Die Welt der Cyber-Versicherungen – permanent im Wandel

Michael Winte

Michael Winte ist Fachbereichsleiter Cyber, Technology & Crime bei der Funk Gruppe GmbH, einem Internationalen Versicherungsmakler und Risk Consultant. Im folgenden Interview berichtet er vom Wandel und von den Entwicklungen im Versicherungsmarkt. Dabei gibt er Ratschläge und Tipps zu Präventionsmaßnahmen und Cyberpolicen und stellt eine Prognose zur Entwicklung von Prämien der Cyber-Versicherungen auf.

Michael Winte, Fachbereichsleiter Cyber, Technology & Crime bei der Funk Gruppe GmbH

Lieber Herr Winte, können Sie uns etwas zu Ihrem Hintergrund erzählen?

Ich bin 46 Jahre alt und komme gebürtig aus dem wunderschönen grün-weißen Bremen, lebe jetzt allerdings schon einige Jahre in Hamburg. Nach meinem Studium zum Diplom Versicherungsbetriebswirt in Köln sowie einigen kürzeren Zwischenstationen habe ich hier vor 8 Jahren bei der Funk Gruppe angefangen. Bereits kurz nach meinem Einstieg habe ich das Thema „Cyber-Versicherung“ aufgegriffen. Seitdem hat sich viel getan, sowohl bei uns intern mit vielen neuen Kollegen als auch auf dem Markt.

Wie sehen Sie den Markt für Cyberversicherungen – zurückblickend und aktuell?

Der Cyberversicherungsmarkt hat sich in den letzten Jahren stark gewandelt. Zu Anfang war es noch unproblematisch und mit allenfalls rudimentären Risikoinformationen möglich, große Deckungsstrecken von 25 Millionen Euro und sogar mehr über einen Risikoträger einzukaufen. Heute dagegen sind die Versicherer sehr vorsichtig geworden. Viele Schadenfälle in jüngerer Vergangenheit und der Aufbau von Know-how haben zu einer Einschränkung von Kapazitäten und Deckungsumfang geführt. Gleichzeitig steigen die Prämien, Selbstbehalte sowie die Anforderungen an die IT-Sicherheitsmaßnahmen der Unternehmen.

Die Funk Gruppe betreut als Makler ja Unternehmen aller Größenordnungen. Wie sehen Sie die derzeitige Situation: Können Unternehmen – zumindest ab einer gewissen Größenordnung von, sagen wir 300 Millionen Euro Jahresumsatz – nicht ausreichend in technische und organisatorische Maßnahmen investieren und eventuelle Restrisiken selbst abfedern? Anders gefragt: Wie können sich Cyberversicherungen langfristig für beide Seiten lohnen?

Der Risikotransfer kann stets nur der letzte Schritt im Rahmen einer ganzheitlichen Risikostrategie sein. Es wird immer ein Restrisiko bleiben, anderenfalls wäre die Versicherungslösung obsolet. Insofern ist der derzeitige Trend eines zunehmend kritischen Blicks der Versicherer auf die IT-Sicherheit ihrer Kunden durchaus nachvollziehbar. Andererseits dürfen die Versicherer im Zuge ihrer Prämienanpassungen nicht Maß und Mitte aus den Augen verlieren. Sollten die Prämien weiterhin derart rasant steigen und gleichzeitig die Anforderungen und damit Hürden für den Abschluss einer Versicherung auf ein noch höheres Niveau gehoben werden, verliert die Cyberversicherung irgendwann auch für Unternehmen an Attraktivität.

Zu welchen Präventionsmaßnahmen würden Sie insbesondere produzierenden Unternehmen raten?

Bei produzierenden Unternehmen dient die IT im Wesentlichen der Unterstützung bei der Umsetzung notwendiger Geschäftsprozesse. Neben wichtigen grundsätzlichen Absicherungsmaßnahmen der IT steht häufig vor allem der Schutz der IT-gestützten Produktion (OT) im Vordergrund. Im Wesentlichen zu nennen sind hier die folgenden Aspekte:

  • Trennung der IT von der OT-Infrastruktur mittels Netzwerksegmentierung: Ein direkter Durchgriff sollte nicht möglich sein. Hierzu sollte im Netzwerkübergang eine Firewall etabliert sein, inklusive eines Whitelisting der notwendigen Kommunikationsprotokolle. Die verwendete Firewall sollte über eine verhaltensbasierte Erkennung verfügen und IDS/IPS sollten aktiv sein.
  • Legacy Systeme (veraltete Betriebssysteme und Softwarekomponenten) sollten in der Kommunikation maximal eingeschränkt werden (kein Zugriff auf Emails oder das Internet).
  • Remote-Zugänge in die OT, z. B. für Wartungszwecke, sollten nicht permanent zugänglich sowie nur nach explizierter Freigabe möglich sein (manuelle 2FA) oder mittels MFA abgesichert werden.
  • Eine Endpoint-Protection-Lösung sollte auf allen möglichen und zugelassenen Systemen etabliert sein. Hier ist bedingt durch Herstellervorgaben nicht immer alles umsetzbar.
  • Ebenso sollten die OT-Systeme im Patch- und Back-up-Management berücksichtigt werden.

