Die Welt der Cyber-Versicherungen: Potentiale, Chancen und Schwierigkeiten

Philipp Seebohm

Philipp Seebohm ist Head of Sales Cyber-Solutions DACH bei Aon Deutschland. Im folgenden Interview gibt er Einblicke in seinen Werdegang und legt Potentiale und Chancen sowie Schwierigkeiten von Cyber-Versicherungen dar. Daran anknüpfend gibt Tipps, was bei Cyber-Policen beachtet werden sollte, und stellt eine Prognose zur Entwicklung von Prämien der Cyber-Versicherungen auf.

Philipp Seebohm, Head of Sales Cyber-Solutions DACH bei Aon

Lieber Herr Seebohm, können Sie uns etwas zu Ihrem Hintergrund erzählen?

Mit einem dualen Studium bin ich bei einem großen Industrie-Versicherungsmakler in die zauberhafte Welt der Industrieversicherung gestartet und habe schnell nach meinem Abschluss das aufkommende Thema Cyber für mich entdeckt. Über diverse Weiter- und Fortbildungen in den Bereichen Informationssicherheit, Datenschutz und Risikomanagement habe ich mich zunehmend, neben dem Thema Versicherbarkeit von Cyber-Risiken, mit technischen und organisatorischen Informationssicherheitsmaßnahmen beschäftigt. Seit November 2020 darf ich mich nun bei Aon für den Vertrieb von Beratungsdienstleistungen rund um das Thema Cyber-Risiken kümmern.

Gibt es eine Anekdote aus Ihrem Berufsleben, die bisher noch kaum jemand kennt?

Es müsste etwa 2016 gewesen sein, als das Thema Cyber-Versicherung immer noch recht frisch war. Da habe ich ein Unternehmen beraten, welches während des Beratungsgespräches Opfer eines Verschlüsselungstrojaners geworden ist. Ein sehr besorgter Mitarbeiter des Unternehmens hat den IT-Leiter dann aus dem Besprechungsraum geholt. Das Thema Schadenbeispiele konnten wir dann überspringen.

Wie sehen Sie den Markt für Cyber-Versicherungen – zurückblickend und aktuell?

Zurückblickend kommen bei mir fast schon nostalgische Gefühle auf. Natürlich war es rückblickend naiv, wie sich der Cyber-Versicherungsmarkt verhalten hat: Die Prämien waren extrem niedrig und eine Risikoprüfung kaum vorhanden. Die aktuellen Entwicklungen sehe ich jedoch auch zunehmend kritisch. Ordentliches Underwriting (also die Risikoprüfung) ist sicherlich sinnvoll und tragen mittelfristig zu einem erhöhten Sicherheitsniveau in der Breite bei. Die Kosten für Cyber-Versicherungen in Kombination mit teilweise vorgenommenen Deckungseinschränkungen insbesondere im Bereich Ransomware lassen jedoch teilweise Fragen nach der Sinnhaftigkeit der Deckung aufkommen.

Aon hat ja im Allgemeinen eher große Unternehmen als Kunden, typischerweise ab 500 Mio. EUR Jahresumsatz. Können große Unternehmen nicht einfach in technische und organisatorische Maßnahmen investieren und eventuelle Restrisiken selbst abfedern? Anders gefragt: Wie können sich Cyber-Versicherungen langfristig für beide Seiten lohnen?

Große Unternehmen könnten selbstverständlich auch häufig in Informationssicherheit investieren, doch auch das Risikopotential ist bei diesen Unternehmen deutlich höher als bei kleinen Unternehmen. Vor einigen Gefahren, welche z. B. im Zuge von Zero-Day-Exploits aufkommen, können sich Unternehmen schwer schützen, die Folgen sind jedoch häufig gravierend. Schäden von mehreren 10 Millionen € sind auch für viele große Unternehmen ein beachtliches Schadenpotential.

Zu welchen Präventionsmaßnahmen würden Sie insbesondere produzierenden Unternehmen raten?

In der aktuell sehr angespannten Sicherheitslage halte ich das Thema Reaktion für besonders wichtig. Dies geht von organisatorischen Übungen (z. B. in Form von Tabletop-Übungen), über die Erstellung von Playbooks bis hin zu geeigneten Disaster Recovery Maßnahmen.

Welche technischen Entwicklungen im Bereich Cyber Security finden Sie besonders interessant?

Ich finde die Themen rund um KI-basierter Anomalie-Erkennung mit autonomer Reaktion auf Vorfälle sehr spannend. In ein paar Jahren können so ggf. auch viele kleinere und mittelständische Unternehmen ihre Informationssicherheit deutlich verbessern.

