Interview mit Dr. Sven Erichsen, Non-Executive Director, Finlex GmbH, und Achim Fischer-Erdsiek, Geschäftsführender Gesellschafter, NW ProRisk
Herr Dr. Erichsen, wie sind Sie zur Cyberversicherung gekommen?
Dr. Sven Erichsen Für mich war eine Warnung des Bundesamtes für Sicherheit in der Informationstechnik (BSI) ein prägendes Erlebnis. Darin hieß es Ende 2013, dass plötzlich 15 Millionen Adressen im Darknet stünden. Man war aufgerufen, zu prüfen, ob die eigene Adresse dabei sei. Das war für mich der Augenöffner.
Herr Fischer-Erdsiek, wie sind Sie zur Sparte Cyber gekommen?
Achim Fischer-Erdsiek Die Beschäftigung mit Cyber basiert auf meiner früheren Beschäftigung bei Siemens Nixdorf. Es war klar, dass das Internet immer mehr den Alltag durchdringen wird. Das bedeutete zugleich, dass die Risiken im Zusammenhang mit dieser Digitalisierung weiter wachsen werden. Mir drängte sich die Frage geradezu auf: Gibt es dazu Versicherungsschutz? Und so bin ich dann zu Cyber gekommen.
Sie beide gelten als Pioniere im Markt von Cyberversicherungen. Seit wann gibt es Cyberversicherungen auf dem deutschen Markt und wie hat sich die Sparte weiterentwickelt?
SE Cyberversicherungen kommen aus der USA und haben sich aus der Vermögensschadenhaftpflicht für IT-Risiken heraus seit etwa dem Jahr 2000 entwickelt. Deshalb haben auch US-amerikanische Versicherer wie Hiscox und AIG die Produkte ab 2011 auf den deutschen Markt gebracht. Man sah hier schnell, dass die Cyberversicherung eine interessante Produktsparte werden könnte. Seit 2015 bieten auch die europäischen und deutschen Versicherer die Zeichnung von Cyberrisiken an.
AFE Sven und ich haben uns bereits Anfang der 2010er-Jahre beim Bundesverband Deutscher Versicherungsmakler e. V. (BDVM) getroffen. Dort hatten wir – das dürfte 2013 oder 2014 gewesen sein – einen Cyberworkshop gegründet. Wir waren damals eine kleine, verrückte Truppe. Und wir diskutierten zum damaligen Zeitpunkt leidenschaftlich, ob eine Vertrauensschadenversicherung bei Cyberrisiken überhaupt genügen würde. Kurz darauf erschien in AssCompact ein wirklich legendärer Artikel, worin Sven und ich das Thema Cyberrisikobewertung auf Basis von VdS entwickelt haben. Diese Systematik – und darauf lege ich großen Wert – basiert auf den Erfahrungen und Einschätzungen von Sven und mir. Und wir sind nach wie vor der Meinung, dass der VdS Quick Check und die VdS-Richtlinie 10000 tragfähige Lösungsansätze zur Bewertung des IT-Sicherheitstandes eines Unternehmens sind. Auch wenn es vonseiten der Versicherungswirtschaft nicht richtig unterstützt wurde. Seither hat sich der Markt für Cyberversicherungen hierzulande enorm entwickelt.
Apropos VdS: Warum findet die Systematik aufseiten der Versicherungswirtschaft vergleichsweise wenig Aufmerksamkeit?
AFE Ich möchte differenzieren: VdS findet Aufmerksamkeit bei den Unternehmen, nur bei den Versicherern findet die Systematik weniger Gehör. Das lässt sich schon allein daran ablesen, dass die zwei VdS-Schulungen, die es für Versicherer gibt, seit Jahren regelmäßig ausfallen. Das ändert sich angesichts des gegenwärtigen Geschehens bei Cyber. VdS gewinnt in den Gesprächen, die ich mit den Versicherern führe, neue Bedeutung.
Sie beide haben in Beiträgen und Interviews – auch für AssCompact – schon vor Jahren von Schadenquoten und mitunter steigenden Prämien gesprochen. Was ist denn in der heutigen Situation anders als zuvor?
