![\"\"](\"https:\/\/cybercompare.com\/wp-content\/uploads\/2023\/09\/Winte_Michael_Portrait.jpg\")
Lieber Herr Winte, k\u00f6nnen Sie uns etwas zu Ihrem Hintergrund erz\u00e4hlen?<\/strong><\/p>\n\n\n\n Ich bin 46 Jahre alt und komme geb\u00fcrtig aus dem wundersch\u00f6nen gr\u00fcn-wei\u00dfen Bremen, lebe jetzt allerdings schon einige Jahre in Hamburg. Nach meinem Studium zum Diplom Versicherungsbetriebswirt in K\u00f6ln sowie einigen k\u00fcrzeren Zwischenstationen habe ich hier vor 8 Jahren bei der Funk Gruppe angefangen. Bereits kurz nach meinem Einstieg habe ich das Thema \u201eCyber-Versicherung\u201c aufgegriffen. Seitdem hat sich viel getan, sowohl bei uns intern mit vielen neuen Kollegen als auch auf dem Markt.<\/p>\n\n\n\n <\/p>\n\n\n\n Wie sehen Sie den Markt f\u00fcr Cyberversicherungen \u2013 zur\u00fcckblickend und aktuell?<\/strong><\/p>\n\n\n\n Der Cyberversicherungsmarkt hat sich in den letzten Jahren stark gewandelt. Zu Anfang war es noch unproblematisch und mit allenfalls rudiment\u00e4ren Risikoinformationen m\u00f6glich, gro\u00dfe Deckungsstrecken von 25 Millionen Euro und sogar mehr \u00fcber einen Risikotr\u00e4ger einzukaufen. Heute dagegen sind die Versicherer sehr vorsichtig geworden. Viele Schadenf\u00e4lle in j\u00fcngerer Vergangenheit und der Aufbau von Know-how haben zu einer Einschr\u00e4nkung von Kapazit\u00e4ten und Deckungsumfang gef\u00fchrt. Gleichzeitig steigen die Pr\u00e4mien, Selbstbehalte sowie die Anforderungen an die IT-Sicherheitsma\u00dfnahmen der Unternehmen.<\/p>\n\n\n\n <\/p>\n\n\n\n Die Funk Gruppe betreut als Makler ja Unternehmen aller Gr\u00f6\u00dfenordnungen. Wie sehen Sie die derzeitige Situation: K\u00f6nnen Unternehmen \u2013 zumindest ab einer gewissen Gr\u00f6\u00dfenordnung von, sagen wir 300 Millionen Euro Jahresumsatz \u2013 nicht ausreichend in technische und organisatorische Ma\u00dfnahmen investieren und eventuelle Restrisiken selbst abfedern? Anders gefragt: Wie k\u00f6nnen sich Cyberversicherungen langfristig f\u00fcr beide Seiten lohnen?<\/strong><\/p>\n\n\n\n Der Risikotransfer kann stets nur der letzte Schritt im Rahmen einer ganzheitlichen Risikostrategie sein. Es wird immer ein Restrisiko bleiben, anderenfalls w\u00e4re die Versicherungsl\u00f6sung obsolet. Insofern ist der derzeitige Trend eines zunehmend kritischen Blicks der Versicherer auf die IT-Sicherheit ihrer Kunden durchaus nachvollziehbar. Andererseits d\u00fcrfen die Versicherer im Zuge ihrer Pr\u00e4mienanpassungen nicht Ma\u00df und Mitte aus den Augen verlieren. Sollten die Pr\u00e4mien weiterhin derart rasant steigen und gleichzeitig die Anforderungen und damit H\u00fcrden f\u00fcr den Abschluss einer Versicherung auf ein noch h\u00f6heres Niveau gehoben werden, verliert die Cyberversicherung irgendwann auch f\u00fcr Unternehmen an Attraktivit\u00e4t.<\/p>\n\n\n\n <\/p>\n\n\n\n Zu welchen Pr\u00e4ventionsma\u00dfnahmen w\u00fcrden Sie insbesondere produzierenden Unternehmen raten?