„Ein Hackerangriff kann jeden treffen“

Pfefferminzia: Was genau steckt hinter Cogitanda?

Daniel Berger: Wir sind ein Spezialanbieter für Cyber-Versicherungen und wollen deutsche Mittelständler vor Cyber-Attacken schützen und helfen, im Vorfeld diese Risiken zu vermeiden. Das tun wir mit einem Drei-Säulen-Modell: Prävention, Versicherung und Schadenmanagement. Diese drei Aspekte gehören für uns untrennbar zusammen, um das Ganze auch nachhaltig zu machen. Mittlerweile sind 150 Mitarbeiter für uns tätig, damit gehören wir zu den führenden Anbietern in Deutschland.

Warum kommen Unternehmen an einer Cyber-Versicherung nicht vorbei?

Berger: In den letzten Monaten und Jahren gab es diverse Meldungen zu Hackerangriffen. In Deutschland beträgt der volkswirtschaftliche Schaden mittlerweile zirka 200 Milliarden Euro im Jahr. Das sollte zu denken geben.

Was genau kann Unternehmen passieren?

Berger: Die Schäden sind vor allem Betriebsunterbrechungen, Erpressungsgelder, Fehlüberweisungen, Betrugsversuche aber auch Reputationsschäden, die langfristig nachwirken und Firmen oder deren Fortbestand teilweise bedrohen können.

Was kosten diese Schäden pro Versicherungsfall?

Berger: Bei Cogitanda haben wir über 1.000 Cyber-Schäden bearbeitet. Es sind teilweise Beträge im niedrigen Tausender-Bereich, aber auch bis in die Millionen. Eins haben sie gemeinsam, sie können alle die Existenz bedrohen.  

Nun glauben viele Unternehmer noch immer, das könne sie nicht treffen.

Berger: Das Argument höre ich häufig. Tatsache ist, ein Hackerangriff kann jeden treffen. Hacker arbeiten automatisiert und schicken Tausende E-Mails raus. Derjenige, der klickt, kann einen Stein ins Rollen bringen. Es spielt dabei keine Rolle, ob er beim Großkonzern sitzt, beim Mittelständler oder beim Zwei-Mann-Betrieb. Hacker schauen, wo sich eine Schwachstelle bietet. Großkonzerne haben einer stärkere IT, werden aber zusätzlich noch gezielter angegriffen. Die IT bei kleineren Unternehmen ist in der Regel nicht optimal aufgestellt. Dafür werden sie vielleicht weniger direkt angegriffen. Aber insgesamt nivelliert sich das. Wir haben in allen Segmenten Schäden.

Beispiel Spam und Phishing: Was macht das mit den Schadenquoten und Prämien der Versicherer?

Berger: Der Cyber-Markt verhärtet sich. Das geschieht ja immer, wenn Versicherer feststellen, dass es auch Schäden gibt. Dann drehen sie an den Prämien, an den Selbstbehalten oder auch an Voraussetzungen, am Bedingungswerk sowie an Obliegenheiten. Die Schadenquoten und diese angespannte Lage führen dazu, dass man überlegen muss, wie es weiter geht. Die Folge dieser Entwicklung ist, dass manche Unternehmen möglicherweise keine Cyber-Police bekommen.

Womit wir zu Ihrem Kollegen Jan Meurer und dem neuen Produkt von Cogitanda kommen. Denn das ist offenbar tatsächlich für alle gedacht.

Jan Meurer: Unser neues Produkt, die Cyber-Soforthilfe, setzt an dem Wunsch der Unternehmen an, im Schadenfall die dringend benötigten Dienstleister zu bekommen. Denn sie brauchen dann Spezialisten für IT, Wiederinstandsetzung, Forensik und andere. Diese Experten halten wir für unsere Versicherungsnehmer rund um die Uhr vor. Wenn ein Unternehmen gerade erst seine Infrastruktur verbessert, um überhaupt eine Cyber-Versicherung zu bekommen, kann es in dieser Zeit einer Attacke zum Opfer fallen. Sollte dieser Fall eintreten, braucht es direkt, initial und sofort einen Schutz. Dafür haben wir die Cyber-Soforthilfe entwickelt.

Welche Voraussetzungen muss ein Unternehmen dafür erfüllen?

Meurer: Wir verzichten bewusst auf Risikofragen. Damit kann sich jedes Unternehmen, das aktuell – noch – keine Cyber-Versicherung bekommt, bei uns diese Dienstleistung sichern. Was wir uns zum Beispiel bei großen Unternehmen mit Umsätzen jenseits der 250-Millionen-Euro-Marke als einziges vorbehalten, sind spezielle Workshops für die Mitarbeitenden mit unseren jeweiligen Spezialisten.

Gibt es eine Mitarbeitergrenze?

Meurer: Nein, wir schauen lediglich auf die Umsätze. Da gibt es keine Grenze. Unsere Idee ist es, möglichst viele Unternehmen sicher zu machen und möglichst vielen Unternehmen eine Lösung für die akute Gefahr zu bieten. Deshalb kann man davon ausgehen: Wenn man sich als Unternehmen bei uns meldet, dann hat man die Möglichkeit, diesen Dienstleistungsvertrag mit uns abzuschließen.

Neben dem Risiko eines Angriffs gibt es noch neue gesetzliche Vorgaben.

Meurer: Genau, die neue Regulierung der Europäischen Union, NIS2. Das steht für „The Network and Information Security“ und wird einige Unternehmen dazu zwingen, mehr in ihre Informationssicherheit zu investieren. Eklatant ist hierbei, dass Geschäftsführer persönlich haften können, wenn das Unternehmen NIS2-relevant ist. Das werden so um die 10.000 Unternehmen in Deutschland sein. Das Gesetz wird im kommenden Jahr im Oktober scharfgeschaltet.