SE In den Jahren vor 2018 war Cyber ganz frisch im Markt. Kaum einer kannte Cyberversicherungen und wir waren Übersetzer des Risikos und der Versicherungslösungen für unsere Kunden. Die Makler haben so erst Vertrauen geschöpft, Risiko und Versicherungslösungen bei ihren Kunden regelmäßig anzusprechen. Nicht zuletzt mit der zunehmenden Digitalisierung nahm die Zahl der Anfragen stark zu, oft folgten Abschlüsse aber erst nach einiger Zeit. Die Prämien gingen sogar tendenziell nach unten und die Deckung hat sich erweitert. Es gab anfangs auch kaum Schäden. Das änderte sich ab Mitte des Jahres 2020 abrupt.
Wie aus dem Nichts kam eine Welle großer Ransomware-Angriffe auf Unternehmen, die seitdem anhält und große Schadenvolumina verursacht. Kein Versicherer hatte das in diesem Umfang in seinen Büchern abgebildet, sodass alle Versicherer negative Zahlen berichten mussten. Die Folge: Die Versicherer sanieren sich seit Ende 2021 in massivem Umfang, die internationalen Versicherer bereits seit Ende 2020.
AFE In der Versicherungswirtschaft gelangen Schäden dann in die Bücher, wenn Risikoschutz abgeschlossen wird. Das ist der Hebel. In den zurückliegenden Jahren gab es ein enormes Wachstum bei Cyberpolicen. Die Dynamik kann man beim Gesamtverband der Deutschen Versicherungswirtschaft e. V. (GDV) nachlesen. Jetzt mehren sich die Schäden und die Versicherer gucken auf ihre Verträge und merken: Hoppla, da haben wir wohl die Risiken nicht genau genug bewertet. Ihre Reaktion: harte Sanierungswellen in Form höherer Prämien und Selbstbehalte sowie verschärfte Versicherungsbedingungen. Im Bereich der Renewals gibt es mittlerweile Fragebögen der Versicherer, die es wirklich in sich haben. Der Versicherer stellt explizit technische Fragen, wo so manches Unternehmen an seine Grenzen gelangt. Und damit werden wir Makler uns bis weit ins neue Jahr beschäftigen.
SE Wobei wir von einer Sanierungswelle sprechen, die ich in dem Umfang seit den Terroranschlägen vom 11.09.2001 in den USA nicht erlebt habe. Eine Prämiensteigerung von 50% war fast üblich. Ich hatte Kunden, die sahen sich mit Erhöhungen von 300% konfrontiert.
Beruht die aktuelle Sanierungswelle bei den Versicherern auf einem daraus resultierenden Lerneffekt?
SE Ja, sicher. Die Versicherer haben aus den Schäden gelernt. Ohne Sicherheitsmaßnahmen bekommt heute keiner mehr eine Cyberversicherung. Das ist wie in der Feuerversicherung: Ohne Sprinkleranlage gibt es meist keinen Risikoschutz. Hierin liegt die wesentliche Veränderung im Markt. Parallel dazu haben die Versicherer die Beschäftigten in den Cyberabteilungen inzwischen deutlich besser ausgebildet und die Risikobewertung wurde erheblich verbessert. Langsam bildet sich ein Katalog an Sicherheitsmaßnahmen heraus. Ich bin überzeugt, dass dadurch viele Kunden vor hohen Cyberschäden bewahrt worden sind, was eine segensreiche Entwicklung ist.
