Simon Frost, gdv.de, vom 7. März 2019

Mit zwei Dingen kennt sich Onnen Siems besonders gut aus: mit Zahlen und mit Versicherungen. Im Gespräch verrät der Aktuar, wie eine Cyberpolice konzipiert sein sollte – und warum sie den gesamten Markt verändern kann.

Herr Siems, in der Branche setzen viele große Hoffnungen auf die Cyberversicherung – sie gilt als Feuerversicherung des 21. Jahrhunderts. Wie ist Ihre Einschätzung?
Onnen Siems: Ich bin der festen Überzeugung, dass es sich in genau diese Richtung entwickeln wird. Die fortschreitende Digitalisierung und damit einhergehende Verbindung mit dem Internet macht die Betriebe anfälliger für Hackerangriffe und eine Absicherung nötig. Wir werden die Cyberversicherung als einen Standard für Unternehmen sehen.

Und das heißt was für das Prämienvolumen?
Siems: Wir gehen derzeit von einem Volumen in Deutschland von 100 Millionen Euro aus. Das wird sich rasant weiterentwickeln. Ich erwarte, dass wir in fünf Jahren ein Prämienvolumen von mehr als einer Milliarde Euro haben werden.

Gibt es denn eine Faustformel, um den Tarif einer Cyberversicherung zu kalkulieren?
Siems: Ganz grob lassen sich die Kosten in drei Teile gliedern. Der Eigenschaden, der Drittschaden und die Assistanceleistungen, um die Systeme wieder ans Laufen zu bekommen. Gerade bei kleinen Unternehmen beeinflussen die Assistanceleistungen durch externe IT-Experten die Höhe des Tarifs wesentlich: IT-Forensiker sind sehr gefragt – und deshalb auch sehr teuer. Dies kann 60 Prozent der Prämie ausmachen. Bei größeren Unternehmen gewinnt der Eigenschaden an Bedeutung und dürfte bei der Tarifierung mit etwa 40 Prozent zu Buche schlagen.

Sie können bislang auf wenig Erfahrungswerte setzen. Erschwert das die Arbeit?
Siems: Die Cyberversicherung ist ein junges, hochkomplexes Produkt. Es gibt kaum Schadenerfahrung und keine unternehmensübergreifenden Statistiken. Die einzelnen Anbieter haben hierzulande bislang überwiegend nicht mehr als eine dreistellige Zahl an Policen gezeichnet. Erschwerend kommt hinzu, dass sich die Produkte zum Teil deutlich voneinander unterscheiden, was den Deckungsumfang und die Versicherungssummen der einzelnen Bausteine angeht. Das macht sie nur bedingt vergleichbar.

Auf welcher Datenbasis fußen die aktuellen Produkte?
Siems: Da hilft ein Blick in die USA. Dort ist der Markt für Cyberpolicen schon recht weit entwickelt, wir reden von mehreren Milliarden Dollar Prämienvolumen. Allerdings sind die Erkenntnisse nur bedingt übertragbar auf europäische Verhältnisse: Die Entschädigungssummen in der Haftpflicht sind dort sehr viel höher als in Europa. Für deutsche Unternehmen hingegen stehen Assistance und Eigenschaden als größte Kostenkomponenten im Vordergrund. Das Risiko, dass ein Schaden eintritt, ist hierzulande jedoch sicherlich ähnlich hoch wie in den USA.

Gibt es noch weitere Quellen, die Sie für die Kalkulation nutzen?
Siems: Ja, die gibt es. Eine sehr wichtige Quelle für uns sind die Landesdatenschutzbeauftragten und Landeskriminalämter. Wir greifen zusätzlich auf wissenschaftliche Studien und Untersuchungen von IT-Beratungsfirmen zurück. Nicht zuletzt führen wir Experteninterviews, etwa wenn es darum geht, wie lange ein Betrieb nach einem Cyberangriff lahmgelegt sein könnte.

Was nützen denn Daten von heute, wenn in fünf Jahren die Schadensummen um ein Vielfaches höher liegen?
Siems: Das ist in der Tat ein wichtiger Punkt. Bei Cyberversicherungen haben wir ein besonders hohes Änderungsrisiko: Der technologische Fortschritt macht sich bei diesen Policen viel stärker bemerkbar als bei anderen. Schäden in der Zukunft sind deshalb schwerer kalkulierbar.

Aber gerade deshalb brauchen wir den Blick in die Vergangenheit. Um nämlich Trends erkennen zu können. Angriffsmuster entwickeln sich weiter, Angriffsschwerpunkte verschieben sich. Wer diese Veränderungen frühzeitig bemerkt, kann angemessen gegensteuern, sein Pricing und Underwriting anpassen: Welche Risiken kann ich überhaupt noch zeichnen, welche fallen raus.

Bedeuten die vielen Unwägbarkeiten, dass die Versicherer noch mit hohen Sicherheitszuschlägen kalkulieren müssen?
Siems: Die Versicherer sind sehr vorsichtig in den Markt gestartet – also eher mit einem Polster in der Prämie. Tendenziell werden die Prämien aktuell aber niedriger. Denn die Branche hat in weiten Teilen ihre Vertriebsziele nicht erreicht und senkt deshalb jetzt die Preise. Dafür sorgt auch der wachsende Konkurrenzdruck in dem Segment.

