E&E:
Die Allianz bietet seit Kurzem eine Cyberversicherung an. Gegen was genau kann man sich damit absichern?
Carsten Wiesenthal:
Wir unterscheiden vier Bausteine. Zuerst ist das der Versicherungsschutz für ganz klassische Haftpflichtansprüche, die aus Cyberkriminalität entstehen. Darunter fallen zum Beispiel Ansprüche, die Dritte gegenüber unseren Kunden aufgrund von Datenschutzverletzungen haben. Zweitens sind Eigenschäden versichert. Wenn unsere Kunden gehackt werden und ihr Betrieb lahmgelegt ist, sie also eine Betriebsunterbrechung erleiden. Auch die Kosten für die Wiederbeschaffung verlorener Daten oder die Wiederherstellung und Verbesserung der Systeme übernimmt die Cyberversicherung. In diesem Zusammenhang überprüfen wir auch immer, wie sich die Firmen in Zukunft besser schützen können. Der dritte Block sind Serviceleistungen. Der ist meines Erachtens der Wichtigste. Als viertes ist auch noch ein Versicherungsschutz für behördliche Datenschutzverfahren enthalten. Das ist mit der EU-Datenschutzgrundverordnung natürlich viel prominenter geworden.
Wieso sind die Serviceleistungen Ihrer Meinung nach der wichtigste Bestandteil?
Viele unserer Kunden haben keine eigene IT-Abteilung, sondern greifen auf externe Dienstleister zurück. Die sind aber oft abends oder am Wochenende nicht erreichbar. Tritt dann ein Problem auf, stehen die Firmen vollkommen alleine da. Wir haben hingegen eine Konzerntochter, die Metafinanz, die sich mit Cyberrisiken befasst und über eine Hotline 24/7 das ganze Jahr erreichbar ist. Die Mitarbeiter der Metafinanz können über Fernzugriff helfen oder fahren in besonders wichtigen oder kniffligen Fällen auch direkt zu den Kunden. Außerdem bieten wir den Firmen noch ein Expertennetzwerk. Dabei handelt es sich beispielsweise um Juristen und Kommunikationsexperten.
Sie haben die EU-Datenschutzgrundverordnung (DSGVO) angesprochen. Sie wird seit Mai umgesetzt. Haben sich seit dem besonders viele Unternehmen bei Ihnen versichert?
Einen deutlichen Anstieg an Policen konnten wir noch nicht feststellen. Wir erhalten aber ganz klar eine größere Anzahl an Anfragen. Die DSGVO bereitet den Unternehmen große Sorgen. Für viele unserer Kunden ist Cybercrime ein vollkommen neues Thema. Sie haben sich damit noch nie ernsthaft befasst. Durch die DSGVO kommen sie nicht mehr darum herum, da sie zum Beispiel für die Sicherheit von Kunden- und Mitarbeiterdaten verantwortlich sind. Im Fall eines Datenlecks besteht für die Firmen die Pflicht, die Betroffenen zu informieren. Auch dafür fallen schnell hohe Kosten an, die von der Cyberversicherung übernommen werden. Deutlich mehr Firmen fragen deshalb bei uns wegen einer solchen Versicherung an.
Steigt nach spektakulären Fällen, wie dem Hackerangriff auf den Bundestag oder der Ransomware Wannacry, die Anzahl der Vertragsabschlüsse?
Das kann man generell so nicht sagen. Nach dem Angriff auf den Bundestag oder auch auf Siemens und BMW versicherten sich nicht merklich mehr Firmen bei uns. Das sind einfach sehr große Namen. Da fühlen sich viele Mittelständler nicht betroffen. Bei Wannacry sah das wiederum anders aus. Da waren es messbar mehr Vertragsabschlüsse. Der Unterschied ist hier, dass es sich dabei nicht um einen gezielten Angriff auf bestimmte Firmen handelt, sondern um nicht zielgerichtete Attacken, die schlicht jeden treffen können. Da sind unsere Kunden mittlerweile sensibilisiert und haben verstanden, dass es auch ihre Systeme erwischen kann. Viele haben in ihrem Umfeld jemand, der betroffen war, oder bekommen das zum Beispiel in der Verbandsarbeit mit.
Cyberversicherungen gibt es noch nicht besonders lange. Wie ist generell die Nachfrage nach ihnen?
Wir sind mit unserer Cyberversicherung im April vergangenen Jahres herausgekommen und zu Beginn lief es schleppend. Das hat sich aber im dritten Quartal 2017 deutlich verändert. Seitdem sehen wir einen relativ starken und stetigen Anstieg. Das liegt sicher auch daran, wie omnipräsent das Thema Cybercrime mittlerweile ist.
Wie viele Firmen sind mittlerweile bei Ihnen versichert?
Die genaue Anzahl möchte ich nicht nennen. Aber wir liegen deutlich im vierstelligen Bereich. In Deutschland haben 90 Prozent unseren potentiellen Kunden eine Haftpflichtversicherung. Ich sehe im Moment keinen Grund, warum die, die eine Haftpflichtversicherung brauchen, nicht auch eine Cyberversicherung brauchen sollten.
Worauf sollten Firmen bei der Auswahl einer Cyberversicherung achten?