AFE Das ist die neue Rolle der Versicherungswirtschaft. Nicht nur Risikoträger sein, sondern auch präventiv tätig werden. Die Versicherungswirtschaft muss den Geschäftsführer eines Unternehmens in die Lage versetzen, sein Cyberrisiko umfangreich zu verstehen. Denn dieses Risiko ist existenzgefährdend. Grundsätzlich geht IT-Sicherheit vor und erst danach kommt der Abschluss einer Cyberversicherung. Denn im Falle eines Leistungsfalls ist der Schaden bereits entstanden. Wenn ich an dieser Stelle Dr. Grund, Executive Director bei der BaFin, zitieren darf: „Der Versicherungswirtschaft fehlt die Cyber-Underwriting-Intelligenz, die Erfahrung in der Bewertung von IT-Risiken.“
Um komplexe Risikosituationen bewertbar zu machen, setzt NW ProRisk vermehrt auf unsere über die Jahre entwickelten und durch unsere eigene Beratungsfirma durchgeführten IT-Sicherheitsaudits. Die Ergebnisse wie eine IT-Sicherheits-Roadmap stellen für die Unternehmen vielfach den Weg in die Versicherbarkeit dar. Unsere Systematik ist mit den Fragebögen aller wesentlichen Cyberversicherer abgestimmt. Zur schnellen Umsetzung der Roadmap bieten meine IT-Kollegen auch intensive Unterstützung an. Erst kürzlich war einer unserer Kunden von einem Angriff betroffen. Hätte es den vor zwei Monaten erwischt, hätte es ihn weggepustet. Mit Audit war er bereits gut aufgestellt und wusste, welche Maßnahmen einzuleiten waren.
Wie gehen die Unternehmen damit um, dass es zur Erfüllung der „Hausaufgaben“ des Versicherers womöglich zu viel Zeit braucht und die Cyberversicherung zu spät gezeichnet wird?
AFE Im durchschnittlich produzierenden Mittelstand kommt man in der Regel immer wieder auf die gleichen Problemstellungen zurück. Mit entsprechenden Dienstleistern sind die relativ einfach behebbar. Ein Beispiel: Das Thema Datensicherheit steht und fällt im Schadenfall mit dem Schutz des Active Directory – dem Verzeichnisdienst von Microsoft für Windows-Netzwerke. Dessen Optimierung ist an einem Nachmittag gut lösbar. Aber ja, die Unternehmen müssen Hausaufgaben machen, um die Zeichnungsvoraussetzungen zu erfüllen. Und je schneller, desto besser.
SE Grundsätzlich bleiben die Versicherer aber hart. Wer die Voraussetzungen nicht erfüllt, bekommt keinen Risikoschutz. Oft wird auch der bestehende Versicherungsschutz nicht weitergeführt. Was dann noch helfen kann, sind zeitlich befristete Anforderungen wie zum Beispiel die Umsetzung von Awareness-Trainings oder eines Notfallplanes innerhalb von sechs Monaten. Das kann Teil des Versicherungsschutzes sein.
Wir als Cybermakler mussten uns angewöhnen, dem Kunden sehr klare Ansagen zu machen. Ganz nach dem Motto: „So können Sie nicht weitermachen!“ Aber bei Cyber kehrt die Versicherungswirtschaft wieder in ihre ureigenste Rolle zurück. Das kann für Kunden schmerzhaft sein, aber nur folgerichtig, wenn sie ihre Absicherung erhöhen wollen.
AFE Diese Rolle wird von den Unternehmen sehr gut akzeptiert. Wir haben mittlerweile die gleiche Interessenlage. Der beste Schaden ist der, der nicht eintritt. Ein uralter Spruch, aber wahr. Für Industriemakler ist Cyber mehr denn je eine qualifizierte Eintrittssparte.
Cyberattacken unterliegen fortwährenden Veränderungen, Cyberkriminelle passen sich schnell an. Inwiefern hält der Versicherungsschutz mit dieser Dynamik Schritt?
SE Ich hätte eigentlich gedacht, dass die Kriminalität dynamischer ist. Im Grunde sind es aber weiter die gleichen Methoden, die gleichen Schädlinge und die gleichen Arten. Ich glaube auch, dass die Anzahl der Schäden 2022 nicht mehr so stark gewachsen ist. Man kann sich also gut schützen.
AFE Das kann ich so nicht bestätigen. In Summe nehme ich deutlich mehr Probleme wahr, die außerdem stetig schneller kommen. Insbesondere was die Komplexität bei Zugang und Durchführung einer Cyberattacke betrifft. Da gibt es neue technische Entwicklungen, die noch mal ganz neue Herausforderungen bedeuten. Sicher, die Entwicklungen repräsentieren heute noch nicht die Masse. Und bei den Massenangriffen hat sich tatsächlich nicht allzu viel Neues getan. Was aber heute neu ist, kann nächstes Jahr bei den Cyberbanden schon Standard sein. Das geht rasend schnell. Und ja, die Hacker professionalisieren sich, was Schadsoftware oder die Unterstützung durch Dienstleister angeht.