Wie hoch ist denn ungefähr die durchschnittliche Prämie für einen kleinen Handwerksbetrieb? Und wo liegt sie für einen Mittelständler mit 250 Mitarbeitern?
Siems: Für einen Handwerksbetrieb mit wenigen Mitarbeitern liegt die Jahresprämie im dreistelligen Euro-Bereich. Ein größerer mittelständischer Betrieb muss mit einem niedrigen fünfstelligen Betrag kalkulieren, kann die Prämie durch die Wahl eines auf ihn zugeschnittenen Leistungsumfangs und einer hohen Selbstbeteiligung noch ein gutes Stück drücken. Allgemein kann man sagen, die Cyber-Prämien bewegen sich im Rahmen einer klassischen gewerblichen Haftpflichtversicherung.

Für Versicherer ist nicht nur die Sicherheit des einzelnen Unternehmens wichtig. Bei Cyber gilt das Kumulrisiko – also die Wahrscheinlichkeit eines Massenschadens – als Herausforderung.
Siems: Richtig, Cyberattacken kennen keine nationalen Grenzen, sie finden weltweit gleichzeitig statt und sind unberechenbar. Ein echtes Kumulereignis könnte zur Folge haben, dass nur noch solche Unternehmen Versicherungsschutz bekommen, die über einen entsprechenden Mindest-Reifegrad der IT verfügen oder in den letzten Jahren schadenfrei waren. Es könnte auch dazu führen, dass die globalen Rückversicherungspreise anziehen.

Es gibt unter IT-Experten aber auch eine andere Theorie: Dadurch, dass die eingesetzten EDV-Systeme gar nicht so homogen sind, ist das Kumulrisiko nicht so groß wie auf den ersten Blick vermutet. Es machte eben einen Unterschied, welche technischen und organisatorischen Maßnahmen ich in meinem Unternehmen installiert habe: von der Firewall bis zur regelmäßigen Schulung der Mitarbeiter.

Unter diesen Gegebenheiten: Welche Rolle spielen die Rückversicherer bei der Marktentwicklung?
Siems: Cyber ist kein Risiko, das sich nur regional auswirken kann, wie etwa ein Sturm. Von daher können Rückversicherer es auch nicht – wie bei Naturgefahren – über einen globalen Ausgleich sondern nur über die Zeit diversifizieren. Über global operierende Rückversicherer wird versucht, das Risiko zu reduzieren. Die Komplexität dieser Rückversicherungslösungen ist oft sehr hoch und sollte hinsichtlich ihrer Effizienz einer aktuariellen Bewertung unterzogen werden. Erstversicherer können allerdings selbst bei der Quantifizierung solcher Lösungen unterstützen, indem sie Bestands- und Schaden-Kumule in ihren Systemen erfassen und in unseren Cyber-Datenpool melden, der eine tiefergehende Behandlung des Kumulrisikos eröffnet.

Das Gespräch führte Simon Frost.

Noch Fra­gen? - Aber sicher ...

Sicherheit ist für mich?
Ein sehr hohes Gut, aber auch mit viel Arbeit verbunden.

Mein erster Computer war?
Ein ZX81 von Sinclair mit Folientastatur. Ein Computer mit einem Kilobyte Arbeitsspeicher – ich hatte eine Erweiterung mit 16 Kilobyte. Das muss so Anfang der 1980er Jahre gewesen sein.

Mein erster Virenscanner war?
Das war Antivir, ein damals kostenfreier Virenscanner. 1998, als wir die Firma gegründet haben.

Mein schlechtestes Passwort war?
Das möchte ich nicht verraten. Das war wirklich sehr schlecht.

Windows oder Linux?
Eigentlich ist Linux das elegantere System. Die meisten unserer Kunden nutzen Microsoft – für die bessere Kompatibilität nutzen wir das deshalb auch.

Whatsapp oder Threema?
Auf meinem Diensthandy ist kein Whatsapp installiert, weil ich nicht möchte, dass meine Kunden an Whatsapp gemeldet werden.

Mein letzter Post auf Facebook war?
Der liegt schon ein bisschen länger zurück, bestimmt ein Jahr. Ab und zu like ich mal etwas. Mittlerweile stehe ich Facebook kritischer gegenüber als früher.

Die meisten Daten von mir hat?
Ich würde sagen, Amazon.

Wenn ich 50.000 Dollar von einem reichen Onkel aus Afrika erbe?
Dann ärgere ich mich, dass mein Spam-Filter nicht funktioniert hat.

Alexa, …
Dem Thema Smarthome bin ich kritisch gegenüber eingestellt. Die Digitalisierung hat ihre guten Seiten, aber aus meinem Privatleben möchte ich das heraushalten.

Zur Per­son
Beruflich beschäftigt sich Onnen Siems mit Versicherungstarifen und Algorithmen, privat beschäftigen ihn seine drei Kinder. Nach seinem Mathematik- und Informatikstudium in Hannover und einer Zwischenstation bei der Concordia Versicherung verschlägt es den gebürtigen Niedersachsen ins Rheinland. Inzwischen Kfz-Experte bei der Kölnischen Rückversicherungsgesellschaft, wagt er 1998 den Sprung in die Selbstständigkeit. Damals ist er 34 - und bis heute einer von drei Chefs bei Meyerthole Siems Kohlruss, Gesellschaft für aktuarielle Beratung.