Unternehmen müssen sich zunächst fragen, ob sie eine ausreichend große und in Security bewanderte IT-Abteilung haben. Ist das nicht der Fall, dann sollten sie darauf achten, eine Versicherung abzuschließen, bei der auch ein Expertennetzwerk enthalten ist. Und dieses muss auch gut erreichbar und verständlich sein. Es bringt den Firmen nur bedingt etwas, wenn die Hotline dort nur bis 18:00 Uhr besetzt ist oder der Ansprechpartner nur gebrochen Deutsch oder Englisch spricht.
Der finanzielle Aspekt ist zweitrangig?
Ja, den halte ich für zweitrangig. Stellen Sie sich vor, als Mittelständler fällt plötzlich ihr Netzwerk oder ihre Produktion aus. Da bringt es Ihnen nichts, wenn Sie am nächsten Tag schon eine Überweisung haben, aber die Computersysteme weiterhin nicht laufen. Viel wichtiger ist es erst mal, die wieder in Gang zu bekommen. Deshalb halte ich solche Hilfsdienstleistungen für so wichtig.
Wie hoch ist die durchschnittliche Schadenssumme, die so eine Attacke erzeugt?
Das ist zurzeit noch schwierig zu beantworten. Wir sind wie gesagt noch nicht so lange am Markt. Es gibt aber Studien, etwa der Unternehmensberatung KPMG, die bei unserer Zielgruppe, dem deutschen Mittelstand, von einem durchschnittlichen Schaden von 70.000 € ausgehen. Unsere Beobachtungen weichen da etwas nach unten ab. Aber wie gesagt diese Zahlen sind noch wenig belastbar, da es sich bei Cyberversicherungen um ein sehr neues Modell handelt.
Durch einen Cyberangriff auf ein Industrieunternehmen können auch Maschinen beschädigt und Mitarbeiter verletzt werden. Deckt das die Cyberversicherung auch ab?
Nein. Unsere Versicherung deckt nur Vermögensschäden ab. Sobald es zu Personen- oder Sachschäden kommt, müssen andere Policen einspringen und tun das in der Regel auch.
Bei dem Serviceangebot der Versicherung haben Sie auch Kommunikationsexperten angesprochen. Diese sind für die Krisenkommunikation gedacht, nehme ich an.
Genau. Die Option bieten wir nicht nur bei der Cyberversicherung, sondern auch bei anderen Policen an. Dabei geht es vor allem um den Schutz der Reputation der betroffenen Unternehmen. Gerade kleinere Mittelständer haben oft keinen Kommunikationsexperten für solche Situationen. Denen möchten wir jemand an die Seite stellen, der dafür sorgt, dass es nicht unterschiedliche Aussagen aus dem Unternehmens gibt und die richtige Botschaft transportiert wird. Wir kennen das aus dem eigenen Unternehmen. In solchen Krisen ist es wichtig, die Kommunikation sauber zu begleiten und den Schaden damit möglichst zu begrenzen.
Haben Sie auch genügend Experten, um mit einem Fall wie Wannacry fertig zu werden?
Bei unserer Konzerntochter Metafinanz arbeiten genügend Security-Experten für die übliche Anzahl an Vorfällen. So viele Experten, wie man für Extremfälle wie Wannacry bräuchte, kann man aber gar nicht vorhalten. Die wären das gesamte restliche Jahr nicht ausgelastet. Deshalb haben wir für solche Notsituationen mit weiteren IT-Experten Verträge abgeschlossen. Die springen dann noch zusätzlich ein. Wir können somit auch dann schnell helfen.
Nicht jedes Unternehmen kann sich bei Ihnen versichern. Welche Bedingungen müssen Firmen dafür erfüllen?
Das ist richtig. Wir verlangen ein gewisses Mindestmaß an IT-Sicherheit. Vor Vertragsschluss fragen wir in einem Risiko-Assessment beispielsweise ab, ob es Firewalls, regelmäßige Back-ups und einen IT-Security-Officer gibt. Ist das Risikopotential besonders hoch, schicken wir einen Experten der Metafinanz zu dem Kunden, um sich vor Ort einen Überblick zu verschaffen. Wir möchten wissen, welche Technik bei den Unternehmen zum Einsatz kommt und wie ihre Einstellung zur IT-Sicherheit ist, ob etwa die Mitarbeiter dafür sensibilisiert sind. Bei der Allianz wurden dafür zum Beispiel einmal E-Mails mit unbekannten Absendern an die eigenen Mitarbeiter versandt. Öffnete jemand den Anhang dieser E-Mail, bekam er den Hinweis, dass das ein großes Risiko darstellt. Dieses Social Engineering ist unseres Erachtens sehr wichtig. In Zukunft möchten wir deshalb auch zusammen mit der Metafinanz für die bei uns versicherten Unternehmen Webtrainings dazu anbieten.
Und falls ein Unternehmen die Anforderungen nicht erfüllt?
Das kommt darauf an, in welchem Umfang dass der Fall ist. Lässt sich das unseres Erachtens gut und zeitnah beheben, nehmen wir häufig eine Auflage in den Vertrag auf. Das Unternehmen muss dann in einem bestimmten Zeitrahmen die Probleme beseitigen. Gerade bei Kunden, die wir gut kennen, finden wir in der Regel eine Lösung. Falls der Kunde in dieser Zeit dann einen Schaden erleidet, ist das unser Risiko. Sollte die Probleme nach Ablauf der Frist immer noch bestehen, erhält er keinen Versicherungsschutz. Haben wir allerdings das Gefühl, eine Firma ist beratungsresistent oder trauen ihr nicht zu, die Sicherheitslücken zu schließen, dann lehnen wir Anfragen ab.