Cyber-Versicherungen: Nutzen für Unternehmen

Schutz bei Cyber-Angriffen

«Die Sensibilisierung für Cyber-Versicherungen wächst»

Die Versicherung gegen Cyber-Risiken wie etwa Ransomware ist ein junger Geschäftszweig. Doch was lässt sich überhaupt versichern, und wie viel kostet es? Versicherungsspezialist Fulvio Elia von AXA erklärt, wie Cyber-Versicherungen für kleine und mittlere Unternehmen funktionieren.

Herr Elia, AXA bietet eine Versicherung gegen Cyber-Risiken. Was ist damit versichert?

Fulvio Elia: Wir bieten schon länger eine so genannte Informatikversicherung an, mit der man gegen Hardware-Crashes versichert ist. Mit der seit März 2015 bestehenden Cyber-Versicherung für kleine und mittlere Unternehmen sind die Wiederherstellungskosten von Daten (Backup) und Programmen inkl. Säuberung des Betriebssystems, allfällige Haftpflichtansprüche und der daraus resultierende Betriebsunterbruch inkl. Mehrkosten nach einer Cyber-Attacke (z. B. Hackerangriffe, Schad-Software) versichert.

Wie gross ist das Geschäft mit Cyber-Versicherungen?

In den USA beträgt die Prämiensumme Schätzungen zufolge rund 3 Milliarden Dollar. In Europa sind es vielleicht 300 Millionen US-Dollar. In der Schweiz sind es schätzungsweise zwischen 10 und 30 Millionen.

Ein Nischenmarkt?

Richtig. Aber im letzten Jahr hat die Nachfrage von KMU deutlich angezogen, auch bei der AXA.

Warum nur KMU? Sind Grosskunden nicht interessant genug?

Nein, ganz im Gegenteil. Aktuell versichern wir aber nur kleine und mittlere Unternehmen und prüfen noch, wie es weitergeht. Die Cyber-Risiken von komplexen Grossunternehmen abzuschätzen bedarf eines spezialisierten Teams von Underwritern. Und ausreichender Rückversicherungskapazität.

Für Grossfirmen ist es aber auch enorm wichtig, dass KMU, die Zulieferer sind, gute Sicherheitsstandards aufweisen, da sie oft als Einfallstor zu einer Grossfirma missbraucht werden. Lieferanten haben häufig zum Beispiel über das CRM eine Schnittstelle zu einer für Cyberkriminelle interessanten Grossfirma. Es gibt bereits Grossfirmen, die eine Cyber-Versicherung für KMU als Lieferanten verlangen.

Und die Grossfirmen selber?

Die ersten, die um 2010 Cyber-Versicherungen eingekauft hatten, waren Banken und Versicherungen.  Grossunternehmen sind durchaus interessiert, Cyber-Risiken abzusichern, doch haben Sie die anstehende Jahresprämie von beispielsweise 50’000 Franken nicht budgetiert. So dauert ein Versicherungsabschluss Monate.

Naja, für Versicherungen wird aber in anderen Bereichen wie Krankentaggeldversicherung sehr viel mehr Geld ausgegeben. Ist das Risiko noch zu klein oder wird die Gefahr von den Firmen schlicht verdrängt?

Eine schwierige Frage. Eine grosse Firma gegen Cyber-Risiken zu versichern ist sehr komplex. Wir sprechen ja auch von Reputationsschäden, von Erpressung, von komplexen IT-Systemen und Infrastrukturen. Interessanterweise sind Firmen, die sehr viel in IT-Security investieren, eher bereit, eine Cyber-Versicherung abzuschliessen. Die Cyber-Versicherung ist im Gegensatz zu traditionellen Versicherungen noch sehr jung. Sie wird gerne mit der der Organhaftpflichtversicherung verglichen. Diese Versicherung wurde erst flächendeckend abgeschlossen, nachdem es vor ca. 20 Jahren ein paar schmerzhafte gerichtliche Prozesse gegen Verwaltungsratsmitglieder gab.

Am Ende des Tages geht es darum, wer bereits das nötige Risikobewusstsein hat?

Nicht unbedingt. Ich würde eine Stufe früher ansetzen. Grossunternehmen werden häufig von Versicherungsbrokern betreut. Für die Versicherungsbroker ist die Cyber-Versicherung ebenfalls neu und noch nicht im Standardangebot.

Wo lauern im Moment die grössten Risiken?

Im KMU-Bereich ist das ganz klar Ransomware. Bei grösseren Firmen geht es häufig um Spionage-Software, CEO-Fraud oder um den Versuch, gefälschte Rechnungen von Lieferanten mit falschen Bankverbindungen zu verschicken.

Stichwort Ransomware: Bezahlen oder eher nicht?

AXA versichert keine Lösegeldforderungen. Wir wollen diesen Markt nicht unterstützen. Es gibt aber im Grosskundengeschäft durchaus Versicherer, die das tun. Die unterhalten zu diesem Zweck sogar ein Bitcoin-Konto.

Da wird bezahlt, weil es die billigste Lösung ist?

