Hanno Pingsmann
Das Interesse an Cyber-Versicherungen steigt und damit auch die Fragen rund um die Branche: Wie sieht der aktuelle Markt für Cyberversicherungen aus? Welche Cyberrisiken sollte man als mittelständisches Unternehmen versichern? In unserer Interview-Serie diskutieren wir mit Branchenexperten aktuelle Fragen zum Thema Cyber-Versicherungen. Im dritten Teil der Interview-Serie sprechen wir mit Hanno Pingsmann. Er ist CEO und Founder von CyberDirekt, einem deutschen Cyber-Versicherungsunternehmen.
Lieber Hanno, wie bist Du zum Thema Cyberversicherungen gekommen? Hört sich ja erstmal nach dem Schlimmsten aus beiden Welten an: Dröge Versicherungen und nerdiger Computerkram.
Ich hatte 2017 nach ca. viereinhalb Jahren im FinTech Bereich den Entschluss gefasst, einen innovativen Geschäftsansatz in der Versicherungsbranche voranzutreiben. Als ich dabei auf die Cyber-Versicherung für Unternehmen gestoßen bin, wurde mir klar, dass hier ein völlig neuer Markt entsteht, in dem Technologie – und das ist im Gegenteil sogar das Spannende daran – eine gewichtige Rolle spielen wird.
Eure Plattform für Versicherungsvergleiche wird ja von mehr als 1.200 Maklern im deutschsprachigen Raum genutzt. Wie entwickelt sich der Markt für Cyberversicherungen aktuell aus Deiner Sicht?
Es kommt immer darauf an, welches Kundensegment man betrachtet. Im Industriebereich, wozu man alle Dax / MDax Unternehmen zählen könnte, hatte sich bereits Ende 2018 eine hohe Nachfrage nach Cyber-Versicherungsschutz entwickelt. Im Mittelstand ist diese Entwicklung etwas später eingetreten und wir haben z.B. ab 2020 einen sprunghaften Anstieg wahrgenommen. Das hängt sicherlich auch mit der Covid-19 Pandemie zusammen, durch die zahlreiche Unternehmen kurzfristig gezwungen wurden, die Arbeitsplätze ins Home-Office zu verlagern. Dadurch sind neue Risiken entstanden, was viele Entscheider dazu bewogen hat, sich intensiver mit dem Versicherungsschutz gegen Cyber-Risiken auseinanderzusetzen. Seitdem entwickelt sich der Markt sehr dynamisch mit hohen zweistelligen Wachstumsraten.
Welche Cyberrisiken sollte man wirklich versichern, weil man sie nicht durch präventive Maßnahmen absichern kann?
Leider kann ich diese Frage nicht pauschal beantworten, denn trotz Prävention gibt es immer ein Restrisiko – unabhängig vom Risikobereich, Angriffsvektor oder der Art der Attacke. Die Sicherheitslücken in Microsoft Exchange Servern, die im März dieses Jahres fast zehntausend deutsche Unternehmen einem unmittelbaren Risiko ausgesetzt hatten, sind ein Beispiel dafür.
Die Abwägung, ob man eine Cyber-Versicherung abschließen, oder anstatt dessen eher in erhöhte Schutzmaßnahmen investieren sollte, ist meines Erachtens nicht zielführend. Denn eine Cyber-Versicherung ist eine komplementäre Maßnahme zu bestehenden IT-Sicherheitskonzepten und vervollständigt damit ein durchdachtes und ganzheitliches Cyber-Risikomanagement.
Jedes Unternehmen muss sich in der heutigen Zeit dem individuellen Cyber-Risiko stellen und es gehört meines Erachtens zu den Sorgfaltspflichten eines jeden Geschäftsführers, die verfügbaren Möglichkeiten eines Risikotransfers abzuwägen und zu nutzen.
Sollte man die Lösegeldzahlung bei Ransomware-Angriffen überhaupt versichern? Oder einfach nicht zahlen?
