„Eine Cyber-Versicherung ist gleichzeitig ein Gütesiegel für IT-Sicherheit“
Wie schätzen Sie die Versicherbarkeit von Cyber-Risiken Stand heute ein?
Cyber-Risiken sind versicherbar unter der Voraussetzung einiger Einschränkungen, die notwendig sind, damit die Branche nachhaltig Lösungen für den Risikotransfer anbieten kann. Schäden, die durch Krieg und Infrastrukturausfälle entstehen sind Beispiele für nicht versicherbare Ereignisse. Die große Herausforderung für den Cyber-Versicherungsmarkt besteht in der Frage, wie man mit extremen Kumulrisiken außerhalb dieser Bereiche umgehen kann sowie in der raschen Veränderung der Cyber-Bedrohungslandschaft als generelle Eigenschaft der zunehmenden Digitalisierung. Ein Großteil der Debatte zur Cyberversicherung konzentriert sich derzeit auf die Prämienhöhen. Aus unserer Sicht muss der Cyber-Markt auch die Voraussetzungen in Betracht ziehen, unter denen es der Versicherungsbranche möglich ist, Cyber-Deckungen nachhaltig anzubieten.
Was sollte bei dieser Diskussion Ihres Erachtens im Vordergrund stehen?
Die eigentliche Frage ist unseres Erachtens, inwieweit Kumulrisiken kontrolliert werden können oder nicht. Wir müssen die Sicht der Experten für die Kumulrisiken in den Vordergrund stellen und verbesserte Modellierungsmöglichkeiten entwickeln. Der Markt macht in diesen Bereichen bereits Fortschritte. Die hier angesprochenen Überlegungen gehen weit über das individuelle Kundenrisiko hinaus und konzentrieren sich auf systemische Risiken, Risikomanagement und vor allem auf eine stärkere Zusammenarbeit mit dem Versicherungsnehmer. Statt die Versicherbarkeit in Frage zu stellen, konzentrieren wir uns darauf, wie unsere Cyber-Versicherung zu einem besseren Verständnis und damit verbunden auch Management von Cyber-Risiken beitragen kann.
Welche Bedingungen müssen für Sie erfüllt sein, um Cyber-Deckungen weiterhin anzubieten?
Versicherer müssen in der Lage sein, Cyber-Risiken zu verstehen, zu bewerten und zu selektieren, um ein nachhaltiges Geschäftsmodell zu schaffen. Daneben muss das Bewusstsein der Versicherten für Cyber-Risiken geschärft werden und über die Branchen hinweg, ein höherer Reifegrad an Resilienz erreicht werden, um dazu beizutragen, dass Unternehmen eher versicherbar werden. Beispiele hierfür sind Mindeststandards für die Informationssicherheit, wie die Implementierung von Multi-Faktor-Authentifizierung oder die Betrachtung der Cybersicherheit in Bezug auf Business Continuity-Szenarien.
Ganz persönlich betrachte ich das Vorhandensein einer Cyberversicherung heute als eine Art Güte-Siegel für akzeptable oder besonders gute IT-Sicherheit und -Governance: Die Schadenerfahrungen der Versicherer haben in den letzten 18 Monaten dazu geführt, dass Kunden, die Mindeststandards noch nicht einhalten, eher keinen Versicherungsschutz erhalten. Versicherungseinkäufer sahen sich damit konfrontiert ihrer Geschäftsführung beizubringen, dass kein Risikotransfer mehr möglich sei. Dieses Feedback kann Budgets in der technischen Prävention freimachen. Auch so trägt die Versicherungsbranche zu einem generell höheren Cybersecurity Reifegrad bei.
Was gehört zu der von Ihnen angesprochenen akzeptablen IT-Sicherheit?
Ein gutes Beispiel hierfür ist die inzwischen weit bekannte Multifaktor-Authentifizierung sowohl bei Remote Zugriffen als auch für privilegierte Benutzer, also zum Beispiel Admin Service Accounts on-prem, d.h. also auch auf dem Campus des Unternehmens. Wichtig ist insgesamt eine ausgereifte Sicherheitskultur zu etablieren, die zum einen die Angriffspunkte kennt und sich gegen diese schützt, die Belegschaft als lebende Cybersicherheitskultur in Form von Awarenesskampagnen mitnimmt und kontinuierlich die Cyber Maturity erhöht. Auch das Engagement oder die Teilnahme in CERT-Vereinigungen ist eine wertvolle Initiative, sprich sich mit Peers zu den aktuellen Angriffsvektoren und gemachten Erfahrungen auszutauschen.
Wo setzten Sie als Versicherer hier an?
Unser übergeordnetes Ziel ist es, – auch gemeinsam mit anderen Marktakteuren, Unternehmen zu einer verbesserten Cybersicherheit zu führen. Beazley setzt seinen Fokus eher auf Prävention als auf Krisenbewältigung: Vorsicht ist besser als Nachsicht. Eine Cyber-Police muss nicht nur im Ernstfall das Schlimmste verhindern – unser Anspruch ist, Unternehmen dauerhaft bei der stetigen Verbesserung und der Anpassung an veränderte Bedingungen und Angriffsvektoren zu unterstützen. Über die gesamte Vertragslaufzeit arbeiten wir eng mit unseren Kunden an der sogenannten Cyber Security Posture, zu Deutsch: dem Cyber Sicherheitsniveau, zusammen. Das Ziel ist es hierbei, den Versicherungsnehmer gemeinsam innerhalb einer Periode zu einem besseren Risiko zu entwickeln.