Cyberangriffe bedrohen Unternehmen

Chris Storer, Leiter des Cyber Solutions-Teams bei Corporate Insurance Partner und Paul Bantick, Leiter der Fokusgruppe Cyberrisiken bei Beazley in London erläutern, warum Unternehmensvorstände diesen Paradigmenwechsel vorantreiben. 

Die Absicherung gegen Cyberrisiken steht heute bei allen großen Unternehmen auf der Tagesordnung. Wie schätzen Sie die aktuelle Lage ein?

Paul Bantick, Beazley: Im letzten Jahr hat die Sensibilisierung für Cyberrisiken zugenommen, vor allem in den Vorstandsetagen. Dort hat man mittlerweile erkannt, dass eine hundertprozentige Sicherheit nicht erreichbar ist. Ob es zu einer Sicherheitspanne kommt, ist lediglich eine Frage der Zeit. Bei den CEOs und CFOs dreht sich nun alles um die Frage: Wie sicher sind wir und wie können wir uns schützen? Dem Topmanagement ist klar, dass eine saloppe Haltung wie "alles bestens, wir haben doch eine Cyberversicherung" hier nicht weiterhilft. Wir bieten eine individuell zugeschnittene Erstversicherungspolice für Cyber-Katastrophenrisiken mit einem bedeutenden Versicherungsschutz von bis zu 100 Millionen Dollar. 

Chris Storer, Munich Re: Seit eineinhalb Jahren beobachten wir einen echten Paradigmenwechsel in den Großunternehmen, die sich nach Cyberversicherungen umsehen. Allen verantwortlichen Managern ist klar, dass die Folgen eines Cyberangriffs weit über Benachrichtigungs- und Mehrkosten für den Geschäftsbetrieb hinausgehen können. Sie wünschen sich nun eine ganzheitliche Lösung, die individuell auf ihr Geschäftsmodell zugeschnitten ist und einen umfassenderen Bilanzschutz bietet. 

Die größten Unternehmen weltweit sind ja  in verschiedensten Branchen tätig. Sind sie bei Cyberangriffen auch unterschiedlich betroffen?

Paul Bantick: Wenn man sich die Fortune 500 Unternehmen oder die 2000 größten Firmen weltweit ansieht, gibt es im Umgang mit Cyberrisiken drei Gruppen: Zur ersten gehören Unternehmen, die bereits eine Standard-Cyberpolice abgeschlossen haben. Sie interessieren sich jetzt für flexiblere Lösungen mit höheren Absicherungsmöglichkeiten. Die zweite Gruppe umfasst Unternehmen der Einzelhandels-, Finanz- und Touristikbranche, die noch keine Cyberversicherung abgeschlossen haben, weil das bislang in den Vorstandsgremien kein Thema war. Schließlich sind da noch die Industrieunternehmen, Versorgungsbetriebe und Firmen weiterer Branchen, die mit ihrem hohen Bedarf nach Risikotransfer bislang ins Leere gelaufen sind. Die Deckungssummen, die sie gebraucht hätten, wurden in dieser Höhe auf dem Markt schlichtweg nicht angeboten.

Chris Storer: Zu Beginn unserer Zusammenarbeit haben wir das Marktangebot von Cyberversicherungen untersucht und festgestellt, dass es für große Unternehmen und Industriekunden eigentlich kaum bedarfsgerechte Angebote gab. Es gab zwar viele Versicherungen gegen Datendiebstahl, aber Unternehmen, die nicht zur Zielgruppe dieser Cyberversicherungen gehörten, gingen leer aus. Viele Kunden wollten sich wirksamer absichern und wünschten sich vor allem von ihren Erstversicherern höhere Deckungskapazitäten, um ihre Versicherungsprogramme und Haftungsgrenzen sinnvoll darauf abzustimmen. Ein weiteres Manko war, dass zwar viele Produkte zur Auswahl standen, der Spielraum für eine individuelle, bedarfsgerechte Gestaltung des Versicherungsvertrags aber begrenzt war.Genau auf diesen drei Aspekten baut unser Angebot nun auf: es bietet maßgeschneiderten, umfassenden Versicherungsschutz für Cyberrisiken mit Deckungssummen, die dem speziellen Risikoprofil des Kunden gerecht werden.

Die Unternehmensvorstände legen derzeit  ihr besonderes Augenmerk auf das Thema. Geraten dadurch die Risikomanager stärker unter Druck?

Paul Bantick: Risikomanager fühlen sich nicht mehr wohl damit, wenn im Rahmen der Sachpolice oder vielleicht auch in der allgemeinen Haftpflichtversicherung eine eher begrenzte Deckung vorgesehen ist. Sie berichten dem Vorstand viel lieber, dass alles gedeckt ist. Doch das lässt sich nur durch den Abschluss einer Police bewerkstelligen, die alle bekannten – und sogar die ihnen unbekannten – Lücken schließt.

