Alles was Sie jetzt über Cyber-Versicherungen wissen sollten – und warum es Zeit wird, sich damit zu beschäftigen – Teil 1

Die Abhängigkeit von der Digitalisierung und der IT nimmt für Unternehmen weiterhin stark zu, gleichzeitig häufen sich erfolgreiche Angriffe mit teils sehr kostspieligen Folgen. Cyber-Risiken gehören daher ins Risiko-Management auf Geschäftsleitungs- und VR-Ebene. Cyber-Versicherungen können heute bereits einen grossen Teil der möglichen Risiken abdecken und so dabei helfen finanzielle Schäden einer Cyber-Attacke oder eines IT-Vorfalls zu minimieren. In diesem Sinne sind Cyber-Versicherungen eine sinnvolle Ergänzung im Risiko-Dispositiv eines Unternehmens. Alle Hintergrundinfos lesen Sie im Teil 1 dieses Blogartikels.

Im zweiten Teil möchte ich noch etwas genauer hinschauen und auf folgende Fragen eine Antwort finden: Wer setzt heute bereits Cyber-Versicherungen ein, und warum? Wie unterscheiden sich bestehende Angebote inhaltlich, bei der Deckung und bei den Kosten? Welche Bedingungen müssen für einen Vertragsabschluss erfüllt sein und worauf gilt es dabei zu achten? Und, wie reibungslos laufen Schadensfälle im Ernstfall ab? Worauf müssen sich versicherte Unternehmen einstellen, wenn sie erfolgreich angegriffen wurden?

Manuel Pachlatko ist Teamleader Special Risks und Spezialist für Cyber-Versicherungen beim Versicherungsberater Kessler. Er kennt den nationalen und internationalen Markt aus erster Hand und hat meine Fragen ausführlich und kompetent beantwortet. Aber lesen Sie selbst.


Diese Frage kann nicht pauschal beantwortet werden, sondern muss von jedem Unternehmen selbst beurteilt werden. Es gibt Unternehmen, die risikoaffiner sind, während andere sich eher risikoavers verhalten. Jede Gesellschaft definiert für sich selbst, welche Risiko- und Versicherungspolitik für sie angemessen ist. Wichtig ist nur, dass in jedem Fall das Cyber-Risiko aktiv in den Risk-Management-Prozess integriert wird.

Es kann in diesem Zusammenhang vielleicht auch erwähnt werden, dass Cyber-Vorfälle beispielsweise im aktuellen Global Risks Report des World Economic Forums oder im Allianz Risk Barometer zu den wichtigsten Geschäftsrisiken zählen. Eine Cyber-Versicherung kann somit als sinnvolles und effektives Mittel zur Minimierung eines der Toprisiken eingesetzt werden.

Ja. Unternehmen, welche die Versicherung nicht als Substitut für weitere technische oder organisatorische Investitionen sehen, sondern als eine Art der Restrisikofinanzierung einsetzen, eignen sich besonders gut. Dazu gehören auch Firmen, die ein gutes Verständnis der eigenen Risiken haben.

Von den rund 1’250 Kunden, die Kessler & Co AG betreut, haben bereits viele eine Cyber-Versicherung oder befinden sich zumindest in der Evaluationsphase für einen Abschluss. Dies auch vor dem Hintergrund, dass gemäss einer aktuell veröffentlichten Studie vom weltgrössten Rückversicherer, 35% der Gesellschaften interessiert sind, eine entsprechende Versicherung abzuschliessen.

Wir gehen davon aus, dass sich unser Bestand der Cyber-Versicherungen bis Ende 2021 im Vergleich zu Ende 2018 etwa verdreifacht hat.

Bei unseren Kunden ist die Marktdurchdringung im Gesundheitswesen gefolgt von der Infrastruktur- und Finanzbranche am höchsten. Das hängt unter anderem damit zusammen, dass diese Branchen in der Vergangenheit besonders stark betroffen waren. Was die Unternehmensgrösse anbelangt, zeigt unsere Erfahrung, dass dies ab 2021 kein Kriterium mehr ist, ob eine Cyber-Versicherung abgeschlossen wird oder nicht.

Die Gründe sind sehr unterschiedlich. Leider setzen sich viele Unternehmen erst mit der Thematik intensiv auseinander, wenn sie einen Schaden erlitten haben. Andere Gesellschaften haben Cyber-Risiken als ein Top 1-3 Risiko identifiziert und sind daher der Ansicht, dass eine entsprechende Versicherung notwendig ist. Wieder andere Firmen werden gar von ihren Kunden verpflichtet, eine Cyber-Versicherung abzuschliessen.

Die Unterschiede sind enorm. Hierzu eine Zahl: Drei Viertel des weltweiten Prämienvolumens für Cyber-Versicherungen werden nach wie vor in den USA generiert. Die Versicherer, die dort aktiv sind, haben mittlerweile ein sehr umfassendes Verständnis, welche Versicherungsdeckungen sich für die Kunden am besten eignen. Damit spreche ich zum Beispiel Schäden aus Cloud-Dienstleistungen an. In diesem Bereich sehen wir bei Versicherern, die mehrheitlich in der Schweiz agieren, ein noch nicht vollständig ausgeschöpftes Potenzial.

In Sachen Prämienniveau und Versicherungssumme divergieren die Strategien und Ansätze der Versicherer nach wie vor stark. Wir erwarten aber eine gewisse Konsolidierung in etwa zwei bis drei Jahren, wobei sich in unseren Hauptmärken ein Trend zu einer maximalen Versicherungssumme von CHF 5 bis CHF 10 Mio. und einer Prämie von rund 1% rate on-line (Prämie dividiert durch Versicherungssumme) abzeichnet.

Doch, in diesen Fällen müssen weitere Versicherer, sogenannte Exzedenten-Märkte, hinzugezogen werden. Diese stellen zusätzliche Kapazität auf Grundlage der Grunddeckung (Primary) zur Verfügung. Es sind im weltweiten Kontext Kunden bekannt, die eine Deckungssumme von rund USD 500 Mio. abgeschlossen haben.

Das Wichtigste ist, seine eigenen Risiken zu kennen. Wir empfehlen daher eine saubere Bedarfsermittlung mit 4-5 negativen Extremszenarien (Worst Cases) und deren bestmöglichen Quantifizierung, sodass der Deckungsumfang entsprechend gespiegelt werden kann. Darüber hinaus sollte ein genauer Blick auf die Obliegenheit und Ausschlüsse geworfen werden, die im Versicherungsvertrag stehen.

Es wird derzeit noch kein extern durchgeführtes Cyber-Assessment verlangt, wie wir es teilweise aus der Sachversicherung mit Risikobesichtigungen kennen. Das wird sich aber meines Erachtens mittelfristig ändern. Was hingegen für die meisten Versicherer jetzt schon als «Dealbreaker» angesehen wird, ist, wenn beispielsweise End-of-Life-Systeme im Einsatz sind oder keine Multi-Faktor-Authentifizierung, Mitarbeiterschulung, Netzwerktrennung oder rollenbasierter Zugriff umgesetzt wurden. Die Anforderungen unserer Hauptmärkte für einen «uneingeschränkten» Versicherungsschutz sind mittlerweile sehr streng.

Absolut. Eine Gesellschaft, die viel in das Thema IT-Sicherheit – sowohl in quantitativer wie auch qualitativer Hinsicht, sprich Mitarbeiterschulungen oder eine gesunde Risikokultur – investiert hat, hat es definitiv einfacher auf dem Versicherungsmarkt, ein prämienmässig attraktives Angebot zu bekommen.

Die Einflussfaktoren auf die Preisgestaltung sind vielfältig: So spielen etwa Branche, Betriebsart und Grösse, Abhängigkeiten von IT-Sicherheitssystemen, Schadensprophylaxe-Massnamen und Prävention, Zugang zu personenbezogenen Daten und darauf resultierenden Gefahren in Sachen Datenschutz und natürlich auch bisherige Cyber-Attacken und Schäden eine preisbildende Rolle. Ein bereits erlittener Schaden hat sehr wohl einen Einfluss auf das Prämienniveau, wobei dieser Faktor nicht Cyber-spezifisch ist, sondern für allen Versicherungssparten eine wichtige Rolle spielt.

Ganz klar Ransomware und die damit verbundenen unmittelbaren und mittelbaren Schäden.

Hierzu ist wichtig zu verstehen, dass nicht das Lösegeld per se versichert sein soll, sondern die erpresste Zahlung nur Mittel zum Zweck ist. Die Erpressungszahlung soll ja lediglich dazu dienen, dass eine Wiederherstellung der Datenverfügbarkeit und somit eine geringere Betriebsunterbrechung herbeigeführt oder eine drohende Datenveröffentlichung vermieden werden kann. Das allfällige Überweisen von einem bestimmten Betrag, trägt demnach auch zur Schadensminderung bei. Das Thema ist aber, wie Sie richtig anmerken, ethisch und rechtlich umstritten. In den USA können die Unternehmen sogar rechtlich belangt werden, sofern staatliche angeordnete Sanktionsbestimmungen von der Zahlung betroffen sind. Wichtig ist festzuhalten, dass kein Unternehmen, auch wenn eine Cyber-Versicherung abgeschlossen wurde, ein Interesse hat, eine Erpressungszahlung zu leisten. Das hat mit dem Reputationsschaden zu tun, der in der Regel nicht versichert ist. Bei einer allfälligen Zahlung handelt es sich also meistens um eine ultima ratio Handlung.

Es gibt einzelne Versicherer, die auch eine Deckung für Reputationsschäden anbieten, aber wie Sie korrekt anmerken, sind diese enorm schwierig zu quantifizieren. Anderseits gibt es auch messbare Schäden, die nicht versicherbar sind, wie z.B. wenn die kritische Infrastruktur ausfällt oder bei sogenannten Rückwirkungsschäden, sprich wenn der Lieferant vom Lieferanten vom IT-Dienstleister gehackt wird und daraufhin ein Schaden resultiert.

Neben dem Reputationsschaden und dem Infrastrukturausschluss wird das Thema Krieg und Terrorismus ausgeschlossen. Es muss allerdings gesagt werden, dass auch diese Themen versichert werden können, aber zu einer unverhältnismässig hohen Prämie. Ansonsten stehen wir vor der Herausforderung, dass die Versicherer anfangen, Cyberrisiken in Sparten, wie beispielsweise der Sachversicherung, pauschal auszuschliessen. Das kann unter Umständen problematisch sein, da zum Beispiel nur Teile eines Sachschadens durch eine Cyber-Versicherung gedeckt werden können.

Da haben wir als Broker einen guten Einblick. Es kann festgestellt werden, dass der Ablauf grundsätzlich gut, wenn auch nicht immer reibungslos, funktioniert. Das liegt sehr oft an einer suboptimalen Kommunikation. Der Versicherer wird erst spät informiert oder es werden andere Krisenmanager als in der Police vereinbart, beigezogen. Auf der anderen Seite fehlt es den verantwortlichen Personen in den Schadenabteilungen mangels kompetenter Ausbildung oft am nötigen Fachwissen, was die Schadensabwicklung verkomplizieren und verzögern kann. Es handelt sich offensichtlich um eine neue Domäne und da ist es natürlich schon so, dass alle involvierten Parteien – auch wir als Broker – noch viel Erfahrung sammeln müssen. Es gilt aber auch hier, je höher der Schaden, desto länger dauert üblicherweise die Abwicklung. Das gilt allerdings für alle Versicherungssparten gleichermassen.

Dazu muss zwischen Primär-, Sekundär- und Tertiärprävention unterschieden werden. In der Schweiz ist es die Aufgabe des Versicherers, bei der Risikoevaluation – im Versicherungsjargon Underwriting genannt – die richtigen Fragen zum Risikoprofil zu stellen. Daher muss im Schadenfall in der Regel das Thema Vorkehrung nicht nochmals durchexerziert werden. Es gibt allerdings neu einen Trend, dass es beispielsweise Obliegenheiten zum Thema Patching gibt und diese müssen natürlich eingehalten werden. Wir als Broker versuchen diese natürlich möglichst gering zu halten. In Bezug auf das Verhalten im Schadensfall wird in der Phase der Risikoevaluation eingegangen. Dort wird entweder der eigene Krisenmanager oder derjenige des Versicherers beigezogen. Somit sollte das Verhalten vor und während des Schadenfalls vorab mit dem Versicherer definiert sein und demnach, sofern man sich an das Vereinbarte gehalten hat, nicht zu Uneinigkeiten führen. Der Krisenmanager verfasst anschliessend einen Bericht zum Vorfall, welcher in der Regel dann als Basis für die Schadenabwicklung dient.