Gibt es Branchen oder Arten von Unternehmen, die besonders schwierig versicherbar sind?

Unternehmen auf dem Krypto-Bereich, Airlines und Unternehmen, welche sehr viele Kreditkartendaten verarbeiten (PCI-Daten), lassen sich kaum noch platzieren.

Gibt es zwei bis drei Aspekte, die nicht völlig offenkundig sind, auf die Unternehmen bei Cyber-Policen aber achten sollten? Was sind vielleicht Tricks und Kniffe?

  • Den Notfallplan nicht nur auf dem Fileserver liegen lassen, sondern auch ausdrucken.
  • Die ordentliche Implementierung und Anwendung von technischen (und organisatorischen) Maßnahmen z. B. bei Tochtergesellschaften im In- und Ausland sollten unbedingt auditiert werden. Durch die häufig starke Vernetzung reicht eine Schwachstelle dort, um die Informationssicherheit im ganzen Unternehmen zu gefährden.

Stimmt es, dass Versicherungen im Schadensfall nicht bezahlen, wenn z. B. bestimmte Maßnahmen nicht rechtzeitig durchgeführt wurden oder im Vorfeld falsche Angaben über die IT gemacht wurden?

Es gibt solche Fälle ja, diese sind jedoch eher die Ausnahme. Insbesondere organisatorische Maßnahmen lassen sich nicht binär in einem Ja/Nein Fragebogen darstellen. Wir stellen unseren Kunden daher ein Assessment mit einer Reifegradauswahl und Kommentarmöglichkeit bereit oder führen einen Risikodialog durch, um die Maßnahmen möglichst realitätsnah aufzunehmen und eine potenzielle Verletzung der vorvertraglichen Anzeigepflichten zu vermeiden.

Gibt es sonstige Falschaussagen oder Halbwahrheiten, denen Sie oft auch von Experten begegnen?

Es ärgert mich sehr, wenn die Cyber-Versicherung als eine Eierlegende-Wollmilch-Sau für Cyber-Risiken angeboten wird. Dies führt mittelfristig nur zu Enttäuschungen und Fehlinvestitionen. Die Maßnahmen zur Vermeidung der Risiken sind wichtiger als der Bilanzschutz durch eine Versicherung. Es lassen sich auch nicht alle Cyber-Risiken über eine Versicherung transferieren, hier muss man genau hinschauen und analysieren was sinnvoll und möglich ist.

Aus heutiger Sicht: Werden die Prämien vermutlich eher weiter steigen, oder mit zunehmender Durchdringung von Security-Maßnahmen in Unternehmen langfristig wieder sinken (inflationsbereinigt etc.)?

Kurzfristig rechne ich leider nicht mit einer deutlichen Entspannung, insbesondere die Kapazitäten für Grundverträge sind weiterhin sehr knapp und daher teuer. Durch den Markteintritt einiger neuer Risikoträger im Exzedenten-Bereich könnte es hier zumindest zu einer Stabilisierung kommen. Ich hoffe sehr, dass die Prämiensteigerungen ein baldiges Ende finden und der Markt sein Gleichgewicht findet. Wir haben hierzu erst kürzlich einen umfangreichen Report veröffentlicht:  Cover – E&O and Cyber Market Review (aon.com).

Sie denken über Cyber-Sicherheitsmaßnahmen nach? CyberCompare hat geprüfte Anbieter A wie Awareness bis Z wie Zero Trust im Portfolio und liefert Ihnen als unabhängiger Marktteilnehmer kostenfreie und unverbindliche Vergleichsangebote für Ihre IT, OT oder IoT. Sprechen Sie uns an (Mail an uns) oder testen Sie Ihr Cyberrisikoprofil mit unserer Diagnostik.

Übrigens: Der Artikel spiegelt unseren aktuellen Wissensstand wider – aber auch wir lernen jeden Tag dazu. Fehlen aus Ihrer Sicht wesentliche Aspekte, oder haben Sie eine andere Perspektive auf das Thema? Gerne diskutieren wir mit Ihnen und weiteren Experten in Ihrem Hause die gegenwärtigen Entwicklungen vertiefend und freuen uns über Ihr Feedback sowie Anfragen zu einem Austausch.

Und zuletzt noch: Nennungen (oder die fehlende Nennung) von Anbietern stellt keine Empfehlung seitens CyberCompare dar. Empfehlungen sind immer abhängig von der kundenindividuellen Situation.