Interview in der Zeitschrift für Versicherungswesen, vom 1. August 2018

Cyber gilt als vielversprechender Markt, doch Bedenken und Unwägbarkeiten sind groß. Wie soll sich die Branche hier positionieren? Ein Versicherer, der Cybergeschäft zeichnet, im Gespräch mit einem Versicherungsmathematiker.

Herr Wegerhoff, die Gothaer bietet seit Januar 2017 Cyberprodukte an. Wie lässt sich Cyber in den Griff bekommen?

Udo Wegerhoff: Das ist nicht einfach zu beantworten. Das zentrale Problem sind die derzeit nicht verfügbaren Daten. Für Europa und speziell Deutschland liegt keine nennenswerte Schadenhistorie vor. Anders ist dies für die USA, wo Cyberprodukte seit zehn bis 15 Jahren vertrieben werden. Da dort jedoch der Markt in vielen Punkten grundlegend anders läuft – etwa bei Ansprüchen aufgrund von Datenrechtsverletzungen –, sind diese Erfahrungen kaum übertragbar. Unser Ansatz ist, strukturiert vorzugehen, Risiken zu bewerten und validierbar zu machen. Wir haben ein Modell entwickelt, das langfristig auf vernünftigen, validierten Daten aufbaut.

Onnen Siems: Wenn man ein Modell entwickelt, ist es entscheidend, getroffene Annahmen festzuhalten, zu reflektieren und diese im weiteren Verlauf mit der Schadenentwicklung zu synchronisieren. Um Cyber in den Griff zu bekommen, ist eine steile Lernkurve nötig. Im Augenblick sollten Geschäfte vorsichtig gezeichnet werden und immer wieder zeitnahe Anpassungen stattfinden.

Wegerhoff: Bei der Einführung der Produkte hat für uns Vorsicht eine große Rolle gespielt. Angeboten haben wir die Produkte zunächst nur für Bestandskunden ab einer bestimmten Unternehmensgröße.

Hat sich Ihr Produkt in den letzten zwölf Monaten verändert?

Wegerhoff: Ja, wir passen das Produkt unterjährig an. Dies höre ich auch von anderen Marktteilnehmern. Insgesamt entstehen und wandeln sich die Produkte in einem dynamischen Umfeld aus Versicherer, Kunden und Maklern sehr schnell. Eine Rückmeldung, die wir dabei aus dem Vertrieb bekommen, ist, dass der Verkaufserfolg dagegen derzeit noch hinter den Erwartungen zurückbleibt.

Wie kommt das?

Wegerhoff: Es kommen viele Gründe zusammen. Bei Cyber werden verschiedene Sparten in einem Produkt zusammengeführt – darunter Haftpflicht, Betriebsunterbrechung, Erpressung, Assistance-Dienstleistungen. So entsteht ein großer Erklärungsbedarf für das Produkt. Doch auch so ist Cyber keine einfache Materie. Wenn neue Kunden für Cyber gewonnen werden sollen, sind die Gesprächspartner oft auch die IT-Spezialisten der Unternehmen. Vor deren vermeintlicher Überlegenheit bei der IT-Fachkompetenz schrecken doch viele Makler und Vertriebs-Mitarbeiter zurück. Außerdem beobachten wir das Phänomen, dass sich viele Versicherungsnehmer nach Erhalt eines Angebotes schon mal ein halbes bis ganzes Jahr Zeit lassen, bis sie die Cyber-Police abschließen.

Was kann die Mathematik beitragen?

Siems: In Zusammenarbeit mit der E+S Rück befassen wir uns mit der Frage, wie sich Cyber tarifieren lässt. In einem ersten Schritt hat unser Beratungshaus dafür 10.000 Seiten an Fachliteratur gesichtet. Ein mühsames Unterfangen. Teilweise kann der Ertrag eines Papers, das 100 Seiten umfasst, nur eine einzige Kennzahl sein. Die Aufsätze sind meist akademisch gehalten und bieten nur wenig belastbare Daten. Dabei ist das, was im Augenblick besonders dringend wäre, die Entwicklung von Pricing- Modellen, die anhand von Daten parametrisiert und kalibriert werden. Doch diese Daten fehlen. Ergiebiger als die wissenschaftlichen Aufsätze sind da diverse Umfragen oder Studien, die wir ebenfalls ausgewertet haben – von Wirtschaftsprüfungsgesellschaften, IT-Beratungsgesellschaften und den Landesdatenschutz-Beauftragten. Unser Ziel ist, die Größenordnungen der Schadenhöhen sowie der Schadenfrequenzen separat für die wesentlichen Unterkomponenten der klassischen drei Bausteine abzuleiten. Neben der Unternehmensgröße spielen weitere Faktoren, beispielsweise die Branche des Unternehmens oder die Anzahl potenziell betroffener Datensätze, in der Kalkulation eine Rolle.

Zusammen mit der E+S Rück gründen Sie einen Datenpool für Cybergefahren. Welche Schadendaten gehen dort ein?

