Eine Cyber-Versicherung allein reicht nicht

Interview mit Meike Röllecke, Head of Cyber & Financial Lines Underwriting, HDI Global

Cyber-Angriffe nehmen immer mehr zu. Beim Risikomanagement empfiehlt sich eine Kombination aus Vorsichtsmaßnahmen und Versicherungsschutz.

Es häufen sich die Meldungen über Cyberattacken. Immer mehr deutsche Unternehmen, sind betroffen. Ist das nach Ihrer Einschätzung ein allgemeiner Trend oder liegt es auch an neuen russischen Attacken im Umfeld des Ukraine Krieges?

Aus meiner Sicht handelt es sich hierbei, um einen allgemeinen Trend, der durch unterschiedliche Themen getrieben ist, sicherlich auch durch den russischen Angriffskrieg gegen die Ukraine, aber beispielsweise auch durch die zunehmende Digitalisierung, Corona und vermehrtes Arbeiten im Homeoffice. Auch rechtliche Änderungen wie die DSGVO oder die NIS-Richtlinie spielen eine Rolle.

Lassen sich geopolitische Verwerfungen wie der Ukraine-Krieg mit den bisherigen Risikomodellen der Versicherungen überhaupt erfassen?

Ein Krieg ist immer eine Ausnahmesituation. Seine Auswirkungen lassen sich nur schwer bis gar nicht versichern oder mit Risikomodellen adäquat abbilden. Genau aus diesem Grund schließen wir in der Cyber-Versicherung das Thema Krieg bewusst aus. Hierbei handelt es sich um ein Schadenpotenzial, das auf nationaler oder sogar europäischer Ebene politisch und gesellschaftlich angegangen werden muss, zum Beispiel in Form von Poollösungen. Aus Risikosicht gilt für solche Szenarien aber Ähnliches wie für das allgemeine Cyberrisiko – es gibt inzwischen bestimmte Cyber Security Maßnahmen, die sich in der aktuellen Lage als vielversprechend herauskristallisiert haben wie bspw. Multifaktor-Authentifizierung, Netzwerksegmentierung und -separierung, Offline-Backups, etc.  Diese können auch im Umfeld eines Cyberkriegs hilfreich sein. Daher gilt, dass Unternehmen sich zunehmend mit dem Thema Cyber Security beschäftigen und entsprechende Maßnahmen ergreifen sollten.

Die Unternehmen sind durch die Digitalisierung, die Vernetzung ihrer Anlagen und Daten, anfälliger für Cyberangriffe geworden. Die Schäden eines einzelnen Angriffs werden damit immer höher. Wie können Versicherungen diese Gefahrenlage richtig einschätzen?

Wir verschaffen uns auf Basis der Informationen, die wir im Rahmen des Underwriting-Prozesses von unseren Kunden erhalten, einen Überblick über mögliche Vernetzungen. Deshalb ist es auch notwendig, dass wir entsprechende Informationen über die Art und Weise, die Anzahl und Komplexität der Vernetzungen erhalten, um daraus Maßnahmen und Empfehlungen für unsere Versicherungsnehmer ableiten zu können.

Bauen die Unternehmen nach Ihrer Erfahrung ihr eigenes betriebsinternes Cyberrisikomanagement ausreichend auf?

Wir sehen, dass sich die Unternehmen zunehmend dem Cyber Security Thema widmen und mehr und mehr sensibilisiert sind. Leider ist das Cyberrisikomanagement jedoch oft noch nicht ausreichend. Viele Unternehmen denken, dass der Abschluss einer Cyberversicherung ausreichend ist und selbst bereits eine Risikominderung darstellt. Letztlich ist es aber die Kombination aus Risikominderung durch vom Unternehmen ergriffene Maßnahmen mit dem Risikotransfer in eine Versicherung. Klar ist aber, dass die Cyber-Versicherung für die Absicherung von Worst Case Szenarien ist und zusätzlich interne Maßnahmen getroffen werden müssen, um die Schadenfrequenz zu reduzieren. Wir als HDI Global unterstützen unsere Kunden gerne, z.B. in Form von Value Added Services, bei dem Aufbau eines ganzheitlichen Cyberrisikomanagements.

Für die Unternehmen ist es schwieriger geworden, die gewünschte Deckung zu bekommen. Sind Cyberattacken auch in Zukunft noch ein versicherbares Risiko?

Aus meiner Sicht wird Cyber auch in der Zukunft ein versicherbares Risiko sein. Hierfür müssen Industrieversicherer und Unternehmen jedoch gemeinsam daran arbeiten, die Risikoabwehr in den Unternehmen zu verbessern, damit die Unternehmen bereits durch interne Maßnahmen bestmöglich gegen Cyberangriffe gewappnet sind. Ähnlich wie in der Feuerversicherung vor vielen Jahren – dort waren es auch die Versicherungsunternehmen, die Brandschutzmaßnahmen wesentlich getrieben haben. Mit neuen Mindestanforderungen können wir eine Versicherbarkeit auch weiterhin sicherstellen. Nichtsdestotrotz sollten aus meiner Sicht – ähnlich wie Brandschutzmaßnahmen – Maßnahmen im Bereich Cyber Security auch allgemein geregelt werden.

Wie sieht nach Ihrer Einschätzung die Zukunft der Cyber Versicherung aus?

Nach meinen heutigen Kenntnissen gehe ich davon aus, dass sich in den nächsten Jahren durch die aktuellen Entwicklungen ein gewisser Marktstandard herauskristallisieren wird, insbesondere im Bereich Bedingungen und Versicherungssummen. Wir werden sicherlich weiterhin Prämienerhöhungen sehen. Absehbar ist außerdem, dass Cyber Security und die Cyberversicherung eine sich stetig wandelnde Herausforderung für Unternehmen und ihre Versicherer bleiben werden, weil sich das Umfeld einfach sehr schnell ändert.

Die Fragen stellte Sabine Haupt