium sein sollte und die fachliche Qualifikation übertrumpft. Ich wünsche mir mehr Beispiele bunter Berufswege. Das erfordert natürlich Mut – sowohl auf Bewerberseite als auch bei den einstellenden Unternehmen.
Wie sehen Sie den Markt für Cyberversicherungen – zurückblickend und aktuell?
Die ersten Jahre waren von einer Euphorie geprägt. Immer mehr Versicherer haben, von Wachstumsambitionen getragen, ein eigenes Cyber-Produkt herausgebracht. Die Leistungen wurden weiter, die Kapazitäten größer und die Preise fielen durch den Wettbewerb. So wurde das Produkt Cyber-Versicherung immer bekannter und viele Unternehmen haben diese neue zusätzliche Versicherung auch abgeschlossen.
Aktuell werden die Versicherer jedoch vorsichtiger, weil sie von Cyber-Schäden nicht mehr nur in den Medien lesen, sondern auch bei ihren eigenen Kunden sehen und vor allem spüren. Das regt natürlich eine steile Lernkurve sowohl bei der Risikoprüfung als auch der Preisfindung an. Ich bin fest davon überzeugt, dass es auch weiterhin das richtige Angebot an Cyber-Versicherungen für deutsche Unternehmen geben wird. Allerdings werden die Deckungsvoraussetzungen zunehmend spezifischer und die Prämien werden sich mit der steigenden Risikolage in der Breite weiter nach oben entwickeln. Der Markt wird gewissermaßen erwachsen.
Gibt es Branchen oder Arten von Unternehmen, die besonders schwierig versicherbar sind?
In vielen Versicherungssparten hat es sich durchgesetzt, die Risikobewertung vor allem anhand der Branche bzw. Tätigkeit des Unternehmens vorzunehmen. In der Cyberversicherung spielt das erst mal nur eine untergeordnete Rolle. Unabhängig von den konkreten erbrachten Leistungen kommen inzwischen in fast jedem Bereich Computer mit Standard-Software zum Einsatz. Die Cyber-Gefahrenlage und natürlich auch die Abwehr der Gefahren hängen in erster Linie vom Reifegrad der IT-Sicherheit ab. Um eine Cyberversicherung abschließen zu können, muss ich gewisse IT-Mindestanforderungen erfüllen. Unternehmen, die bisher keinen Wert auf IT-Sicherheit gelegt haben und denken, sie könnten Ihr Cyber-Risiko komplett auslagern, werden es schwer haben, einen adäquaten Versicherungsschutz finden.
Gibt es 2-3 Aspekte, die nicht völlig offenkundig sind, auf die mittelständische Unternehmen bei Cyberpolicen aber achten sollten? Was sind vielleicht Tricks und Kniffe?
Zunächst einmal ist die Versuchung oft groß, nur auf den Preis zu achten. Allerdings ist auch meist dann die Enttäuschung groß, wenn es um die Leistung im Schadenfall geht.
Mein Tipp: Setzen Sie sich vor dem Abschluss einer Cyberpolice mit Ihrem eigenen Cyber-Risiko aktiv auseinander. Bilden Sie konkrete Worst-Case-Szenarien, denn so können Sie besser verstehen, an welchen Stellen Sie die Unterstützung durch eine Cyber-Versicherung brauchen und diese dann auch so in Ihren Krisenplan einbinden. Generell sollten Sie regelmäßig den Ernstfall „nachspielen“, um im Fall der Fälle auf Ihre Prozesse vertrauen zu können.
Außerdem empfehle ich, auf die Erfahrung des potentiellen Versicherers speziell im Hinblick auf Cyber zu schauen. Ein breites Expertennetz und eingespielte Prozesse machen sich dann bezahlt, wenn Sie es wirklich brauchen: In Ihrer eigenen Cyber-Krise.
Stimmt es, dass Versicherungen im Schadensfall nicht bezahlen, wenn z.B. Audits oder Mitarbeitertrainings nicht rechtzeitig durchgeführt wurden?