Die Möglichkeit wird zur Verfügung gestellt. Die Forderungen an Kleinunternehmen sind meistens etwas tiefer als die Wiederherstellungskosten. Die Frage ist, ob man bezahlt und dann Ruhe hat. Die Empfehlung der Polizei ist, kein Lösegeld zu zahlen, sonst boomt dieser Markt noch weiter.

Eine unsichere Wette.

Meist bekommen die Geschädigten den Schlüssel für die Daten. Das ist Marktlogik: Würde es sich nie lohnen, würde auch niemand mehr bezahlen. Diese moralisch zweifelhafte Entscheidung nehmen wir dem Kunden mit unserer Versicherung ab: Wir zahlen für die Wiederherstellung der Daten, nicht aber das Lösegeld.

Eine Versicherungsprämie beruht immer auf Erfahrungswerten. Bei Cyber-Versicherungen bewegen sich die Versicherer aber in einem recht neuen Markt. Das Umfeld verändert sich rasend schnell und ist stark individualisiert. Wie setzt man eine Prämie, die einerseits nicht überteuert ist, andererseits aber noch rentiert? Und auch wenn wir die Statistik der letzten 10 Jahren hätten, wüssten wir nicht, welche Bedrohungslage morgen auf uns zukommt.

Wir haben wenige Tarifierungskriterien für kleine und mittlere Unternehmen, zum Beispiel, ob ein Teil des Umsatzes mit einem Webshop generiert wird. Wir fordern vom Kunden im Gegenzug eine Firewall, eine Antiviren-Software und ein wöchentliches Backup der Daten.

Dann reicht schon ein normales Windows, das regelmässig auf den neusten Stand gebracht wird. Ist es ein nachhaltiges Geschäftsmodell, auch die nachlässigen Kunden zu versichern?

Im KMU-Umfeld liegt das drin, um Erfahrungen zu sammeln. Ein minimaler Sicherheitsstandard ist mit den oben aufgeführten Massnahmen gewährleistet. Im Grosskundengeschäft stellen die Versicherungen deutlich mehr Fragen und arbeitet auch mit unabhängigen Gutachtern zusammen, welche die IT auf Sicherheitsrisiken durchleuchtet. Die Prämie ist in solchen Fällen individuell: je höher das Risiko, desto höher die Prämie. Aber man muss festhalten: Die Durchschnittsprämie für ein Kleinunternehmen beläuft sich bei uns auf 350 Franken im Jahr.

Erstaunlich, dass das noch kein Massenmarkt ist bei diesen Preisen.

Die Sensibilisierung wächst. Berichte über Schädlinge wie WannaCry werden in breiten Kreisen wahrgenommen. Im nächsten Jahr wird in der EU GDPR (General Data Protection Regulation) in Kraft treten und damit eine Meldepflicht an den Staat und die betroffenen Kunden bei Datenverlust. Die Frage ist im Moment, welche Auswirkungen das auf die Schweiz haben wird.

Betroffene Firmen müssen melden, wenn Daten geklaut werden?

Richtig, das kann einen massiven Reputationsschaden nach sich ziehen. Die Firmen müssen mehr in Sicherheit investieren. Das wird den Markt sicherlich beflügeln. Wir vermuten, dass in den USA die Cyber-Versicherung unter anderem wegen der Meldepflicht besser etabliert ist.

Gehen wir von den 350 Franken Prämie im Jahr aus: Wie viele Kunden dürfen eine versicherte Attacke geltend machen, damit ihr noch was verdient?

Wir gehen im Moment von 40 Fällen pro 1000 Kunden aus.

Wie seid ihr auf diese Zahl gekommen?

Da Erfahrungen fehlen, beruht das auf Annahmen. Das Hauptproblem ist aber nicht mal der fehlende Erfahrungswert, sondern die schnelle Veränderung der Bedrohungslage. Grundsätzlich kann man aber sagen: Der Kunde ist nicht interessiert daran, bei uns einen Schaden geltend zu machen. Er ist interessiert daran, die Sicherheit zu verbessern, um sich Ärger und Reputationsschaden zu ersparen.

Cyber-Attacken sind auch bei Staaten und Terrororganisationen immer stärker im Fokus. Bereiten sich die Versicherungen auf ein Worst-Case-Szenario vor?

Eine Arbeitsgruppe des Schweizerischen Versicherungsverbands beschäftigt sich damit. Man rechnet in so einem Fall mit einer Schadenssumme von ein bis zwei Prozent des Bruttoinlandprodukts.

Also bis zu 13 Milliarden. Was wären die Auslöser?

Das sind verschiedene Szenarien: Vom massiven Virenbefall bis hin zu Attacken auf die Stromversorgung und auf die Telekommunikationsunternehmen (Blackout-Szenarien).

Wird man in fünf Jahren überhaupt noch über das Für und Wider einer Cyber-Versicherung nachdenken?

Es ist schwierig zu sagen, wie weit entfernt der Horizont ist. Aber für mich ist klar: Cyber-Versicherungen werden in Zukunft genauso selbstverständlich sein wie beispielsweise eine Versicherung gegen Feuer – und wohl auch ähnlich viel Prämienumsatz generieren.

 

Fotos: Daniel Brühlmann

Jetzt lesen

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht.