Herr Fischer-Erdsiek, können Sie in kurzen Worten beschreiben, wie es um die Cyberversicherung in Deutschland steht?
Die Versicherungswirtschaft, aber auch die Unternehmen sind in der digitalen Realität angekommen. IT-Sicherheit hat sich zu einer definierten Managementaufgabe entwickelt. Die Cyberversicherung ist auf dem Weg von einer optionalen zu einer unabdingbaren Risikotransferlösung.
Die steigende Anzahl erfolgreicher Cyberangriffe auf Unternehmen führt derzeit in der Cybersparte zu hohen Schadenzahlungen. Die Versicherer erkennen durch die hohen Schadenquoten schmerzhaft, dass ihre bisherige Zeichnungspolitik der Komplexität einer IT-Infrastruktur nicht gerecht wird. Derzeit versuchen die Versicherer, dies zu korrigieren. Der Bedarf auf der Kundenseite ist stark angestiegen, die Risiken der Digitalisierung werden von den Unternehmen als existenzbedrohend akzeptiert. Auch das Thema Haftung der Geschäftsleitung bei mangelhafter IT-Sicherheit, Stichwort Organisationsverschulden, ist verinnerlicht.
Zuletzt ging es vor allem um höhere Prämien und geringere Kapazitäten. Die Industrie ist sauer. Zu Recht?
Nicht nur höhere Prämien und geringere Kapazitäten, auch Zeichnungseinschränkungen ab bestimmten Umsatzgrößen oder für bestimmte Branchen bestimmen das Tagesgeschäft, das sind gravierende Einschränkungen auf der Angebotsseite. Natürlich sind das keine guten Botschaften an die Industrie – die reflexartige, undifferenzierte Verhärtung des Marktes ist kaum kommunizierbar. Der Unmut ist insbesondere bei Bestandskunden groß. Im Neugeschäft stoßen wir mit dem Ansatz „Cyberversicherungsschutz nur bei guter IT-Sicherheit“ auf Verständnis.
Der aktuelle Fokus richtet sich also auf Prävention. Ist die Branche hier gewappnet?
Nein, die Versicherungsbranche verfügt bei der Risikobewertung, im Underwriting, aber auch in der Kundenberatung und beim Schadenmanagement über viel zu geringe qualifizierte Mitarbeiterkapazitäten.
Hinzu kommt, dass es in der Versicherungswirtschaft keinen einheitlichen IT-Sicherheitsbewertungsstandard gibt, der die aktuelle Cyberrisikosituation akzeptabel, das heißt in einer notwendigen Tiefe, abbildet. Die mittelständischen Unternehmen sind bereit, ihre IT-Sicherheit zu verbessern, und sehen eine Cyberversicherung als die zweite Verteidigungslinie.
Die Versicherungsbranche könnte mit einem allgemeingültigen IT-Sicherheitsstandard, analog zu den VdS-Richtlinien in der Feuer-Versicherung, im eigenen Interesse einen echten Mehrwert für die IT-Sicherheit liefern. Hierzu hatten wir schon 2015 einen Beitrag in AssCompact.
Mit dem VdS-Check und dem VdS-Sicherheitsmanagement gibt es bereits Systeme für die Prüfung und für die Zertifizierung von Cybersicherheit auch in mittelständischen Unternehmen. Sie arbeiten damit – mit welchem Ergebnis?
Der VdS Quick Check ist bei fast allen unserer Beratungsgespräche als Einstieg gesetzt. Verfügt das Unternehmen über Branchen- oder ISO-Zertifizierungen, setzen wir natürlich gern auch darauf auf. Wir entwickeln auf Basis der Informationen einen IT-Sicherheitsleitfaden, den die Unternehmen mit ihren IT-Systemhäusern oder mit unseren IT-Partnern in Angriff nehmen und ihre IT-Sicherheit damit deutlich verbessern und versicherbar bleiben oder werden. Die Bereitschaft der Unternehmen, sich bis zur VdS-10000-Zertifizierung zu entwickeln, ist deutlich gestiegen.
Unser Vorteil als langjähriger Cyberversicherungsmakler liegt in unserer belastbar bezifferbaren Schadenerfahrung mit den Ursachen und wirtschaftlichen Auswirkungen eines Cyberangriffs. Das macht uns gegenüber den Unternehmen in unserer Argumentation zu Versicherungsschutz und notwendigen hohen Investitionen, die in den kommenden Jahren personell und technisch in IT-Sicherheit getätigt werden müssen, verständlich und bietet Orientierung.
Sie würden sich wünschen, dass mehr Makler und Unternehmen darauf zurückgreifen würden. Warum passiert dies nicht?
Derzeit gibt es viele IT-Sicherheitschecks und -scans, jeder Versicherer bietet ein Tool, längere Fragebögen oder Risikogespräche mit externen Experten. Als Makler ist es schwierig, den Überblick zu behalten. Der VdS hat bereit 2015 erkannt, dass die IT-Sicherheit „der Brandschutz des 21. Jahrhunderts“ ist. Cyberversicherung wurde oder wird als „Verkaufssparte“ gesehen. Viele VdS-Seminare mussten wegen zu geringer Anmeldungen in der Vergangenheit abgesagt werden. Das spricht Bände. Gut gebucht waren die Cyberseminare des BDVM, das wiederum macht Hoffnung.
Dringend notwendig ist eine Einigung der Versicherungswirtschaft und des GDV auf die VdS-10000-Systematik als Branchenstandard. Wichtig ist dann auch eine deutliche Unterstützung für deren dringend notwendige Weiterentwicklung. Die Makler und die Unternehmen wären sicherlich erleichtert und würden bzw. müssten auf diesen Standard zurückgreifen.
Seite 1 „Wir haben bei IT-Sicherheit und Cyberversicherung eine Verantwortung“
Seite 2 Inwieweit hat die Corona-Pandemie die Situation verändert?
- Anmelden, um Kommentare verfassen zu können