Wie schwer ist es denn momentan für ein Unternehmen, Deckungskapazität von einem Versicherer aus einer Hand zu bekommen?
SE Das hängt von der Unternehmensgröße ab. Die meisten Versicherer stellen nur noch eine Deckungskapazität von 5 Mio. Euro zur Verfügung. Diese Deckung reicht für Umsatzgrößen ab 30 oder 40 Mio. nicht aus. Für uns Makler wird es dann mühsam, größere Deckungsstrecken zu besorgen. In einem Fall haben wir in einem Versicherungsprogramm 16 Versicherer. Das ist administrativ ein großer Aufwand und treibt natürlich die Kosten.
AFE Ja, ab etwa 25 Mio. Euro Umsatz wird es schwierig mit Antragsmodellen oder schlanker Bearbeitung. Dann muss ich als Makler auf die Fragebögen der Versicherer oder auf die Möglichkeit eines Audits zusammen mit einem Versicherer umschwenken.
Wie gelingt in solchen Fällen eine Vereinheitlichung der Risikobewertung?
AFE Die Vereinheitlichung ist mühsamer geworden. Verwendet man Fragebögen, kommt man schnell auf deutlich über hundert Fragen – plus Zusatzfragen von jedem Versicherer. Den größten gemeinsamen Nenner zwischen den Anbietern ermitteln wir bei NW ProRisk durch Automatisierung. Aber dann muss man in einem solchen Programm verhandeln: Welcher Versicherer folgt wem?
Wie entwickelt sich wiederum die Nachfrage nach Cyberversicherungen?
SE Seit zwei Jahren steigt die Nachfrage massiv an. Aber auch davor hatten wir bereits eine starke Wachstumskurve.
AFE Das ist auch meine Erfahrung: Die Nachfrage steigt stetig. Der Punkt für Makler ist vielmehr: Wie viele meiner Beratungen bekomme ich auch in die Bücher? Denn das zählt am Ende des Tages. Durch die verschärften Zeichnungsvoraussetzungen der Versicherer ist der Abschluss einer Police ein Stück weit unsicherer geworden. Zieht das Unternehmen bzw. der Geschäftsführer das wirklich bis zum Schluss durch? Der Abschlussprozess einer Cyberversicherung hat sich im Vergleich zu früher durch die Erfüllung der Hausaufgaben spürbar verlängert.
SE Was aber meiner Meinung nach nicht bedeutet, dass sich der Prozess zwischen Anbahnung und Abschluss zeitlich verlängert hat. Früher haben die Unternehmer viel länger überlegt, ob sie eine Cyberpolice überhaupt benötigen. Heute ist das vielen sofort klar. Als Makler müssen wir deutlich weniger Aufklärungsarbeit leisten. Dafür hat sich die Phase der Informationssammlung zur Zeichnung der Police allerdings erheblich verlängert.
Gibt es Unternehmen, die sich auch gegen eine Cyberversicherung entscheiden?
SE Ja, definitiv. Dafür gibt es zwei Gründe. Die einen sagen: „Wir sind so gut aufgestellt. Wir können von größeren Schäden gar nicht betroffen sein.“ Das ist allerdings häufig ein Trugschluss. Für andere ist die Cyberpolice einfach zu teuer. Da passt die geforderte Prämie nicht zur Deckungssumme.
AFE Wieder andere Unternehmen haben eine derart starke Eigenkapitalausstattung, dass sie Schadenfälle in Millionenhöhe auch ohne Risikoschutz schultern können.
Mit Blick auf die Schäden werden Ransomware-Angriffe in der Branche gegenwärtig besonders viel diskutiert. Wie schätzen Sie beide diese Attacken ein?