Chris Storer: Die Risikomanager bekommen tatsächlich Druck von ganz oben. Denn die Vorstände fordern eine umfassende Cyberdeckung, um komplett abgesichert zu sein. Ziel ist es, einerseits die Folgen einer Cyberstörung abzufedern und andererseits, eine persönliche Haftung auszuschließen. Nicht zuletzt spüren auch die Vorstände den Druck seitens der Anleger und weiterer Interessensgruppen.

Wie kam es zu der  Zusammenarbeit von Munich Re und Beazley? Wie funktioniert die Partnerschaft konkret?

Paul Bantick: Beazley und Munich Re pflegen schon seit der Gründung von Beazley vor dreißig Jahren gute Geschäftsbeziehungen. Bei Beazley lag bislang der Fokus auf traditionellen Produkten zur Absicherung von Datenverstößen. Uns war klar, dass dieser neue Markt für Cyberversicherung wächst. Viele Firmen benötigen hohe Deckungskapazitäten und sehen sich vielfältigen Risiken in den unterschiedlichsten Bereichen gegenüber. Mit unserer Partnerschaft  bündeln wir unser Expertenwissen. Beazley bringt das Knowhow im Umgang mit Datenverstößen ein und Munich Re ihre spezifische Cyber-Erfahrung, die Lösungskompetenz bei Sachschäden und Rückwirkungsschäden (CBI) und anderen neuen Gefahrenkomplexen. 

Chris Storer: Dank des breiten, gebündelten Wissens und der partnerschaftlichen Zusammenarbeit sind wir ideal positioniert, die Grenzen der Versicherbarkeit zu erweitern. In den vergangenen sechs Monaten haben wir mit zahlreichen großen Unternehmen zusammengearbeitet und innovative Cyberversicherungspolicen entwickelt, die wirklich bedarfsgerecht und auf das jeweilige Risikoprofil zugeschnitten sind. Unsere Kunden sind hochzufrieden. Diese Erfolgsbilanz kann sich sehen lassen.

Paul Bantick: Unser Firmengründer Andrew Beazley hat mir einmal gesagt, dass es selten vorkommt, dass ein neues Versicherungsprodukt richtig einschlägt. Das passiert einem – wenn man Glück hat – vielleicht einmal im Leben. Als wir die Zusammenarbeit auf den Weg gebracht haben, hatte ich gleich ein gutes Gefühl. Im Versicherungsgeschäft hat man nicht allzu oft Gelegenheit, sich zusammenzuschließen, um etwas Bahnbrechendes zu starten. Die Nachfrage und die ersten Reaktionen aus dem Markt haben unsere Erwartungen übertroffen. Auch von den Maklern haben wir viel Unterstützung bekommen. 

Sie haben nun schon bei vielen Cyber-Versicherungslösungen  zusammengearbeitet — was hat Sie dabei am meisten überrascht?

Chris Storer: Wir haben sehr positives Feedback dafür erhalten, dass wir bereit sind, passgenaue Deckungen zu entwickeln, die auf die individuelle Risikolandschaft und den Versicherungsbedarf unserer Kunden zugeschnitten sind. Unsere Kunden haben ein großes Interesse daran, mit uns in einen intensiven Dialog zu treten, damit wir ihre Risikosituation verstehen und auf dieser Basis einen umfassenden Versicherungsschutz gestalten können.

Paul Bantick: Derzeit versuchen viele Marktteilnehmer, kreativ zu sein, was die Vertragswordings angeht. Die Kunden und die Makler wissen zu schätzen, dass wir bereit sind, jedes Wording als Ausgangspunkt zu nehmen, egal ob es von Beazley oder Munich Re, von einem Makler oder vom Kunden stammt. Aus den verschiedenen Deckungskomponenten bauen wir letztlich eine maßgeschneiderte Lösung, die gut funktioniert. 

Was hat Ihre Kunden überrascht?

Paul Bantick: Sie waren überrascht, wie effizient unsere Prozesse sind. Sie können sich entweder an Beazley oder an Munich Re wenden, oder auch an uns beide. Im Ernstfall, das heißt, wenn es tatsächlich zu einem Schaden kommt, müssen sich die Kunden nicht mit verschiedenen modularen Zuständigkeiten herumschlagen, sondern bekommen bei dem gewünschten Ansprechpartner alles aus einer Hand. Das beschleunigt die Schadenbearbeitung erheblich. 

Chris Storer: Sehr geschätzt wird auch unsere Flexibilität, sei es bei der Entwicklung neuer Deckungen, bei der Anpassung von Vertragswordings oder im Umgang mit speziellen Anbietern bzw. Partnern. Einige Kunden bevorzugen bestimmte Anbieter, mit denen sie langjährige Geschäftsbeziehungen unterhalten, und an die sie einfach gewöhnt sind. Manche Kunden möchten in ihrem Vertrag bestimmte Formulierungen haben, weil sie diese schon seit vielen Jahren in ihrer herkömmlichen Sach- oder Haftpflichtpolice verwenden. Unsere Aufgabe ist es dann, das in die Cyberpolice des Kunden einzubauen. 

