Alexander Schudra
Das Interesse an Cyber-Versicherungen steigt und damit auch die Fragen rund um die Branche: Wie sieht der aktuelle Markt für Cyberversicherungen aus? Welche Cyberrisiken sollte man als mittelständisches Unternehmen versichern? Sollte man die Zahlung von Lösegeld bei Ransomware-Angriffen überhaupt versichern? Oder einfach konsequent nicht bezahlen? In unserer Interview-Serie diskutieren wir mit Branchenexperten aktuelle Fragen zum Thema Cyber-Versicherungen. Alexander Schudra, unser erster Interviewpartner der Serie, leitet die Abteilung für Cyber-Versicherung bei der ERGO.
Lieber Herr Schudra, können Sie uns etwas zu Ihrem Hintergrund erzählen?
Gerne. Ich habe tatsächlich keinen technischen Background, sondern bin gelernter Volkswirt. Seit über 13 Jahren bin ich im ERGO-Konzern in verschiedenen Funktionen unterwegs, davon 9 Jahre im Vertrieb und 3 Jahre in zentralen Funktionen. Ende 2019 bot sich dann die Möglichkeit, eine neue Herausforderung im Bereich Cyber anzunehmen – und diese habe ich gerne angenommen.
Wie sehen Sie den Markt für Cyberversicherungen – zurückblickend und aktuell?
Ich habe den Markt berufsbedingt nun seit 2 Jahren intensiv kennengelernt. Trotzdem fühlt sich diese objektiv überschaubare Zeit an wie eine kleine Ewigkeit, weil eben enorm viel Bewegung im Cyber-Markt ist. Gefühlt wöchentlich gibt es neue Klauseln, neue Marktteilnehmer, extrem dynamische Bedrohungslagen, Kapazitäten und die Preise schwanken in kurzer Zeit teilweise um mehr als 50 Prozent. Das macht es auf der einen Seite spannend, auf der anderen Seite aber auch schwer planbar. Diese Unsicherheit liegt in großen Teilen auch an der fehlenden technischen Expertise in den meisten Unternehmen – ob groß oder klein. Zudem ist das Bewusstsein für die eigene Bedrohungssituation teilweise nicht oder nur marginal vorhanden. Hier sitzen die Versicherer, Kunden und deren Makler im gleichen Boot. Natürlich ist der berechtigte Wunsch bei großer Unsicherheit an die Assekuranz, geeignete Lösungen für einen Risikotransfer anzubieten. Das ist langfristig und nachhaltig allerdings nur möglich, wenn die Risiken transparent und auch versicherbar sind.
Was sollte man als mittelständisches Unternehmen eher über organisatorische und was über technische Maßnahmen abdecken, und welche Cyberrisiken soll man versichern?
Die Frage ist treffend formuliert – denn die Themen müssen aufeinander aufbauen. Ohne einen gewissen Grad an technischer und organisatorischer Cybersicherheit wird es vermutlich schwer werden, zukünftig Versicherungsschutz zu erhalten. Wenn Sie Ihr Auto nicht abschließen, ist der Diebstahl der Aktentasche vom Beifahrersitz auch nicht versichert. Insgesamt ist es, und da unterscheiden sich die Branchen sicherlich voneinander, definitiv sinnvoll, sich für die Ausnahmesituationen Schutz über eine Versicherung einzuholen. Nur wenige Unternehmen werden es sich leisten können, eigene Krisenmanager, PR-Berater und IT-Forensiker vorzuhalten. Dieses Netzwerk bringen die Versicherer mit und die Kosten werden auch übernommen. Genauso verhält es sich bei präventiven Maßnahmen. Es ist sehr gut möglich, diese auch in Kooperation mit dem Versicherer zu installieren. Der Aufwand für das Installieren von Maßnahmen kann andernfalls insbesondere kleinere Mittelständler überfordern.
Zu welchen Präventionsmaßnahmen würden Sie insbesondere produzierenden Unternehmen raten?
Auf jeden Fall Schulungen für alle Mitarbeiterinnen und Mitarbeiter in Bezug auf Cyber-Betrug und Phishing sowie ein regelmäßiges Überprüfen des Status Quo anhand von objektiven Kriterien – eine Art Bestandsaufnahme, je nach Komplexität 1-2 mal pro Jahr.
Sollte man die Zahlung von Lösegeld bei Ransomwareangriffen überhaupt versichern? Oder einfach konsequent nicht bezahlen?
Insgesamt muss man konstatieren, dass auch ohne die Erstattung der Kosten durch den Versicherer eine Lösegeldzahlung unter Umständen eine Option sein kann, weil sie längerfristige Betriebsunterbrechungen verhindert oder eine angedrohte Veröffentlichung sensibler Daten im Raum steht. Das hängt stark vom Einzelfall ab, eine pauschale Aussage ist nicht möglich. Was aber grundsätzlich gilt: Am Ende lohnt es sich immer, über Spezialisten mit den Angreifern in Kontakt zu treten! Nicht selten können die Forderungen deutlich reduziert und Informationen zum Eintrittspunkt oder Angriffshergang gewonnen werden. Das wiederum hilft enorm bei der Wiederherstellung von Daten und der Wiederaufnahme des Betriebs, unabhängig von der Zahlung eines Lösegeldes.
Welche technischen Entwicklungen im Bereich Cybersecurity finden Sie besonders interessant?