Sofern keine Obliegenheit des Vertrags verletzt wurde, spielt es grundsätzlich keine Rolle, ob menschliches Versagen für den Schaden ursächlich war. Ansonsten kann es tatsächlich zu Kürzungen oder gar Ablehnung der Deckung kommen.

Ja. Die Kosten für die Forensik und die Unterstützung im Krisenfall ist eine der zentralsten Deckungen, die auf den Versicherer abgewälzt werden können. Es gibt sogar eine Vielzahl von Versicherern, die für das Krisenmanagement für eine gewisse Zeitspanne keinen Selbstbehalt anwenden.

Meist ja, sofern es sich nicht um ein C-Level oder einen anderen zentralen Entscheidungsträger handelt. Der effektiv erlittene Schaden muss allerdings geprüft werden.

Ja, dafür ist eine Vertrauensschadenversicherung (Crime) zuständig, die explizit für Wirtschaftskriminalität aller Art entworfen wurde.

Die Policen werden meist in Krisenmanagement, Eigen- und Drittschäden unterteilt. In der Kategorie Drittschäden werden auch Schäden in Hinblick auf GDPR oder das neue Datenschutzgesetz in der Schweiz subsumiert. Die Deckungen dazu sind sehr weitgehend. Einzig Bussen sind gemäss diversen Studien nicht versicherbar, wobei bis jetzt kein Präjudiz vorliegt und die Versicherer in ihre Policen schreiben: «sofern versicherbar». Ob das eine lautere Art ist, bleibe dahingestellt. Die Kosten, die der Gesellschaft ansonsten anfallen, sind indes versichert.

Das ist die Schwierigkeit, mit welcher wir derzeit konfrontiert sind: Es fehlen historische Daten, die Bedrohungen entwickeln sich stetig, die Technologien entwickeln sich sehr schnell, angesichts der COVID-19 Pandemie verstehen die Kunden das Thema Digitalisierung nicht mehr als Trend, sondern als Imperativ. Alle diese Faktoren führen dazu, dass sich die Deckungen und Prämien in den nächsten Jahren wohl noch stark entwickeln werden. Aber es kann davon ausgegangen werden, dass inskünftig die Risikoparameter viel genauer auf die einzelnen Gesellschaften angewendet werden können und auch den Investitionen, die in die IT-Sicherheit investiert werden, besser Rechnung getragen werden kann.

Die Themen, welche noch nicht gelöst sind und daher besonders aktiv angeschaut werden müssen, sind Kumulschäden, Doppelversicherungen zu bestehenden Versicherungen und das Thema Silent Cyber – also die Frage, ob Versicherungsverträge ausserhalb der Sparte Cyber möglicherweise ungewollt bereits Schäden in Verbindung mit Cyber-Attacken decken.
Wir als Broker müssen zudem bemüht sein, dass Lösungen für die Cyber-Thematik von den Kunden nicht als ein Produkt angeschaut werden, welches einfach gekauft werden kann, sondern als etwas, das vorzugsweise mit einem externen Spezialisten erarbeitet wird, mit dem Fokus auf den Schutz, den der Kunde effektiv benötigt. Um in einem belastbaren Markt mit genügend Kapazitäten und den richtigen Produkten operieren zu können, müssen nicht zuletzt auch die Versicherer ihren Teil beitragen und anstehende Probleme lösen.

Herr Pachlatko, vielen Dank für das spannende und aufschlussreiche Gespräch.


Links:

Der Beitrag Alles was Sie jetzt über Cyber-Versicherungen wissen sollten – Teil 2: Das Gespräch mit dem Experten erschien zuerst auf Tec-Bite.