Paul Bantick: Die erste Frage, die der Kunde stellt, ist natürlich: Was kostet das?  In Zusammenarbeit mit den Maklern versuchen wir, diese Frage so früh wie möglich zu beantworten. Wir wollen es dem Kunden möglichst einfach machen. Es kann nicht sein, dass die Kunden zunächst einmal eine umfassende Risikoeinschätzung durchführen, uns alle Daten liefern und dann machen wir ihnen ein Angebot, das vom Versicherungsumfang oder vom Preis her nicht dem entspricht, was sie sich vorgestellt haben. Stattdessen gehen wir zunächst von bestimmten öffentlich verfügbaren Informationen aus und schlagen dem Kunden auf dieser Basis mögliche Deckungen und Vertragsgestaltungen vor. Wenn sich dann alle hinsichtlich des Ablaufs und der voraussichtlichen Kosten einig sind, geht es an die Ausarbeitung der Details. 

Wie läuft die Zusammenarbeit mit den Kunden ab?

Chris Storer: Nach den ersten Gesprächen, in denen wir uns auf eine ungefähre Preisvorstellung einigen, sprechen wir ausführlich mit dem Kunden und seinem Makler, damit wir im Einzelnen verstehen, wie das Geschäftsmodell des Kunden aussieht, wie er seine Erträge erwirtschaftet und wie sich Cyberrisiken auf die verschiedenen Bereiche seines Unternehmens auswirken können. Anschließend nehmen wir eine Risikoeinschätzung vor. Üblicherweise führen dazu unsere Risikoprüfer wiederum Gespräche mit dem Kunden und dessen Unternehmenseinheiten, die mit Cyberrisiken befasst sind, wie zum Beispiel dem Risikomanagement, der IT-Sicherheit, der Compliance-Abteilung etc. Abhängig vom jeweiligen Versicherungsbedarf des Kunden sehen wir dann im Vertrag bestimmte Deckungselemente vor.

Paul Bantick: Makler, die komplexe Programme umsetzen wollen, haben es oft mit 20, 30 oder mehr Märkten zu tun, die unterschiedliche Informationen benötigen. Das ist eine ganze Menge. Hier können wir die Makler unterstützen, diesen Prozess möglichst schlank, effizient und zielorientiert zu gestalten. 

Schauen wir ein paar Jahre in die Zukunft. Was wird sich in der Cyberversicherung verändern?

Paul Bantick: Neben der wachsenden Zahl der Cyberangriffe, der zunehmenden Komplexität der damit verbundenen Risiken  wird künftig wird die Erweiterung des Cyberversicherungs-Knowhow  eine Schlüsselrolle spielen. Hier stehen wir heute noch ganz am Anfang. Die verschiedenen Branchen müssen sowohl die vertraglichen Wordings wie auch ihre jeweilige Risikolage verstehen, und sie müssen wissen, wie sie ihre  Risiken managen können. Einige Unternehmen haben bereits damit begonnen, große Versicherungsprogramme aufzubauen. Manche große Unternehmen und Versicherungskunden streben Deckungssummen von bis zu einer Milliarde US-Dollar an. Hier kommt nur derjenige Anbieter zum Zug, der kontinuierlich innovative Lösungen anbietet,  immer auf dem neuesten Stand der Entwicklung der Digitalisierung  bleibt und bereit ist, noch mehr Kapazität anzubieten. 

Chris Storer: Im Bereich der Cyberversicherung besteht die große Herausforderung darin, dass wir es meist nicht mit einem statischen Risiko zu tun haben. Denn nicht nur die Risikolandschaft verändert sich, sondern auch die Art und Weise, wie unsere Kunden die digitale Technik und Daten nutzen. Bei vielen Kunden ist durch die Digitalisierung auch das Geschäftsmodell erheblichen Änderungen unterworfen. Das wirkt sich natürlich auf ihre Risikolandschaft und ihre Cyber-Bedrohung aus. Aber auch bei den Aufsichtsbehörden, den Investoren und Ratingagenturen stehen Cyberrisiken zunehmend im Fokus. Sie wollen ebenfalls sicher sein, dass die Unternehmen sich angemessen gegen Cyberrisiken schützen. Gerade weil sich die Bedürfnisse der großen Unternehmen ändern, brauchen sie verlässliche Partner, die sie bei diesem Wandel unterstützen. Munich Re und Beazley sind dafür gut gerüstet und stehen unseren Kunden tatkräftig zur Seite.

Wenn Sie mehr über unseren Versicherungsschutz  erfahren wollen, klicken Sie hier.