Pfefferminzia: Zu Beginn eine sehr wichtige Technikfrage. Wie schreibt man auf einer deutschen Tastatur ein i mit zwei Punkten?
Franziska Geier: Für den Mac kann ich das direkt beantworten. Sie halten die „i”-Taste gedrückt und drücken die „2”. Um es allen einfacher zu machen, nutzen wir in E-Mails aber nur das normale i. (Nachträgliche Anmerkung der Redaktion: Unter Windows hält man die „Alt“-Taste und drückt nacheinander 0239)
Woher kommt denn der Firmenname.
Geier: Aus dem Französischen von stoïque, also stoisch sein. Das geht nur mit den zwei Punkten. Auch das Logo sieht damit einfach schöner aus. Aber im normalen Schriftwechsel kann man das auch anders schreiben.
Ich verstehe unter stoisch so etwas wie „gelassen“ oder „ausgeglichen“. Passt das zum Unternehmen?
Geier: Absolut. Der Stoizismus ist eine griechische Philosophie. Die Menschen haben sich damals überlegt, wie man gelassen und glücklich leben kann. Um es kurzzufassen: Dinge, die du ändern kannst, sollst du ändern. Und Dinge, die du nicht ändern kannst, musst du eben hinnehmen. Entscheidend ist, dass man erkennt, was in welche Kategorie gehört.
Und das soll zu einem Versicherer passen?
Geier: Als spezialisierter Cyber-MGA setzen wir zunächst auf Sicherheit und Prävention. Das ist der Teil, in dem Sie aktiv werden können. Wo Sie Dinge ändern können. Aber es bleibt immer auch ein Restrisiko, egal, wie sicher Sie sich aufstellen. Das müssen wir akzeptieren und auf die Cyberversicherung transferieren.
Wir müssen also damit leben, dass wir irgendwann dann doch auf das falsche Katzenfoto klicken und es uns erwischt?
Geier: Katzen sind immer super (lacht). Aber ja, es lässt sich wirklich nicht immer vermeiden. Aber es ist oberstes Ziel, europäischen Unternehmen ein Mindestmaß an Cybersicherheit und Prävention zur Verfügung zu stellen. Damit sinkt zumindest die Wahrscheinlichkeit, dass ein Schaden eintritt, aber auch die Schadenhöhe.
Damit haben Sie mehr damit zu tun, Schäden vorzubeugen, als welche zu bearbeiten?
Geier: Wir haben tatsächlich mehr Leute im Technikteam als in der reinen Schadenadministration. Wir haben allerdings auch ein sogenanntes Cyber-Incident-Response-Team. Das hat mit beiden Gebieten zu tun – mit schon eingetretenen Schäden und präventiv. Es kann bei Unternehmen Schwachstellen finden, sie schon im Vorfeld beseitigen und im Falle eines Cyber-Angriffs aktiv werden. Insgesamt hält sich alles durchaus die Waage.
Seite 2: „Es werden immer wieder Verträge umgedeckt“
Nun haben Sie sich auf kleine und mittelgroße Unternehmen spezialisiert, sogenannte KMUs. Ab welcher Größe sind die zu groß?
Geier: Zurzeit ab 500 Millionen Euro Umsatz im Jahr. Wir arbeiten aber daran, auch höhere Umsätze abdecken zu können. Das dürfte bald so weit sein.
Der Markt dürfte jedenfalls noch nicht aufgeteilt sein.
Geier: In Deutschland sind 20 Prozent der Unternehmen gegen Cyberschäden versichert.
Nicht gerade viel.
Geier: Aber mehr als in Frankreich. Dort sind es nur 5 Prozent. Deutschland versichert sich gerne und hat ein hohes Bewusstsein für Datensicherheit. Das gibt der Sache Auftrieb. Aber tatsächlich sind 20 Prozent noch nicht viel. Und selbst dort ist der Markt noch nicht verteilt, es werden immer wieder Verträge umgedeckt.
