Cyberversicherung – erleben wir die Ruhe vor dem Sturm?
Im Beitrag geben wir einen Einblick in die Diskussionen der Fachkonferenz Cyber-Versicherungen in der Praxis.
Cyber-Angriffe treffen zunehmend auch die Akteure der Versicherungsbranche. Erste Ende letzten Jahres wurde bekannt, dass die Münchener Versicherungsgruppe WWK Opfer eines Phishing-Angriffs wurde. Dabei sind personenbezogene Daten abgeflossen. Die WWK war nicht der erste und wird auch nicht der letzte Versicherer sein, der sich einem Cyber-Vorfall stellen muss. Die Angriffe werden professioneller und selbst der beste Schutz, lässt sich überwinden. Versicherer und Wirtschaft sind sich dieser Gefahr durchaus bewusst, wie erneut das Allianz Risk Barometer zeigt. In der aktuellen Ausgabe ranken Cyber und Betriebsunterbrechungen unter den Top-Gefahren. Neu hinzu gekommen sind die Energierisiken und Sorgen bzgl. einer bevorstehenden Rezession im Zuge der aktuellen Inflation.
Wie geht man als Versicherer mit Cybervorfällen um? Wie hat sich der Cyber-Markt entwickelt? Wie kann es gelingen, den optimalen Cyberschutz zu entwickeln? Diese und noch weitere Fragen haben wir auf der Fachkonferenz „Cyber-Versicherung in der Praxis – Von Produktentwicklung über Underwriting bis Schadenmanagement“ diskutiert. Im Beitrag geben wir einen Einblick in die Diskussionspunkte des Expertentreffs.
Krisenmanagement nach einem Cyberangriff – Ein Erfahrungsbericht von Die Haftpflichtkasse
Nicht jeder Cyber-Angriff “schafft” es in die Presse. Reputationsschäden und Vertrauensverlust könnten mit einem solchen Vorfall einhergehen. Für Versicherer, die sehr auf das Vertrauen der Kunden angewiesen sind, ein schwerer Schlag. Und genau das waren auch die Sorgen von Die Haftpflichtkasse, wie Vorstandvorsitzender Roland Roider zugab. Trotzdem machte das Unternehmen den Zwischenfall bekannt, schaltete Anzeigen in der FAZ und Süddeutschen, um wirklich jeden zu informieren und somit die eigenen Kunden zu schützen, deren Daten nun im Darknet kursierten. Die Haftpflichtkasse setzte auf Transparenz und hat den Vorfall unerwartet gut überstanden. Roider zitierte, dass es zwei Arten von Unternehmen gibt: „Die, die bereits gehackt wurden und die, die noch gehackt werden“. Der Ransomware-Angriff auf die Haftpflichtkasse konnte innerhalb von 16 Tagen insoweit behoben werden, dass das Unternehmen wieder ausnahmslos handlungsfähig war. Durch den Angriff wurde das Computersystem verschlüsselt, das System und die Daten kontaminiert, Daten wurden gestohlen und es wurde eine Lösegeldforderung gestellt, der das Unternehmen jedoch nicht nachkam. Nachdem am 10. Juli 2022 um 7 Uhr in der Früh die Cyber-Attacke festgestellt wurde, hatte der Versicherer noch am selben Tag einen Krisenstab mit allen IT-Kollegen einberufen, die Krisenkommunikation mit Ermittlungsbehörden angestoßen, Bafin und Landesdatenschutz informiert sowie ein Forensikteam, ein externes Krisenkommunikationsteam und eine Anwaltskanzlei beauftragt. Roider lobte dabei die Zusammenarbeit mit den einzelnen Akteuren. Insbesondere die Bafin zeigte sich sehr kooperativ und war in alle Schritte involviert. Roider setzt beim Notfallmanagement auf vier Säulen: Forensik, rechtliche Beurteilung, Kommunikation und interne Organisation. Sein Grundsatz lautet dabei: Transparente Kommunikation schafft Vertrauen.
Auch wenn der Schaden recht schnell eingedämmt werden konnte, wirkt der Vorfall bis heute auf das Unternehmen. Der IT-Sicherheit wurde schon in der Vergangenheit viel Aufmerksamkeit geschenkt. Die Investitionen in IT, IT-Sicherheit, Datenschutz und Informationssicherheitsmanagement wurden noch einmal intensiviert. Zudem wurden Drittanbieteranbindungen auf den Prüfstand gestellt, die Mitarbeiter intensiver sensibilisiert und die Cloud-Technologie-Überlegungen verstärkt. Auch wenn die Barrieren für einen externen Zugriff erhöht wurden, stellt Roider die Frage, wie in Zukunft mit der Gefahr aus dem Netz umgegangen werden kann, insbesondere im Hinblick auf die rasant voranschreitende Entwicklung der Quantencomputer-Technologie.
