Der Bereich der Cyber-Absicherung ist für viele Marktteilnehmer – Kunden, Gesellschaften wie Vermittler – noch Neuland. Gleichwohl entsteht hier für Berater, die sich in die komplexe und dynamische Materie einarbeiten, ein spannender Markt, der quasi alle gewerblichen Kunden zunehmend betrifft. Wir sprachen mit Christian Müller (RWM Group), langjähriger Experte und Berater im Cyber-Risk-Bereich, über Risikoszenarien, Marktchancen und darüber, wie Vermittler sich optimal rüsten können.

Herr Müller, Gefahrenpotenziale aus der Welt der digitalen Medien sind für Unternehmen immer noch ein ungewohntes Feld, obgleich hier die Bedrohungen stark zunehmen und auch die Szenarien sich stetig verändern. Was sind die wichtigsten Cyber-Risiken, vor denen sich mittelständische Unternehmer schützen sollten?
Cyber-Risk
Christian Reinhard Müller, Diplom-Kaufmann und Versicherungsberater bei der RWM Group

Christian Müller: Die Frage der Risiken ist eng verwoben mit dem Geschäftsmodell. Beispielsweise hat ein Pizza-Bringdienst andere digitale Prozesse als ein Zulieferer für die Automobilindustrie der just in time zuliefert. Bei dem Thema Cyber-Risiken assoziiert man gerne den Hackerangriff, den Datenklau, Virenbefall oder Erpressungstrojaner. Das sind die Fälle, die oft in Funk und Fernsehen publik werden. Meist sind dieses Eigenschäden, die hervorgehoben werden.

Größere Risiken liegen jedoch im Drittschadensbereich. Man denke an Industriespionage. Oder bösartige Shitstorms in Social Media-Bereichen. Das sind Risiken die durch die verschärften Rechtsrahmen im Datenschutz oder durch das IT Sicherheitsgesetz noch gravierendere Folgen haben können. Und hier sind bei einer Cyber-Police sogenannte Assistanceleistungen wichtig. Eine „zerstörte IT-Landschaft“ kann man vielleicht aus eigenen Mitteln retten, wird man jedoch aus Amerika mit Schadensersatzforderungen konfrontiert, bedarf es anderer Hilfestellungen. Und auch das obligatorische “Skandalierungsgebot” – eine Art Selbstanzeige beim BKA im Fall eines Cyber Angriffes – führt immense Aufwände in der Kundenkommunikation hervor. Das wird in den Szenarien meist unterschätzt.

Die nachstehende Grafik grenzt die traditionellen Versicherungen von den Cyber Ergänzungen ganz gut ab:

 

 

Insbesondere IT-Unternehmen sehen sich hier signifikanten Gefahren gegenüber. Sind aus Ihrer Sicht diese Unternehmen und Unternehmer gut abgesichert, oder gibt es vielleicht gerade hier Nachholbedarf?

Christian Müller: Das kommende EU DSGVO, die Datenschutzgrundverordnung, rüttelt aktuell die Entscheidungsträger wach. Mit dieser können bei Datenschutzverstößen drakonische Summen für Ordnungswidrigkeiten aufgerufen werden, die man in der Regel nicht eben aus der Portokasse bezahlt. Das Thema Cyber- und Risikomanagement hält vereinzelt Einzug auf die Agenda der Geschäftsleitung. Im KMU-Bereich ist dieses zu über 90 Prozent Neuland, wie auch die Ponemon-Studie von IBM belegt. In Großkonzernen ist dieses durch die vorhandenen Compliance Abteilungen durchkommuniziert.

Unterstellt man mal ein gutes Risikokonzept, das technische Versicherungen, Vertrauensschadens- und Betriebsaufallsversicherungen abdeckt, so ergeben sich je nach Cyber-Szenario durchaus signifikante Abdeckungslücken. Eine Cyberversicherung ist keine All Risk Absicherung, sie ergänzt bestehende Konzepte. Und der besondere Mehrwert: Zugriff auf Spezialisten durch Assistanceleistungen. Das ist relevant, wenn es brennt, denn dann ist Schnelligkeit von Profis gefragt.

Um die Frage zu beantworten. Nein, es herrscht viel Aufklärungs- und Nachholbedarf in der jungen Thematik vor. Als RWM Group bieten wir ja ganztätige Seminare zum Thema Cyberversicherungen an. Anhand der Rückfragen auch von Fachprofis im Gewerbebereich oder auch Geschäftsführern, die an den Seminaren teilnehmen, zeigt sich, dass sehr viel Informationsbedarf vorherrscht. Und das betrifft die Themen Risikomanagement, rechtlicher Rahmen und Cyber-Policen gleichermaßen.

Und was befürchtet wird, zeigt das folgende Schaubild aus der IBM Ponemon Studie von 2016. Hier zeigt sich auch die Vielfalt der möglichen Versicherungsfälle:

 

 

Welche Risiken können insbesondere diese Unternehmen treffen?