Also doch schon Konkurrenzkampf?
Geier: Der entsteht ja schon allein dadurch, dass Makler immer mehrere Anbieter betrachten müssen. Wir haben deshalb vor einiger Zeit unsere Alleinstellungsmerkmale herausgearbeitet und zusammengefasst.
Die wüsste ich jetzt gern.
Geier: Es sind drei Dinge. Erstens, eine – ich zitiere mal einen Makler – ‚genial einfache Antragsstrecke‘. Wir können bei Unternehmen bis zu 50 Millionen Euro Umsatz innerhalb von weniger als 10 Sekunden ein Angebot vorlegen. Alles ist digital und sehr einfach und verständlich verfügbar. Zweitens, unser umfangreiches Präventionsangebot. Jeder Versicherungsnehmer bekommt Zugang zu unserer Plattform Stoïk Protect. Dort gibt es Phishing-Module, Schulungen, regelmäßige externe und interne Sicherheits-Scans. Das habe ich in dem Ausmaß in der Branche noch nicht gesehen.
Sind externe Scans eine Art Probe-Hacking?
Geier: Wir hacken uns nicht in Systeme ein. Aber wir ahmen Hacker nach. Die suchen im Internet in den Domains nach Schwachstellen, die sie nutzen können. Solche Einfallstore können auch wir bei den Kunden finden und schließen.
Seite 3: „Unsere Kollegen müssen nicht erst hektisch Informationen zusammensuchen“
Und der dritte Punkt bei den Alleinstellungsmerkmalen?
Geier: Das ist unser Stoïk CERT, unser eigenes „in-house incident response team“. Damit bieten wir ein Gesamtpaket. Die Police deckt rundum alles ab: Schäden im Vorfeld vermeiden, im Schadenfall versichern und vor allem sofort helfen. Bei erfolgreichen Cyberangriffen zählt jede Minute. Und das alles bieten wir im eigenen Haus an, ohne externe Dienstleister. Das bietet den Vorteil, dass unsere Kollegen die angegriffene Infrastruktur durch die Vorbeugemaßnahmen schon kennen. Die müssen also nicht erst hektisch Informationen zusammensuchen, sondern können sofort loslegen.
Wenn Sie Anträge in 10 Sekunden annehmen, können Sie die Risiken nicht wirklich kontrollieren. Sollten Sie nicht vorher besser hinschauen?
Geier: Wir reduzieren die Anzahl der im Vorfeld gestellten Fragen, weil wir die Systeme als Teil der Risikoprüfung scannen. Dieser Scan dauert ungefähr eine Stunde, und anschließend wissen wir, wie der Kunde technisch aufgestellt ist. Sind zu viele Schwachstellen zu sehen, hilft jemand aus unserem Team, sie zu beheben. Solche technischen Analysen sind die Zukunft. Sie sind eine sichere und effektive Ergänzung zu den bisher üblichen Fragen im Vorfeld.
Bleiben dann überhaupt noch Fragen übrig?
Geier: Bei bis zu 50 Millionen Euro Umsatz und 2 Millionen Euro Deckungssumme stellen wir noch fünf klassische Risikofragen. Bei höheren Versicherungssummen oder Umsätzen kommen weitere Fragen hinzu.
Was können wir von Ihnen noch produktseitig erwarten?
Geier: Für uns wird 2024 spannend. Aktuell entwickeln wir Stand-Alone-Produkte, mit denen Unternehmen unsere Cybersicherheitslösungen ohne Versicherungspolice nutzen können. Zudem arbeiten wir an einer neuen Sicherheitsanwendung, die anhand Verhaltensmuster im System mögliche Eindringlinge identifiziert und meldet, noch bevor sie Schaden anrichten können. Alle Akteure sollen profitieren. Zum einen Makler, denen wir mehr Features und Produkte für die Beratung zur Verfügung stellen. Aber auch Unternehmen, denen wir das Leben sicherer machen.