Der Umgang mit der Versicherung von Lösegeldforderungen ist ein komplexes Thema. Juristisch und moralisch wirft das natürlich grundsätzliche Fragen auf und es gibt momentan eine intensive Diskussion, ob die Versicherer mit der Übernahme von Lösegeld die organisierte Cyber-Kriminalität nicht sogar weiter fördern. Ich möchte die Frage jedoch aus der Perspektive des Kunden beantworten, dessen Interessen wir als Versicherungsmakler schließlich vertreten. Einer Lösegeldforderung nachzugeben kann in einzelnen Fällen die Ultima Ratio sein, um einen schwerwiegenden Schaden vom Unternehmen abzuwenden, z.B. eine Unterbrechung der Produktion über mehrere Wochen oder Monate. Diese Handlungsoption muss sich jedes Unternehmen offen halten und ich kann angesichts der aktuellen Risikolage nur jedem Kunden empfehlen, beim Abschluss einer Cyber-Versicherung auch die Hilfe bei der Erpressung von Lösegeld mit einzuschließen.
Gibt es Branchen oder Arten von Unternehmen, die besonders schwierig versicherbar sind?
Definitiv. Dazu zählen beispielsweise Unternehmen aus dem Bereich kritischer Infrastrukturen, Glückspiel, Crypto-Assets, E-Health, Zahlungsverkehr, Direktmarketing, Inkassounternehmen oder Betreiber von sozialen Netzwerken und Dating-Plattformen. Die Versicherer agieren hier jedoch nicht einheitlich, so dass es nicht heißt, dass Unternehmen einer sogenannten Hoch-Risikobranche kein Angebot für eine Cyber-Versicherung erhalten können. Die Suche ist jedoch aufwendiger und erfordert sehr viel Marktkenntnis und Expertise in der Platzierung von Cyber-Risiken.
Zu welchen Präventionsmaßnahmen würdest Du insbesondere produzierenden Unternehmen raten?
Ein vielfach beobachtetes Problem ist der unbefugte Zugriff durch Remote-Zugänge auf Kommunikationssysteme oder Dateien oder die Fernwartung beziehungsweise Steuerung von Maschinen und Produktionsprozessen. Hackerangriffe verlaufen in diesem Bereich oft sehr gezielt, zum Beispiel über das Ausspähen von Zugangsdaten. Dieses Risiko hat sich durch die Covid-19 Pandemie leider exponentiell vergrößert. Daher empfehle ich den Unternehmen, komplexe Passwörter zu erzwingen, eine Multi-Faktor-Authentifizierung einzusetzen und bei Remote-Zugriffen ausschließlich verschlüsselte Datenverbindungen zuzulassen.
Darüber hinaus sind strikte Verhaltensregeln für alle Mitarbeiter geboten: Regelmäßige obligatorische Sicherheits-Updates, kein Einsatz von Fremdsoftware oder USB-Sticks, keine Vermischung betrieblicher und privater Daten, genaue Vorgaben für den E-Mail-Verkehr oder für den Datenaustausch. Eine Unterweisung in Cybersicherheit gehört für die meisten Angestellten eines Unternehmens inzwischen ebenso zum Alltag wie die Unterweisung über Sicherheit am Arbeitsplatz. Diese Maßnahmen sollten auch durch simulierte Cyber-Angriffe überprüft werden, wie z.B. einem Phishing-Simulationstest.
Gibt es 2-3 Aspekte, die nicht völlig offenkundig sind, auf die mittelständische Unternehmen bei Cyberpolicen aber achten sollten? Was sind vielleicht Tricks und Kniffe?
Eine wichtige Rolle spielt die Höhe der Versicherungssumme. Diese sollte ein Worst-Case-Szenario abdecken. Viele Unternehmen unterschätzen hierbei das Ausmaß einer schwerwiegenden Cyber-Attacke, die z.B. zu einer Betriebsunterbrechung von 3 bis 4 Wochen führen kann. Diese Zeiträume sind bei produzierenden Unternehmen keine Seltenheit. Die Versicherungssumme muss also mindestens den erwarteten Ertragsausfall, den Einsatz von IT-Forensik und die Aufwendungen zur Wiederherstellung von Systemen und Netzwerken umfassen.