Die Aufzählung ist sicher nicht abschließend und könnte damit beliebig erweitert werden. 

Sollte man die Zahlung von Lösegeld bei Ransomware-Angriffen überhaupt versichern? Oder einfach konsequent nicht bezahlen?

Es ist aus unserer Sicht schwierig, hier einen allgemeinen gültigen Rat auszusprechen. Unserer Erfahrung nach ergibt es in vielen Fällen schlicht keinen Sinn, das Lösegeld zu bezahlen. Allerdings haben wir auch Einzelfälle gesehen, bei denen beispielsweise mit der Veröffentlichung geschäftskritischer Daten gedroht wurde. In diesen Fällen war die Zahlung des Lösegelds quasi alternativlos, wenn die Existenz des Unternehmens nicht noch weiter gefährdet werden sollte. Die Versicherer werden mit der Reduzierung ihrer Limits in diesem Bereich bereits vorsichtiger. Unseres Erachtens führt aber schon die erforderliche Abstimmung mit Sachverständigen, Behörden und Versicherer in aller Regel zu sinnvollen Ergebnissen und häufig zu einer Entscheidung gegen die Lösegeldzahlung.

Welche technischen Entwicklungen im Bereich Cyber Security finden Sie besonders interessant?

Mit Blick auf die gegenwärtige Bedrohungslage ist es schwierig, sich hier auf einzelne Themenfelder zu beschränken. Aus gegebenem Anlass liegt der Fokus hier sicher auf unmittelbar mit der Ukraine-Krise zusammenhängenden Fragestellungen. Empfehlungen, dass etwa gewisse Produkte nicht mehr zum Einsatz kommen sollten (BSI- Empfehlung zur Nutzung von Kaspersky) sind nur ein Beispiel hierfür. Für Unternehmen können hieraus enorme Kosten und Anstrengungen entstehen.

Auch das Thema der Absicherung AD-basierter administrativer Konten gewinnt unseres Erachtens an Bedeutung. Hier steht stets die Frage der Umsetzbarkeit im Fokus, also: Wie sehen mögliche Lösungsansätze aus? Für Unternehmen ergibt sich dabei aus unserer Sicht der klare Bedarf nach einer einfach anwendbaren Lösung, die vollumfänglichen Schutz bietet und umfassend greift, gerade auch im Hinblick auf unterschiedliche Infrastrukturmodelle. Das ist aber natürlich nur ein kleiner Teilbereich des Gesamtkomplexes der Ransomware Resilience. Hier sehen wir sehr viele Entwicklungen und gleichzeitig weitreichende Anforderungen, die sicherlich auch in Zukunft weder an Bedeutung noch an Spannung verlieren werden.

Gibt es Branchen oder Arten von Unternehmen, die besonders schwierig versicherbar sind?

Es gibt einzelne Branchen, die die meisten Versicherer pauschal aus ihrem sogenannten Risikoappetit herausnehmen. Hierzu gehören beispielsweise Unternehmen aus den Bereichen Glücksspiel, Adult Entertainment oder fossile Energien. Kritisch gesehen werden zudem öffentliche Versorgungsunternehmen, Städte und Kommunen und derzeit auch Medienunternehmen.

Gibt es 2 bis 3 Aspekte, die nicht völlig offenkundig sind, auf die Unternehmen bei Cyberpolicen aber achten sollten? Was sind vielleicht Tricks und Kniffe?

Die derzeit aus unserer Sicht wichtigsten Aspekte sind einerseits die für Ransomware-Angriffe zur Verfügung stehenden Sublimits (viele Versicherer bieten diese nicht mehr in Höhe der vollen Kapazität an) und andererseits technische Obliegenheiten. Durch diese wird die Risikoprüfung, die üblicherweise im Vorfeld des Vertragsabschlusses durchgeführt werden sollte, in den Schadenfall verlagert. Dies birgt das Risiko einer Deckungsablehnung aufgrund des Vorwurfs der Nichteinhaltung technischer Mindeststandards. Unseres Erachtens sollten Versicherer die Einhaltung ihrer Anforderungen allerdings bereits vor Vertragsschluss prüfen und die Unternehmen nicht im Schadenfall mit dem Vorwurf der Nichteinhaltung konfrontieren.