<\/strong><\/p>\n\n\n\n Bei produzierenden Unternehmen dient die IT im Wesentlichen der Unterst\u00fctzung bei der Umsetzung notwendiger Gesch\u00e4ftsprozesse. Neben wichtigen grunds\u00e4tzlichen Absicherungsma\u00dfnahmen der IT steht h\u00e4ufig vor allem der Schutz der IT-gest\u00fctzten Produktion (OT) im Vordergrund. Im Wesentlichen zu nennen sind hier die folgenden Aspekte:<\/p>\n\n\n\n <\/p>\n\n\n\n Die Aufz\u00e4hlung ist sicher nicht abschlie\u00dfend und k\u00f6nnte damit beliebig erweitert werden. <\/p>\n\n\n\n <\/p>\n\n\n\n Sollte man die Zahlung von L\u00f6segeld bei Ransomware-Angriffen \u00fcberhaupt versichern? Oder einfach konsequent nicht bezahlen?<\/strong><\/p>\n\n\n\n Es ist aus unserer Sicht schwierig, hier einen allgemeinen g\u00fcltigen Rat auszusprechen. Unserer Erfahrung nach ergibt es in vielen F\u00e4llen schlicht keinen Sinn, das L\u00f6segeld zu bezahlen. Allerdings haben wir auch Einzelf\u00e4lle gesehen, bei denen beispielsweise mit der Ver\u00f6ffentlichung gesch\u00e4ftskritischer Daten gedroht wurde. In diesen F\u00e4llen war die Zahlung des L\u00f6segelds quasi alternativlos, wenn die Existenz des Unternehmens nicht noch weiter gef\u00e4hrdet werden sollte. Die Versicherer werden mit der Reduzierung ihrer Limits in diesem Bereich bereits vorsichtiger. Unseres Erachtens f\u00fchrt aber schon die erforderliche Abstimmung mit Sachverst\u00e4ndigen, Beh\u00f6rden und Versicherer in aller Regel zu sinnvollen Ergebnissen und h\u00e4ufig zu einer Entscheidung gegen die L\u00f6segeldzahlung.<\/p>\n\n\n\n <\/p>\n\n\n\n Welche technischen Entwicklungen im Bereich Cyber Security finden Sie besonders interessant?<\/strong><\/p>\n\n\n\n Mit Blick auf die gegenw\u00e4rtige Bedrohungslage ist es schwierig, sich hier auf einzelne Themenfelder zu beschr\u00e4nken. Aus gegebenem Anlass liegt der Fokus hier sicher auf unmittelbar mit der Ukraine-Krise zusammenh\u00e4ngenden Fragestellungen. Empfehlungen, dass etwa gewisse Produkte nicht mehr zum Einsatz kommen sollten (BSI- Empfehlung zur Nutzung von Kaspersky) sind nur ein Beispiel hierf\u00fcr. F\u00fcr Unternehmen k\u00f6nnen hieraus enorme Kosten und Anstrengungen entstehen.<\/p>\n\n\n\n Auch das Thema der Absicherung AD-basierter administrativer Konten gewinnt unseres Erachtens an Bedeutung. Hier steht stets die Frage der Umsetzbarkeit im Fokus, also: Wie sehen m\u00f6gliche L\u00f6sungsans\u00e4tze aus? F\u00fcr Unternehmen ergibt sich dabei aus unserer Sicht der klare Bedarf nach einer einfach anwendbaren L\u00f6sung, die vollumf\u00e4nglichen Schutz bietet und umfassend greift, gerade auch im Hinblick auf unterschiedliche Infrastrukturmodelle. Das ist aber nat\u00fcrlich nur ein kleiner Teilbereich des Gesamtkomplexes der Ransomware Resilience. Hier sehen wir sehr viele Entwicklungen und gleichzeitig weitreichende Anforderungen, die sicherlich auch in Zukunft weder an Bedeutung noch an Spannung verlieren werden.<\/p>\n\n\n\n <\/p>\n\n\n\n Gibt es Branchen oder Arten von Unternehmen, die besonders schwierig versicherbar sind?<\/strong><\/p>\n\n\n\n Es gibt einzelne Branchen, die die meisten Versicherer pauschal aus ihrem sogenannten Risikoappetit herausnehmen. Hierzu geh\u00f6ren beispielsweise Unternehmen aus den Bereichen Gl\u00fccksspiel, Adult Entertainment oder fossile Energien. Kritisch gesehen werden zudem \u00f6ffentliche Versorgungsunternehmen, St\u00e4dte und Kommunen und derzeit auch Medienunternehmen.