Darüber hinaus kann auch der Ausfall von externen Softwaredienstleistern (z.B. Cloud-Dienste, Software-as-a-Service, Web-basierte Anwendungen) versichert werden, deren Nicht-Verfügbarkeit unmittelbar zu einer Betriebsunterbrechung beim Versicherungsnehmer führt. Eine Cyber-Versicherung ist also nicht nur eine Absicherung gegen Hackerangriffe auf die eigenen IT-Systeme, sondern bietet auch eine Deckung für Cyber-Attacken, die zu einem Ausfall der vom Versicherungsnehmer genutzten Softwaredienste führen.
Stimmt es, dass Versicherungen im Schadensfall nicht bezahlen, wenn z.B. Audits oder Mitarbeitertrainings nicht rechtzeitig durchgeführt wurden?
Grundsätzlich müssen natürlich korrekte Angaben bei der Beantragung einer Cyber-Versicherung gemacht werden. Wenn ein Versicherer bei der Risikoerfassung die Frage stellt, ob Mitarbeiter regelmäßig in IT-Sicherheitsfragen geschult werden, muss das versicherte Unternehmen im Schadensfall möglicherweise einen Nachweis dafür erbringen. Mitarbeitertrainings sind als Mindeststandards jedoch nicht von allen Versicherern definiert. Persönlich halte ich Trainings und die Sensibilisierung von Mitarbeitern in Bezug auf Cyber-Attacken für eine zwingend notwendige Maßnahme, die genauso selbstverständlich sein sollte, wie Schulungen im Bereich Arbeitsschutz, Datenschutz oder Geldwäscheprävention.
Gibt es sonstige Falschaussagen oder Halbwahrheiten, die Du oft auch von Experten hörst?
Ja, die gibt es leider. Ich höre zum Beispiel häufig, dass Bußgelder im Zusammenhang mit Datenschutzverletzungen mitversichert sind. Dies ist natürlich nicht der Fall, denn ein Bußgeld einer Behörde ist im Inland nicht versicherbar. Damit würde die Lenkungsfunktion der DSGVO-Bußgelder ausgehöhlt. Kunden mit einer Cyber-Versicherung können jedoch auf Rechtsberatung und IT-Forensik Leistungen zurückgreifen, um der Landesdatenschutzbehörde Fakten und Argumente vorzulegen, anhand derer die Höhe des Bußgelds bemessen wird.
Aus heutiger Sicht: Werden die Prämien vermutlich eher steigen, oder mit zunehmender Durchdringung von Security-Maßnahmen in Unternehmen langfristig wieder sinken – Stichwort: inflationsbereinigt – ?
Aufgrund der Entwicklung der Schadenszahlen und Schadenshöhen gehe ich davon aus, dass die Prämien weiter steigen werden. Bei einigen Versicherern sind die Schadenskennzahlen seit 2018 um 300% gestiegen. Die Anpassung der Risikoprämie ist daher eine unvermeidbare und konsequente Folge. Wir haben bereits im letzten Jahr einen deutlichen Trend nach oben gesehen, der sich momentan in jedem Quartal fortsetzt. Diesen Effekt wird man durch Security-Maßnahmen nicht kompensieren können. Ich gehe sogar davon aus, dass höhere Investments in Prävention notwendig sein werden, um überhaupt eine Cyber-Versicherung abschließen zu können. Denn mit der Anhebung der Prämien passen viele Versicherer Ihre Zeichnungsrichtlinien an und fordern von den Unternehmen höhere Sicherheitsstandards.
Im zweiten Teil der Cyber-Versicherungsserie spricht Ole Sieverding, Underwriting Manager bei Hiscox, über Risikobewertungen & Schadensfälle.
Übrigens: Der Artikel spiegelt unseren aktuellen Wissensstand wider – aber auch wir lernen jeden Tag dazu. Fehlen aus Ihrer Sicht wesentliche Aspekte, oder haben Sie eine andere Perspektive auf das Thema? Gerne diskutieren wir mit Ihnen und weiteren Experten in Ihrem Hause die gegenwärtigen Entwicklungen vertiefend und freuen uns über Ihr Feedback sowie Anfragen zu einem Austausch.
Und zuletzt noch: Nennungen (oder die fehlende Nennung) von Anbietern stellt keine Empfehlung seitens CyberCompare dar. Empfehlungen sind immer abhängig von der kundenindividuellen Situation.