AFE Das Thema Erpressung hat sich ein wenig egalisiert. Wenn man nämlich einen pfiffigen Forensiker hat, dann recherchiert dieser vergleichsweise schnell, aus welchem Land oder aus welcher Region die Schadsoftware mit hoher Wahrscheinlichkeit kommt. Und häufig stößt der Forensiker dabei momentan auf kyrillische Schriftzeichen. Eine Lösegeldzahlung wäre in diesem Fall für das Unternehmen nämlich seit Beginn des Ukraine-Krieges mit Sanktionen verbunden. Meines Wissens ist kein Geschäftsführer aktuell bereit, Banden im kyrillischen Sprachraum Kryptowährungen zu überweisen. Daher ist meiner Ansicht nach die Zahl der Lösegeldzahlungen faktisch sehr stark zurückgegangen. Ich hatte jetzt drei Fälle, wo genau diese Situation eingetreten ist. Auch wenn das für die von Erpressung betroffenen Unternehmen sehr unangenehm wird, lassen diejenigen die Finger davon.
Was bringt denn eine Lösegeldzahlung überhaupt?
SE Sie bringt nicht wirklich viel. Das Unternehmen muss ja trotzdem all die Maßnahmen ergreifen, um sein IT-System wieder ohne Einschränkungen nutzen zu können. Und wahrscheinlich hat ein betroffener Betrieb bei der Zahlung von Lösegeld sogar höhere Gesamtaufwendungen, weil er zwei Systeme aufsetzen muss: das alte System, das entschlüsselt wurde, und das neue System, das es dann einfach braucht. Die Zahlung bewirkt höchstens eine zeitliche Beschleunigung der Wiederherstellung von Teilen des Systems.
AFE In unseren Beratungsgesprächen mit dem Kunden besitzt das Thema „Notfallplan“ eine entscheidende Bedeutung. Bevor es überhaupt zu einem Angriff kommt, ist es wichtig, über Themen wie den Umgang mit Lösegeldforderungen zu sprechen. In unseren Workshops kommen die Beteiligten immer zur Ansicht, kein Lösegeld zu zahlen. Im Schadenfall sind Nervosität und Blutdruck viel zu weit oben, um diese Diskussion zu führen, geschweige denn eine sachlich abgewogene Entscheidung zu treffen. Dann hilft es ungemein, wenn man einen Notfallplan in der Hinterhand hat, der sich auf das Wesentliche konzentriert: die Wiederherstellung des IT-Systems.
Über Dr. Sven Erichsen
Dr. Sven Erichsen ist Non-Executive Director bei der Finlex GmbH, einem InsurTech mit Sitz in Frankfurt am Main. Seine Karriere begann der studierte Jurist beim Industriemakler Aon, wo er für den Bereich Versicherermanagement tätig war und bis in die Geschäftsführung aufgestiegen ist. Im März 2014 gründete er einen eigenen Spezialmakler für Cyberversicherungen namens Erichsen GmbH. Im Mai 2022 übernahm die Finlex GmbH schließlich die Erichsen GmbH.
Über Achim Fischer-Erdsiek
Achim Fischer-Erdsiek ist Geschäftsführender Gesellschafter bei NW ProRisk. Seine beruflichen Wurzeln hat er in der IT-Branche. Dort war Achim Fischer-Erdsiek zunächst bei Siemens Nixdorf Informationssysteme AG beschäftigt, bevor er 1994 Geschäftsführer beim Versicherungsmakler Dr. Schmidt & Erdsiek Gruppe wurde. 2014 gründete er die ProRisk Gesellschaft für Risikomanagement mbH, die sich seit Oktober 2015 als NW ProRisk unter dem Dach der Nordwest Assekuranzmakler GmbH & Co. KG befindet. NW ProRisk ist spezialisiert auf IT-Sicherheit und Cyberversicherungen.
Dieses Interview lesen Sie auch in AssCompact 01/2023, S. 36 ff., und in unserem ePaper.
Bild: © Dr. Sven Erichsen, Finlex GmbH, und Achim Fischer-Erdsiek, NW ProRisk, bzw. lumerb – stock.adobe.com
- Anmelden, um Kommentare verfassen zu können