<\/p>\n\n\n\n <\/p>\n\n\n\n Gibt es 2 bis 3 Aspekte, die nicht v\u00f6llig offenkundig sind, auf die Unternehmen bei Cyberpolicen aber achten sollten? Was sind vielleicht Tricks und Kniffe?<\/strong><\/p>\n\n\n\n Die derzeit aus unserer Sicht wichtigsten Aspekte sind einerseits die f\u00fcr Ransomware-Angriffe zur Verf\u00fcgung stehenden Sublimits (viele Versicherer bieten diese nicht mehr in H\u00f6he der vollen Kapazit\u00e4t an) und andererseits technische Obliegenheiten. Durch diese wird die Risikopr\u00fcfung, die \u00fcblicherweise im Vorfeld des Vertragsabschlusses durchgef\u00fchrt werden sollte, in den Schadenfall verlagert. Dies birgt das Risiko einer Deckungsablehnung aufgrund des Vorwurfs der Nichteinhaltung technischer Mindeststandards. Unseres Erachtens sollten Versicherer die Einhaltung ihrer Anforderungen allerdings bereits vor Vertragsschluss pr\u00fcfen und die Unternehmen nicht im Schadenfall mit dem Vorwurf der Nichteinhaltung konfrontieren.<\/p>\n\n\n\n <\/p>\n\n\n\n Stimmt es, dass Versicherungen im Schadenfall nicht bezahlen, wenn z. B. bestimmte Ma\u00dfnahmen nicht rechtzeitig durchgef\u00fchrt oder im Vorfeld falsche Angaben \u00fcber die IT gemacht wurden?<\/strong><\/p>\n\n\n\n Wir haben einen solchen Fall bislang nicht erlebt. Es ist jedoch zutreffend, dass Versicherer derzeit \u00fcber Auflagen agieren und damit Fristen setzen, innerhalb derer bestimmte Ma\u00dfnahmen zu implementieren sind. Erfolgt dies nicht, werden beispielsweise Schadenf\u00e4lle durch Ransomware vom Versicherungsschutz ausgenommen. Soweit im Vorfeld falsche Angaben gemacht werden, kann dies tats\u00e4chlich nach dem VVG ein R\u00fccktritts- oder gar Anfechtungsrecht des Versicherers begr\u00fcnden. Insofern sollten s\u00e4mtliche Angaben vor Vertragsabschluss sehr sorgf\u00e4ltig gepr\u00fcft werden.<\/p>\n\n\n\n <\/p>\n\n\n\n Gibt es sonstige Falschaussagen oder Halbwahrheiten, denen Sie oft auch von Experten begegnen?<\/strong><\/p>\n\n\n\n Wir w\u00fcrden Aussagen nicht als Falschaussagen oder Halbwahrheiten bezeichnen, aber sicherlich gibt es in einem derzeit sehr dynamischen Marktumfeld Aussagen und Annahmen, die unseres Erachtens \u00fcber das Ziel hinausschie\u00dfen oder schlicht an der praktischen Umsetzbarkeit scheitern. Es fehlt uns teilweise an der Ber\u00fccksichtigung individueller Besonderheiten in Unternehmen. Man k\u00f6nnte die Anforderungen, so betiteln es unsere Cyber-Risk-Consultants, als \u201eover-engineered\u201c bezeichen. Das soll nicht hei\u00dfen, dass Anforderungen im Allgemeinen nicht sinnvoll sind; gerade die Versicherer kennen durch die Vielzahl der gemeldeten Schadenf\u00e4lle die Angriffsvektoren sehr gut. Allerdings sind einige Anforderungen f\u00fcr Unternehmen schlicht finanziell oder personell nicht umsetzbar. Teils scheitert es auch an eigenem Know-how, sodass ein R\u00fcckgriff auf Dienstleister erforderlich wird. Das treibt die Kosten weiter in die H\u00f6he. Aus diesen Gr\u00fcnden werden wir inzwischen vermehrt mit der Frage nach der Sinnhaftigkeit einer Cyber-Deckung konfrontiert. Hiermit kommen wir dann wieder auf den Anfang unseres Gespr\u00e4ches und die ganzheitliche Risikostrategie zu sprechen, innerhalb derer der Risikotransfer lediglich einen kleinen Baustein ausmacht.<\/p>\n\n\n\n <\/p>\n\n\n\n\n