Christian Müller: Gehen wir mal von dem Standpunkt Compliance aus. Dieser besagt ganz einfach, dass es nach den Rechtsvorschriften, also rechtskonform, zugehen muss. Bei größeren Unternehmen kommen das Fragen nach der Haftung und dem Organisationsverschulden auf. Bei den geänderten Rechtsrahmen wie IT-Sicherheitsgesetz und EU DSGVO stellt sich auch schnell die Frage nach der Organisationshaftung. Das können bedrohliche Szenarien sein. Fataler ist es, wenn der Geschäftszweck oder die Reputation geschädigt werden.

So hat beispielsweise der Nestlé Konzern durch einen Twitter und Facebook Shitstorm über 30 Prozent seines Aktienwertes über Nacht verloren. Aber auch in kleinem Rahmen kann es existenziell werden. Denken wir doch mal an den Pizza-Bringdienst in einer mittleren Stadt. Wenn ein böser Wettbewerber immer zu besten Bestellzeit zwischen 18:00 – 22:00 die Webseite des Pizza-Dienstes zum Erliegen bringt, wird es existenziell. Ein letzter Fall aus der Praxis: Auerbachs Keller, ein renommiertes Restaurant in Leipzig. Dort ist ein Schaden von über 2 Millionen Euro durch Manipulation der Kreditkartenleser und Spionagesoftware entstanden.

 

Der Markt der Cyberversicherungen ist ja noch vergleichsweise jung. Worauf sollten Unternehmer bei der Auswahl des richtigen Anbieters achten? Oder anders gesagt: Was würden Sie von einem Versicherer hier erwarten?

Christian Müller: Aus der Brille des Kunden argumentiert: Was benötigt dieser im Schadensfall? Er braucht spezialisierte Hilfe. Ob das ein PR-Berater ist, ein IT-Forensiker oder ein Fachanwalt für Strafrechtschutz, das ist stark abhängig vom eintretenden Szenario. Als Mindestanforderung wird ein Adressverzeichnis von Spezialisten benötigt, weiterführend sogar der Zugriff auf diese Spezialisten und natürlich eine schnelle Deckungszusage des Versicherers.

Die zweite Komponente sind Klauseln, die auch greifen. Also keine späten Überraschungen durch Limits, Sublimits oder zu streng auslegbare Obliegenheiten. Auch bei der Abgrenzung zu bestehenden Versicherungen sollten pragmatische Lösungen beim Thema Subsidiaritätsklauseln bestehen. Das vermeidet langwierige Abgrenzungsdiskussionen, gerade im Krisenfall das letzte, was man braucht.

 

Auch für Vermittler ist das Beratungsumfeld oft neu, aber auch spannend, da es große Potenziale bietet. Wie kann ein freier Vermittler sich optimal auf die Beratung im Cyber-Umfeld vorbereiten?

Christian Müller: Komprimiert kann sich ein Vermittler zum Beispiel in unseren Seminaren informieren, aktuell verfassen wir auch ein Fachbuch im vvw Verlag dafür. Ansonsten ist die Literaturlage dünn bzw. die Quellen nicht vertrauenswürdig. Wenn es ein Selbstlern-Ansatz sein soll, dann ist es hilfreich, sich die e-Crime Studie 2017 von KPMG, die IBM Ponemon Studie und den aktuellen BKA Bericht durchzulesen. Dann hat man zumindest eine Sensibilität für die Versicherungsfälle.

 

Danach heißt es: Bedingungen lesen und Klauseln auslegen und auch zu hinterfragen. Wir haben global 73 echte Cyber-Versicherungspolicen, mit steigender Tendenz. Und keine ist mit der anderen vergleichbar. Um das zu beheben hat der GDV unverbindliche Musterbedingungen publiziert. Diese sollte man auch kennen.

Der Rest sind Erfahrungswerte und praktische Informationen, die die Vertriebsunterstützung der Versicherer geben können. Ein wenig aufwändig ist das Selbststudium schon. Aber auch ein gutes Einfallstor für die gesamte Thematik Gewerbe -Sach.

 

Für welche Art Vermittler eignet sich der Einstieg in die Beratung hier besonders gut und warum? Was sollte der Vermittler mitbringen, um hier erfolgreich zu werden?

Christian Müller: Nun, eine gute Basis ist sehr gute Kenntnisse im Gewerbe-Sach-Bereich. Das ist schon mal die halbe Miete. IT-Affinität und technisches Vorstellungsvermögen gehören sicherlich ebenso dazu wie die Liebe, sich auch in Bedingungen verlieren zu können. Und ja: last not least eine Visualisierung des Vertriebsprozesses. Auch das muss man mögen und einen längeren Atem haben, da im Vorfeld viel Überzeugungsarbeit geleistet werden muss.

Herr Müller, vielen Dank für diese interessanten Informationen!

 

Titelbild. (c) ArTo, Beitragsnachweis: (c) RWMGroup

 

Ihre Meinung zu diesem Beitrag?

Please enter your comment!
Please enter your name here