Tatsächlich finde ich das Thema Outside-In Scans ein wenig unterbewertet. Diese Scans ermöglichen von außen einen Blick auf die öffentlich sichtbaren Schnittstellen der Unternehmen – eine Website oder ein Mailserver zum Beispiel. Mit einfachem Hinschauen kann man damit leicht Schwachstellen erkennen, ähnlich würde ein Angreifer auch vorgehen. Meines Erachtens kann solch ein Instrument helfen, der Dynamik einer Bedrohungslage zumindest in Teilen Herr zu werden und offene Sicherheitslücken schnell zu erkennen. Allerdings muss sich hier auch noch einiges tun, die Ergebnisse der verschiedenen Anbieter sind noch sehr heterogen.
Gibt es Branchen oder Arten von Unternehmen, die besonders schwierig versicherbar sind?
Natürlich. Man kann schon konstatieren, dass insbesondere Unternehmen mit Umsätzen ab einem zweistelligen Millionenbetrag langsam komplexer werden und auch immer höhere Abhängigkeiten von einer funktionierenden IT-Infrastruktur bestehen. Wenn dann noch Zukäufe von Unternehmen oder Niederlassungen die Komplexität der Infrastruktur erhöhen, wird es schwierig.
Um es konkret auf Branchen zu beziehen: Logistiker und das produzierende Gewerbe sind normalerweise deutlich anfälliger als z.B. das Baunebengewerbe. Zudem sind Gewerbe mit einer hohen Anzahl an sensiblen Daten grundsätzlich exponierter, z.B. Ärzte oder auch Steuerberater und Anwälte.
Gibt es 2-3 Aspekte, die nicht völlig offenkundig sind, auf die mittelständische Unternehmen bei Cyberpolicen aber achten sollten? Was sind vielleicht Tricks und Kniffe?
Das ist pauschal schwer zu beantworten. Generell sollte man neben dem obligatorischen Check der Bedingungen und Obliegenheiten immer die Frage stellen, welcher Dienstleister im Schadenfall zur Verfügung steht und ob der Versicherer diesen obligatorisch vorschreibt. Wichtig ist auch, die Obliegenheiten und die Fragen während der Anbahnungsphase zu verstehen und im Zweifel nachzufragen. Ein gemeinsames Verständnis, was der Versicherer denn genau wissen möchte oder voraussetzt, ist enorm wichtig.
Stimmt es, dass Cyber-Versicherungen im Schadensfall nicht bezahlen, wenn z.B. bestimmte Maßnahmen nicht rechtzeitig durchgeführt wurden, oder im Vorfeld falsche Angaben über die IT gemacht wurden?
Das greift den Sachverhalt der vorangehenden Frage sehr gut auf. Ähnlich wie in allen anderen Versicherungssparten, z.B. der Krankenversicherung, müssen die angefragten Sachverhalte im Vorfeld wahrheitsgemäß beantwortet werden. Im Schadenfall ist häufig sehr schnell ersichtlich, wie der Angriff ablief und ob die Sicherheitsmechanismen, die im Vorfeld angegeben wurden, auch wirklich vorhanden sind. Ein anderes Beispiel, die Sachversicherung in Feuer: Wenn es gebrannt hat und am Schadenort kein Feuerlöscher auffindbar ist, ist die Diskussion vorprogrammiert. Eine Versicherung setzt ja häufig auf einem Grundstock an Sicherheitsvorkehrungen auf. Wenn diese nicht gegeben sind, wäre die Versicherung unter Umständen gar nicht zustande gekommen.
Gibt es sonstige Falschaussagen oder Halbwahrheiten, denen Sie oft auch von Experten begegnen?
Hier fällt mir wieder das Outside-In-Scanning ein. Das eine solche Maßnahme alleinstehend keine Aussage zur Cybersecurity herstellt – korrekt. Dass es keinen Sinn macht, sehr regelmäßig von außen auf die eigene Infrastruktur zu schauen, um Schwachpunkte zu identifizieren – nein, das teile ich nicht.
Aus heutiger Sicht: Werden die Prämien vermutlich eher weiter steigen, oder mit zunehmender Durchdringung von Security-Maßnahmen in Unternehmen langfristig wieder sinken (inflationsbereinigt etc.)?
Die berühmte Glaskugel habe ich natürlich auch nicht. Aber ich gehe davon aus, dass sich der Trend zur Prämienerhöhung fortsetzen wird. Die spürbare Marktverhärtung hängt unmittelbar mit der stark gestiegenen Anzahl an Cyber-Schäden in den vergangenen Monaten zusammen. Insofern ist davon auszugehen, dass die Kosten und Bedingungen, zu denen sich Kunden in der Vergangenheit Cyberschutz einkaufen konnten, nicht in jedem Fall bestehen bleiben. Es wird darum gehen, bestehende Risiken durch ein aktives Risikomanagement transparent und versicherbar zu gestalten.
Übrigens: Der Artikel spiegelt unseren aktuellen Wissensstand wider – aber auch wir lernen jeden Tag dazu. Fehlen aus Ihrer Sicht wesentliche Aspekte, oder haben Sie eine andere Perspektive auf das Thema? Gerne diskutieren wir mit Ihnen und weiteren Experten in Ihrem Hause die gegenwärtigen Entwicklungen vertiefend und freuen uns über Ihr Feedback sowie Anfragen zu einem Austausch.
Und zuletzt noch: Nennungen (oder die fehlende Nennung) von Anbietern stellt keine Empfehlung seitens CyberCompare dar. Empfehlungen sind immer abhängig von der kundenindividuellen Situation.
