Rafael Kurz, Versicherungswirtschaft heute, vom 8. April 2014

“Cyberrisiken sind versicherungsmathematisch schwerer zu handhaben als Naturkatastrophen”, sagt Onnen Siems, Geschäftsführer von Meyerthole Siems Kohlruss. Der Referent beim heutigen AMC-Thementag Cyberversicherungen erklärt im Gespräch mit VWheute, wo die Chancen und Risiken für neue Produkte auf dem Versicherungsmarkt der Zukunft zu suchen sind.

“Das Problem mit der Bewertung von Cyber-Risiken ist, dass es sich um ein relativ neues Risiko handelt. Es ist von daher nicht mit der klassischen Schadensversicherung vergleichbar. Sie können sich im EDV-Bereich nicht einfach gegen Feuer, Sturm oder Erdbeben versichern. Es gibt kaum Schadenserfahrung und kaum Produkte. Es gibt entsprechend auch kein standardisiertes Underwriting. Man kann an dieser Stelle mit unserer Kanzlerin durchaus vom Neuland Internet reden”, erklärt Onnen Siems.

VWheute: Welches Spektrum an Schadensfällen lässt sich überhaupt absichern?

Onnen Siems: Es gibt die DOS-Angriffe, die Webseiten lahmlegen, das Hacking von Webservern, um dort Schadsoftware zu platzieren oder Spionageangriffe vorzubereiten. Weiter gehören zu den Top-Sechs der Bedrohungen Drive-by-Exploits, gezielte Schadsoftware-Infiltration mithilfe von Social Engineering, ungezielte Verteilung von Schadsoftware via Spam sowie mehrstufige Angriffe. Im Schadenfall lässt sich unterscheiden: Handelt es sich um einen Eigenschaden oder um einen Fremdschaden, der verursacht wurde. Betriebsunterbrechungen durch ausgefallene Server müssen im ersten Fall genauso versichert werden wie die Forensik. Spezialisten-Teams untersuchen die Ursachen eines Falles und das ist mit Kosten verbunden. Genauso können Sie die Wiederherstellung des Systems mit Kosten beziffern. Ähnlich einer ausgefallenen Maschine ist die Reparatur der EDV dann mit einer gewissen Summe abgedeckt.

Sie können auch die Reputationsverluste mitversichern. Tritt der Schadensfall ein, können Sie gleich auf eine Summe zurückgreifen, die beispielsweise Maßnahmen der Krisen-PR abdecken. Womit wir bei den Drittschäden wären. Sind Kreditkartennummern von Kunden betroffen, kann leicht eine größere Entschädigung drohen. Neben Haftpflichtschäden kommen hier auch die gesetzlichen Auflagen zum Tragen. Sie sind als Unternehmen verpflichtet, die Betroffenen zu informieren, was wiederum – einem klassischen Rückruf vergleichbar – Kommunikationskosten verursacht.

VWheute: Wo sind die Herausforderungen im Underwriting-Prozess?

Onnen Siems: Das Underwriting von Cyberrisiken ist ein höchst individuelles Verfahren. Sie müssen Eintrittswahrscheinlichkeit, Schadensausmaß und Kumul in Betracht ziehen. Ein Grundsatz der Versicherungswirtschaft, dass Schadenereignisse unabhängig zu betrachten sind, kann bei einem Virus schnell hinfällig werden. Ein Risikomanager, der ein Unternehmen im Underwritingprozess aufsucht, muss entsprechend IT-Fachmann und Versicherungsspezialist sein. Er muss prüfen können, ob Grundvoraussetzungen ISO 27001 oder der IT-Grundschutz gelebt werden oder nicht nur auf dem Papier existieren. Ohne derartige Zertifikate und ohne eine Katalogisierung von bis dato aufgetretenen Schadensfällen halte ich ein Unternehmen übrigens für nicht versicherbar.

VWheute: Lohnt sich aus Ihrer Sicht das Geschäft mit den Cyberrisiken für die Versicherer überhaupt?

Onnen Siems: Cyberversicherungen sind ein sehr großer Wachstumsmarkt sowohl für die Versicherer als auch für den Kunden. Nach aktuellen Schätzungen der Allianz liegt der Markt in 2018 bei einer Milliarde Euro. 2012 waren gerade mal fünf Prozent der Unternehmen entsprechend versichert bei einem Prämienvolumen von 50 bis 70 Millionen Euro. Aktuell sind zwar nur die großen Versicherer beteiligt, weil eben die Risiken schwer einzuschätzen sind. Aber auch mittelgroße Unternehmen können meines Erachtens bald profitabel am Markt teilnehmen.