Stimmt es, dass Versicherungen im Schadenfall nicht bezahlen, wenn z. B. bestimmte Maßnahmen nicht rechtzeitig durchgeführt oder im Vorfeld falsche Angaben über die IT gemacht wurden?

Wir haben einen solchen Fall bislang nicht erlebt. Es ist jedoch zutreffend, dass Versicherer derzeit über Auflagen agieren und damit Fristen setzen, innerhalb derer bestimmte Maßnahmen zu implementieren sind. Erfolgt dies nicht, werden beispielsweise Schadenfälle durch Ransomware vom Versicherungsschutz ausgenommen. Soweit im Vorfeld falsche Angaben gemacht werden, kann dies tatsächlich nach dem VVG ein Rücktritts- oder gar Anfechtungsrecht des Versicherers begründen. Insofern sollten sämtliche Angaben vor Vertragsabschluss sehr sorgfältig geprüft werden.

Gibt es sonstige Falschaussagen oder Halbwahrheiten, denen Sie oft auch von Experten begegnen?

Wir würden Aussagen nicht als Falschaussagen oder Halbwahrheiten bezeichnen, aber sicherlich gibt es in einem derzeit sehr dynamischen Marktumfeld Aussagen und Annahmen, die unseres Erachtens über das Ziel hinausschießen oder schlicht an der praktischen Umsetzbarkeit scheitern. Es fehlt uns teilweise an der Berücksichtigung individueller Besonderheiten in Unternehmen. Man könnte die Anforderungen, so betiteln es unsere Cyber-Risk-Consultants, als „over-engineered“ bezeichen. Das soll nicht heißen, dass Anforderungen im Allgemeinen nicht sinnvoll sind; gerade die Versicherer kennen durch die Vielzahl der gemeldeten Schadenfälle die Angriffsvektoren sehr gut. Allerdings sind einige Anforderungen für Unternehmen schlicht finanziell oder personell nicht umsetzbar. Teils scheitert es auch an eigenem Know-how, sodass ein Rückgriff auf Dienstleister erforderlich wird. Das treibt die Kosten weiter in die Höhe. Aus diesen Gründen werden wir inzwischen vermehrt mit der Frage nach der Sinnhaftigkeit einer Cyber-Deckung konfrontiert. Hiermit kommen wir dann wieder auf den Anfang unseres Gespräches und die ganzheitliche Risikostrategie zu sprechen, innerhalb derer der Risikotransfer lediglich einen kleinen Baustein ausmacht.

Aus heutiger Sicht: Werden die Prämien vermutlich eher weiter steigen, oder mit zunehmender Durchdringung von Security-Maßnahmen in Unternehmen langfristig wieder sinken (inflationsbereinigt etc.)?

Wir sehen für die nahe Zukunft keine Umkehr des derzeitigen Trends zu weiteren Prämiensteigerungen. Allerdings gehen wir davon aus, dass im vergangenen Jahr der Höhepunkt der Anpassungen erreicht war und wir nun etwas moderatere Erhöhungen sehen werden. Eine Stabilität werden wir vermutlich – auch mit Blick auf das weiterhin sehr hohe Level an Schäden – in absehbarer Zeit nicht erreichen.

Sie denken über Cyber-Sicherheitsmaßnahmen nach? CyberCompare hat geprüfte Anbieter A wie Awareness bis Z wie Zero Trust im Portfolio und liefert Ihnen als unabhängiger Marktteilnehmer kostenfreie und unverbindliche Vergleichsangebote für Ihre IT, OT oder IoT. Sprechen Sie uns an (Mail an uns) oder testen Sie Ihr Cyberrisikoprofil mit unserer Diagnostik.

Übrigens: Der Artikel spiegelt unseren aktuellen Wissensstand wider – aber auch wir lernen jeden Tag dazu. Fehlen aus Ihrer Sicht wesentliche Aspekte, oder haben Sie eine andere Perspektive auf das Thema? Gerne diskutieren wir mit Ihnen und weiteren Experten in Ihrem Hause die gegenwärtigen Entwicklungen vertiefend und freuen uns über Ihr Feedback sowie Anfragen zu einem Austausch.

Und zuletzt noch: Nennungen (oder die fehlende Nennung) von Anbietern stellt keine Empfehlung seitens CyberCompare dar. Empfehlungen sind immer abhängig von der kundenindividuellen Situation.