Cyberkriminalität 2023 – aktuelle Entwicklungen bei den Gefahren aus dem Netz
Spannende Insights, wie sich die Cyber-Kriminellen professionalisieren, gab es im Vortrag von Nikolaus Stapels, CEO der CyCo Cyber Competence Center GmbH. Dem Cyber-Experten zufolge ist die Lage aktuell ruhig. Ursache sei der Ukraine-Krieg: Die Internetverbindung nach Russland wurde verlangsamt und die russischen Hacker werden zunehmend zur Verteidigung des eigenen Landes und für Hacker-Angriffe auf die Ukraine eingesetzt. Die Schadenquote ist in Deutschland somit um 60 Prozent gesunken. Stapels betonte jedoch, dass die aktuelle Situation die bekannte Ruhe vor dem Sturm ist. Es ist davon auszugehen, dass mit Ende des Krieges die Angriffe auf deutsche Unternehmen wieder zunehmen werden. Zudem professionalisieren sich die Hackergruppen: Ransomware-as-a-service, Phishing-as-a-service, Spamming-as-a-service, Maleware-as-a-service oder Scanning-as-a-service – dem Experten nach wird ein komplett neues “Service”-Ökosystem an Start gebracht.
Cyber-Versicherung: Was will eigentlich der Kunde?
Was der Kunde vom Versicherer bzgl. Cyber-Policen erwartet, wurde in gleich mehren Vorträgen diskutiert. Besonders spannend waren dabei die Einblicke durch den Kunden selbst und den Vertrieb.
Christoph Schacher, Head of Information Security bei der Wienerberger AG, hat sich die Mühe gemacht und mehrere Cyber-Fragebögen analysiert. Die Wienerberger AG ist der weltgrößte Ziegelhersteller mit 215 Produktionsstandorten in 28 Ländern und über 17.000 Mitarbeitenden. Schacher betonte: „Der Fragebogen, wir lieben und wir hassen ihn.“ Zum einen ergeben sich durch die Fragebögen Handlungsoptionen und Impulse für die Unternehmen bzgl. der eigenen IT-Sicherheit. Zum anderen sind manche Ja-nein-Fragen unzureichend oder unmöglich zu beantworten für ein Unternehmen, das international tätig ist. Als Kunde ist einem daran gelegen, das Cyber-Risiko zu transferieren. Dabei stellt sich die Frage, wie hoch der eigene Risikoappetit ist. Dieser lässt sich mit Lösungen wie Bitsight beantworten. Dabei wird ein individuelle Risikoquantifizierung vorgenommen.
Die Vertriebssicht präsentierte Alexander Arias, Geschäftsführer der Victor Deutschland GmbH. Er bestätigte Schachers Wunsch nach mehr Individualisierung, denn dem Experten zufolge sind die Cyber-Risiken nicht homogenisierbar. Die Versicherer stehen vor der Herausforderung, abzuwägen, was die beste Balance zwischen Chancen und Risiko darstellt. Er appellierte an die anwesenden Versicherungsunternehmen, Cyber-Versicherungen insbesondere bei kleinen und mittelständischen Unternehmen als Türöffner zu verstehen. Es gilt, das Schadenerlebnis vorab und hinterher aktiv zu gestalten. Dies gelingt durch Serviceleistungen, die dem Kunden etwas bieten: Dazu zählen Schulungen, IT-Gesprächskreise, Rechtsleistungen, Forensik oder Hilfe bei Datenschutzfragen. Das Cyber-Risiko bietet den Versicherern die Chance, als aktiver Partner an der Seite der Kundinnen und Kunden zu agieren.
Stimmen aus dem Markt
Gisa Kimmerle, Underwriting Manager Cyber bei Hiscox, wies auf die steigende Komplexität von IT-Systemen hin. Ca. 25 Prozent der IT-Ausgaben werden dabei der IT-Sicherheit zugeschrieben. Ole Sieverding, Geschäftsführer bei CyberDirekt, beobachtet, das IT-Sicherheit als Hygienefaktor verstanden wird. Die Studienergebnisse der CyberDirekt Risikolage 2022 zeigen, dass zu den Top-Zwei-Kriterien beim Abschluss die Deckungssumme und das Preis-Leistungsverhältnis zählen. Zudem beobachtet er, dass die Unternehmen die Notwendigkeit einer Absicherung erkannt haben, die unterschiedlichen Deckungskonzepte diese jedoch überfordern. Weiterhin nutzen die Versicherer ihr Wissen aus Schadenfällen und Risikobewertung nicht ausreichend für Präventionsmaßnahmen. Diese Einschätzung teilt auch Dirk Kalinowski, Projektleiter Kompetenzstelle Cyber bei der AXA Versicherung AG. Zudem erläuterte er, dass die Klarheit über die wesentlichen Gefahren wachsen muss und die Risikoanalyse noch lange nicht optimal ist. Zudem gilt es, die Kunden aktiv bei der Umsetzung zu begleiten und auch regelmäßige Back-ups im Anforderungsprotokoll zu ergänzen.
Im Beitrag konnten wir nicht auf alle Vorträge und Diskussionen der Fachkonferenz eingehen. Wer gern mehr erfahren möchte und den Austausch mit den Kollegen aus anderen Versicherungshäusern sucht, sollte am 30./31. Januar 2024 dabei sein, wenn die Fachkonferenz „Cyber-Versicherung in der Praxis – Von Produktentwicklung über Underwriting bis Schadenmanagement“ erneut nach Leipzig einlädt.