Siems: Es handelt sich um Bestands- und Schadendaten, wobei wir das Datensatzkonzept der GDV-Meldung zugrunde legen. Ein besonderes Augenmerk liegt auf dem Ziel, Kumule zu erfassen. Dafür sollen einflussreiche Merkmale identifiziert werden wie zum Beispiel, welchen Clouddienstanbieter ein Versicherungsnehmer nutzt. Das Ziel ist eine hohe Granularität der Daten. Welche Merkmale dafür genutzt werden, wird im Herbst dieses Jahres im Rahmen eines Startworkshops mit allen teilnehmenden Gesellschaften vereinbart.

Herr Wegerhoff, stehen Ihnen da nicht die Haare zu Berge? Daten zu erheben geschieht oft über Risikofragebogen. Ein klassisches Konfliktthema mit dem Vertrieb.

Wegerhoff: Nein, im Gegenteil, ich stimme Herrn Siems voll zu, dass eine konsequente Datenerhebung zentral ist. In der Regel können größere Unternehmen Daten in anderer Güte und Reichhaltigkeit liefern als kleine und mittlere Unternehmen. Festzuhalten ist, dass unter den rund 25 Versicherern, die in Deutschland Cyberprodukte bieten, die Schadenerfahrung insgesamt noch sehr gering ausgeprägt ist.

Siems: Das deckt sich mit meinen Beobachtungen. Daher gibt es aktuell auch noch keine sauberen Kalkulationen. Das Geschäft ist sehr maklergetrieben. Der Vertrieb sieht sich das Wording sehr genau an, um gegebenenfalls Schwachstellen zu entdecken.

Herr Wegerhoff, wie gehen Sie als Versicherer mit dem extremen technischen Wandel um, der für Cyber prägend ist?

Wegerhoff: Wir können immer nur reagieren und versuchen, aktuelle Entwicklungen in die Bewertung und Kalkulation aufzunehmen. Pausenloses Monitoring ist da unumgänglich. Das gilt aber auch für andere Sparten wie etwa IT-Versicherungen. Allerdings führt nicht jeder technische Wandel auch zu Risikoerhöhungen – manchmal kann er auch risikomindernd wirken. Um ein Beispiel aus einer anderen Sparte anzuführen: Wenn im Brandschutz bessere Feuerschutztechniken entwickelt werden, kann dies helfen, die Schäden zu verringern. Tiefgreifende Änderungen erwarte ich durch das „Internet of Things“ und die Industrie 4.0. Es gibt immer mehr „mitdenkende“ Geräte – von Kühlschränken bis zu Lagerhallen, die z.B. eigenständig Ware nachordern. Als Versicherer müssen wir berücksichtigen, inwiefern sich hier gegebenenfalls Produktionsabläufe verändern. Hierbei handelt es sich allerdings um eine fließende Entwicklung. Es wird nicht ein Schalter umgelegt und plötzlich stehen fertige technische Neuerungen da. Sie entwickeln sich nach und nach.

Welche Rolle spielt das Thema Prävention?

Wegerhoff: Es ist zentral. Versicherer sind sehr interessiert an Kunden, die sich aktiv mit IT-Security und Prävention z.B. in Form von Awareness-Schulungen auseinandersetzen, wodurch Mitarbeiter lernen, Anhänge in Mails nicht leichtfertig zu öffnen oder unkritisch unbekannte Programme zu starten. Hier unterstützen wir unsere Kunden gerne im Vorfeld durch Schwachstellen- Scans, mit denen ermittelt wird, wo genau Probleme auf Seiten des Unternehmens
liegen. Wir zahlen dabei nicht etwa Firewall- oder Anti-Virenprogramme, sondern stellen einen Notfallplan für den Schadenfall bereit und bieten fachliche Unterstützung sowie eine Hotline, die rund um die Uhr zu erreichen ist. Damit bieten wir unseren Versicherungsnehmern zum einen eine umfassende Unterstützung, die sie oft selbst auch einfordern, zum anderen hoffen wir so, die Zahl der Schäden zu verringern.

Siems: Die EU-Datenschutzgrundverordnung hat hier sicher einen positiven Effekt, indem sie die Sensibilität in der Gesellschaft für Datensicherheit steigert. Es finden mehr Awareness-Schulungen, aber auch Folgenabschätzungen statt, welchen potenziellen Schaden etwa ein Datenleck mit sich bringt. Trotz alledem werden wir in Zukunft größere Cyberschäden erleben. Das ist sicher.

Wegerhoff: Dies können Kumul- oder große Einzelschäden sein.

Siems: Analog zu Hochwasserschäden rechne ich fest mit beidem.

Mit welchen Prämieneinnahmen rechnen Sie in Zukunft?

Wegerhoff: Es sind schon viele beeindruckende Zahlen genannt worden. Eine Studie sprach von 26 Mrd. Euro in den nächsten 20 Jahren. Auch ich erwarte eine steile Prämienentwicklung.

Siems: Ich wage mal eine Prognose. Mittelfristig rechne ich mit einer jährlichen Prämienverdoppelung, so dass Cyber bereits 2020 die Grenze von 1 Mrd. Euro knacken wird.