Inter­view mit Under­wri­ter Ole Sie­ver­ding

„Cyber­ri­si­ken müs­sen beherrsch­bar sein"

Können Versicherer Unternehmen vor Hackerangriffen schützen? Bedingt schon, sagt GDV-Cyberexperte und Hiscox-Manager Ole Sieverding. Welche Risiken die Branche drücken und warum es bei der Cyberversicherung kein Zurück gibt, verrät er im Interview.

Herr Sieverding, im Oktober legte eine Ransomware-Attacke die weltweiten IT-Systeme des Automatisierungsspezialisten Pilz lahm. Bei BMW haben Hacker offenbar monatelang interne Informationen gesammelt. Sind solche Fälle das tägliche Geschäft für Cyberversicherer?
Ole Sieverding:
Absolut. Auch wenn ich mich zu diesen konkreten Fällen nicht äußern kann, sehen die typischen Cyberschadenszenarien grundsätzlich so aus. Wobei Ransomware-Attacken derzeit die überwiegende Mehrzahl bilden. In solchen Fällen verschlüsseln Hacker die Daten von Unternehmen, um für die Freigabe ein Lösegeld zu erpressen.  Dies führt dann schnell zum teilweisen oder sogar vollständigen Betriebsstillstand.

In welchem Stadium steigen Sie als Versicherer ein, wenn ein Kunde betroffen ist?
Sieverding:
Das ist von Kunde zu Kunde und von Versicherer zu Versicherer unterschiedlich. Wir bei Hiscox steigen sofort ein, wenn der Kunde mit einer Krisensituation an uns herantritt.  Wir glauben, dass sich Schlimmeres verhindern lässt, je früher man auf ein Netzwerk aus Experten für direkte Hilfe zurückgreifen kann. Das gilt vor allem für Mittelständler ohne eigenen Krisenstab. Es gibt auch Versicherer, die  sich auf den reinen Risikotransfer konzentrieren und im Nachhinein für entstandene Kosten aufkommen. Für große Unternehmen mit eigener Krisenabteilung kann dies durchaus sinnvoll sein. Welche Lösung die bessere ist, lässt sich also nicht per se sagen.

IT-Forensiker, Rechtsanwälte, PR-Spezialisten: Ein Cyberangriff kann schnell teuer für den Versicherer werden, zumal wenn die Ansteckungsgefahr für andere Unternehmen in Zeiten der Vernetzung hoch ist: für Kunden, für Zulieferer…
Sieverding:
In der Tat, wir reden hier über das Kumulrisiko. Standard-Software wird von vielen Unternehmen genutzt, und das global: vom Handwerksbetrieb, von der PR-Agentur, vom produzierenden Gewerbe. In den USA, in Europa, in Asien. Hinzu kommt, dass die Vernetzung der Wirtschaft immer weiter zunimmt. Im Angriffsfall ist eine hohe Ausbreitung oder Betroffenheit eines der großen Risiken für Versicherer. Das ist etwa bei Naturgefahren anders. Sturm, Hagel, Überschwemmung sind immer regional begrenzt.

Sind die Risiken im produzierenden Gewerbe besonders hoch?              
Sieverding:
Das IT-System eines Produktionsbetriebs im Drei-Schicht-Modell ist – verglichen mit einem Unternehmen, das nur Standard-Bürosoftware verwendet – sehr viel aufwendiger und teurer wiederherzustellen. Und ein Produktionsstillstand wird schnell sehr teuer. In der Debatte um Kumulrisiken wird deshalb viel über diese Branche diskutiert. Grundsätzlich aber ist das Kumulthema losgelöst von einzelnen Branchen zu betrachten. Alle Unternehmen, die beispielsweise das Betriebssystem Windows verwenden, unterliegen der Gefahr,  Opfer von Angriffen auf dieselbe Windows-Schwachstelle zu werden.

Vier von fünf Unternehmen finden Cyberpolicen interessant – so sagt es eine aktuelle Studie. Angesichts der Debatte um Kumulrisiken: Wie interessant finden Sie Cyberpolicen noch?
Sieverding:
Sehr interessant!  

Dabei nehmen die Kumulrisiken doch zu, je größer der Verbreitungsgrad von Cyberpolicen ist: Die Risiken in den Büchern der Versicherer wachsen.
Sieverding:
In der Tat kommen wir inzwischen in eine Phase, in denen sich die Bücher der Versicherer füllen und die Anzahl der versicherten Unternehmen  so groß wird, dass sich die Risikoträger zunehmend über die Beherrschung der Kumulrisiken Gedanken machen müssen.  Die Hauptaufgabe als Versicherung, unsere Daseinsberechtigung, ist es ja gerade, Risiken durch Unsicherheit von unseren Kunden zu übernehmen. Wir können uns als Branche nicht wegducken und sagen: Cyber ist uns zu heiß, das machen wir nicht.