Hier springen wir jetzt schon sehr tief in das Versicherungsrecht. Bei Schadenfällen kommt es natürlich immer auf den individuellen Einzelfall und die zugrundeliegenden Versicherungsbedingungen an. Die Hürde für einen Versicherer keine Leistungen im Schadenfall zu erbringen und gar nichts zu bezahlen, sehe ich als extrem hoch an. Da muss es dann schon um vorsätzliche Handlungen gehen. Ich erkläre die Cyberversicherung gerne anhand eines Vergleichs zum ADAC Schutzbrief: Es geht für Versicherer darum, dem Unternehmen in einer Krisensituation als starker Partner zur Seite zu stehen und die Situation schnellstmöglich zu lösen. Den Schaden klein zu halten ist im Interesse beider Parteien.
Bei unserer Hiscox Cyberversicherung ist es zum Beispiel so, dass wir den Unternehmen nach dem Abschluss kostenlosen Zugang zu präventiven Leistungen wie Mitarbeitertrainings anbieten. Diese Trainings werden jährlich um unsere Erfahrungen aus den Schäden, die wir gemeinsam mit unseren Kunden gelöst haben, aktualisiert. So kann die versicherte Gemeinschaft untereinander lernen und bekannte Schadenmuster von vornherein vermeiden. Die Nutzung ist komplett freiwillig und steht bewusst nicht im Zusammenhang mit der Leistung in einem Schadenfall. Wir gehen sogar noch einen Schritt weiter und bieten eine Reduzierung der eigenen gewählten Selbstbeteiligung, wenn unser Cyber-Training erfolgreich von den Mitarbeitenden des Unternehmens durchlaufen wurde.
Gibt es sonstige Falschaussagen oder Halbwahrheiten, denen Sie oft auch von Experten begegnen?
Die meisten Branchenumfragen zum Thema Cyber skizzieren eine enorme Bedrohungslage für viele Unternehmen. Das Risiko wird im Allgemeinen folglich schon gut erkannt – interessanterweise beziehen es die einzelnen Unternehmen dann aber nicht auf sich selbst. Die Auffassung „Das passiert nur den anderen“ oder „Ich bin für Hacker doch gar nicht interessant“ hält sich hartnäckig. Cyber-Gefahren können eben doch jeden treffen und nicht nur den anderen. Doch genau hier liegt das Problem, weil die meisten Hacker Gelegenheitstäter sind und Unternehmen mit dieser Auffassung die leichteste Beute.
Zu welchen Präventionsmaßnahmen würden Sie insbesondere produzierenden Unternehmen raten?
Üben, üben, üben. Bauen Sie nicht nur hohe Burgmauern, sondern setzten Sie sich vor allem auch mit der Reaktion auf eine Cyber-Krise auseinander und testen Sie regelmäßig den Ernstfall im eigenen Unternehmen.
Welche technischen Entwicklungen im Bereich Cybersecurity finden Sie besonders interessant?
Zwar beantwortet das nicht ganz Ihre Frage, doch am meisten fasziniert mich trotz all der technischen Entwicklung weiterhin der Faktor Mensch. Besonders begeistert bin ich, wenn Unternehmen durch offene Kommunikation und Transparenz gestärkt aus einer unangenehmen Cyber-Krise hervorgehen.
Übrigens: Der Artikel spiegelt unseren aktuellen Wissensstand wider – aber auch wir lernen jeden Tag dazu. Fehlen aus Ihrer Sicht wesentliche Aspekte, oder haben Sie eine andere Perspektive auf das Thema? Gerne diskutieren wir mit Ihnen und weiteren Experten in Ihrem Hause die gegenwärtigen Entwicklungen vertiefend und freuen uns über Ihr Feedback sowie Anfragen zu einem Austausch.
Und zuletzt noch: Nennungen (oder die fehlende Nennung) von Anbietern stellt keine Empfehlung seitens CyberCompare dar. Empfehlungen sind immer abhängig von der kundenindividuellen Situation.