Die Cyberversicherung ist die Feuerversicherung des 21. Jahrhunderts – taugt dieser Vergleich?
Sieverding:
Beim Risiko Feuer ist es den Versicherern gelungen, sinnvolle Brandschutzmaßnahmen und -strukturen in Unternehmen zu verankern, damit Schäden kalkulierbar werden. Vor dieser Herausforderung stehen wir jetzt auch bei Cyber. Welche Voraussetzungen und Standards muss ein Unternehmen erfüllen, damit es versicherbar wird? Als Versicherer haben wir auch die Rolle des Aufklärers: Welche Schadenfälle passieren gerade? Wie sehen die Angriffsmechanismen aus? Was sind typische Auswirkungen? Wie sehen sinnvolle Schutzmaßnahmen aus? Das ist notwendig, damit das Kollektiv besser vorbereitet ist, die Kriminellen nicht mehr so ein leichtes Spiel haben und sich dadurch auch die Schadenhöhe begrenzen lässt.

Welche Rolle spielt Silent Cyber, also solche Hacker-Schäden, die meist unbewusst über andere Versicherungsprodukte abgedeckt sind? Hat die Branche diese stillen Risiken unterschätzt?
Sieverding:
Ob die stillen Risiken unterschätzt wurden, werden wir erst dann wissen, wenn es einen großen  Massenschaden  gegeben hat. Natürlich spielen Cybergefahren auch in andere Versicherungssparten mit hinein: Vertrauensschaden-, Haftpflicht-, Vermögensschadenversicherung. Ein Beispiel: Inzwischen bieten auch klassische industrielle Hersteller immer mehr IT-Dienstleistungen und -Produkte mit an. Dass nicht nur eigene Systeme angreifbar sind, sondern auch die angebotenen Produkte und Leistungen selbst, haben viele noch nicht auf dem Schirm. Für den Versicherer sollte es am Ende egal sein, wo er das Risiko deckt – entscheidend ist, dass er sich darüber klar ist. Bei Hiscox nehmen wir das Thema Cyber und Silent Cyber sehr ernst, entwickeln Risikomodelle und spielen laufend mögliche Szenarien durch, um unsere Modelle zu schärfen.

Mit welchen Szenarien beschäftigen Sie sich?
Sieverding:
Da gibt es ganz viele Pack-Enden, die wir ergreifen. Auf der einen Seite schauen wir uns historische Ereignisse an, wie Wannacry, NotPetya oder Heartbleed. Wie hoch waren die Zahl und der Anteil der infizierten Rechner? Wie schnell waren die Unternehmen im Schnitt wieder am Netz? Wie viele Unternehmen waren gut, beziehungsweise schlecht vorbereitet? Welche Leistungen haben die Unternehmen gebraucht? Daraus lässt sich ableiten, welche Auswirkungen ein ähnliches Ereignis heute auf unser gesamtes Versicherungsportfolio hätte. Auf der anderen Seite schauen wir aber auch nach vorne, welche neuen Angriffsvektoren und Schadenszenarien es zukünftig geben kann.

Für Deutschland oder Europa fehlen historische Schadendaten bei Cyber. Helfen weiter entwickelte Märkte – die USA, Asien – bei der Bewertung?
Sieverding:
Das kann durchaus ein Weg sein. Das Schadenbild durch eine Ransomware-Attacke ist beispielsweise bei Unternehmen weltweit sehr ähnlich. Der Cyberversicherungsmarkt in den USA ist deutlich weiter entwickelt als bei uns. Natürlich pflegen wir daher einen sehr engen Austausch mit unseren US-Kollegen und können viel voneinander lernen.  Gleichzeitig sind viele Gegebenheiten – Gesetzeslage, Wettbewerber, Preis, Vertriebsstrukturen –  anders als hier und lassen keine direkten Rückschlüsse zu. Wir sind also in jedem Fall gut beraten, auch in Deutschland unsere eigene Datenhistorie aufzubauen.

Wie versicherbar sind Cyberrisiken in fünf Jahren?
Sieverding:
Wir befinden uns in einem lernenden Markt. Cyber entwickelt sich dynamischer als jede andere Gefahr, die wir Unternehmen bisher abgenommen haben. Cyberrisiken müssen für die Wirtschaft beherrschbar sein. Für die Versicherungsbranche ist es eine Chance, als Lösungsanbieter wahrgenommen zu werden. Ich glaube, dass wir in Deutschland in wenigen Jahren von einem Milliarden-Markt sprechen werden.
Die Fragen stellte Simon Frost.

Zur Startseite
Auch inter­essant