Pfefferminzia: Einige Experten für Cybersicherheit erklärten kürzlich, dass heutzutage „praktisch alle Unternehmen angegriffen werden“. Teilen Sie diese Sicht? Und wenn ja, welche Schlussfolgerung ziehen Sie daraus?

Dennis Heinemeyer, Sopra Steria Consulting: Ich kann diese Aussage definitiv unterschreiben. Wenn wir von Informationssicherheit sprechen, gehen wir erst mal von Informationen aus, die für das Unternehmen von einer gewissen Bedeutung sind. Das mögen bei einem Friseur oder Handwerker weniger sensible Daten sein als etwa bei einem Onlineshop, aber grundsätzlich sind auch kleine und mittlere Unternehmen auf der Datenschutzebene massiv gefordert. Informationssicherheit umzusetzen und sich gegebenenfalls dagegen zu versichern, wenn das verbliebene Risiko nach den getroffenen Sicherheitsmaßnahmen nicht selbst getragen werden soll, sind zentrale Herausforderungen, denen man sich einfach stellen muss.

Kai Lütcke, Signal Iduna: Das IT-Risiko ist bei dem zitierten Friseur sicherlich unterrepräsentiert, und die großen Schäden sind dort nicht zu erwarten, allerdings kann selbst dort eine „abgeschmierte Termindatenbank“ zu erheblichen Problemen führen. Und auch beim Friseur wird mit elektronischen Zahlungsmitteln gearbeitet, wenn hier es zu einem Cyberangriff kommt, kann dies auch schnell Regresse nach sich ziehen und dergleichen mehr.

Michael Winte, Funk Versicherungsmakler: Cyberangriffe sind ja „nur“ ein Teil  des Problems: 50 Prozent der Schäden gehen auf Hackerangriffe zurück, die weiteren Schadenursachen liegen insbesondere in technischen Problemen und menschlichen Fehlhandlungen. Das ist für die Absicherung von Datenschutzvorfällen aber ziemlich unerheblich, weil die Datenschutzverletzung als solche ein schadenauslösendes Ereignis darstellt – egal, wie die Katastrophe passiert ist. Dazu sollte man beachten, dass sich die IT bei den meisten Unternehmen von einem Unterstützungsprozess zu einer zentralen Ressource entwickelt hat – etwa im produzierenden Gewerbe oder auch bei größeren Handwerksbetrieben. Wenn diese nicht zur Verfügung steht, sind Ertragsausfälle programmiert. Gerade hier weisen viele Deckungskonzepte jedoch Lücken auf, da beispielsweise im Rahmen der Betriebsunterbrechung oftmals nur Cybercrime als schadenauslösendes Ereignis definiert wird, nicht aber technische Probleme oder menschliche Fehler.

Richard Weber, Hiscox: Im Kern geht es darum, die IT-Abhängigkeit des Geschäftsmodells und die damit einhergehenden Risiken zu analysieren. Und hier zeigt sich, dass die IT-Abhängigkeit in den vergangenen Jahren rasant angestiegen ist. Das heißt, es gibt heute kaum noch ein Unternehmen, dass sich von damit einhergehenden Risiken frei machen kann, auch wenn zwischen den Branchen teils große Unterschiede bestehen.

Herr Ross, können sich Privatnutzer beim Thema Cybersicherheit womöglich eher frei machen von diesem Risiko, als es im Gewerbebereich der Fall ist?

Jan Ross, Inter: Nein, das denke ich nicht. Wir bewegen uns allesamt als Privatmenschen im Internet, wir brauchen es tagtäglich – das trifft besonders auf die junge Generation zu, die häufig noch viel selbstverständlicher mit den neuen Möglichkeiten des Netzes umgeht, als es die Älteren tun. Damit gehen auch ganz neue Herausforderungen einher – man denke nur an das Thema Cybermobbing. Und darüber hinaus besteht natürlich immer auch die Gefahr, dass Datendiebe auf sensible Zahlungsdaten des Privatkunden zugreifen, um an sein Geld zu gelangen. Das ist eine reale Gefahr, die für Sorglosigkeit überhaupt keinen Anlass gibt.

Rund 5 Prozent der deutschen Unternehmen sichern sich bislang mit speziellen Versicherungspolicen gegen Cyber-Angriffe jeglicher Art ab, so das Ergebnis einer aktuellen Studie „IT-Sicherheit 2018“ des Verbands der Internetwirtschaft. Wie bewerten Sie dieses Ergebnis?

Heinemeyer, Sopra Steria: In der Banken- und Versicherungswirtschaft gibt es beispielsweise klare Vorgaben, wie diese mit ihren IT-Systemen umzugehen haben. Aber auch in diesen Fällen wird man immer „nur“ eine Minimierung des Risikos erreichen können – ein vollkommenes Ausschalten des Risikos gibt es nicht. Und dieses Restrisiko übernimmt dann eine Versicherung – wenn man sie denn will. Insofern lassen die besagten 5 Prozent keinen Rückschluss darüber zu, dass sich viele Unternehmen nicht um ihre Informationssicherheit kümmern würden. Man muss zudem sehen, dass es die Versicherungsprodukte auch noch gar nicht so lange am Markt gibt. Und wenn man als Unternehmer außerdem gar nicht so genau weiß, was für ein Schaden entstehen kann, ist vermutlich auch die Bereitschaft, eine entsprechende Versicherung abzuschließen, nicht sonderlich hoch. Der Absicherungsgrad von 5 Prozent wird aber in Zukunft mit Sicherheit noch deutlich steigen.

Winte, Funk: Der Markt wächst so schnell, wie es die Kapazitäten zulassen. Leider stellen wir fest, dass die Ressourcen aufseiten der Versicherer derzeit noch nicht ausreichend sind, um die Nachfrage in einer adäquaten Geschwindigkeit bedienen zu können. Das ist zumindest im Industriebereich so. Wir bekommen teilweise keine Rückmeldung in angemessener Zeit, oder es können zeitnah keine Risikodialoge beim Kunden stattfinden.

Lütcke, Signal Iduna: Im Großkundenbereich mag das so sein, in Bezug auf das Kleingewerbe sind sicherlich genügend Kapazitäten vorhanden.

Sie sprachen von Engpässen bei den Versicherern, Herr Winte. Kann sich denn der Vertrieb davon frei machen?

Winte: Im Vertrieb sind sicherlich viele Marktteilnehmer nicht auf „Cyber“ eingestellt. Zugleich muss das Unternehmen sein Versicherungsbudget erhöhen, weil man ja nichts anderes dafür streicht. Das erfordert einen langen Überzeugungsprozess. „Jeder braucht das!“, ist jedenfalls kein Verkaufsargument. In der Feuerversicherung ist das einfacher: Trotz aller Löschanlagen, Brandschutzbestimmungen und Rauchmelder vertrauen die Menschen auf diese zusätzliche Absicherung, weil das Risiko gut zu greifen ist. Das ist bei Cyber (noch) nicht ganz so – obwohl es sich eigentlich so verhält, als würde jemand pausenlos mit Molotowcocktails gegen Ihre Hauswand werfen –, bis es irgendwann zum Brand kommt, um mal einen bildhaften Vergleich zu wählen.

Weber, Hiscox: Das Thema „Engpässe“ kann ich bestätigen. Im industriellen Bereich stößt die Branche teilweise an ihre Grenzen – einerseits hinsichtlich der Versicherungssumme: 100 Millionen Euro oder mehr beim Versicherer zu platzieren, was durchaus von Kunden gefordert wird, ist sehr schwer. Andererseits mangelt es sowohl beim Kunden als auch beim Versicherer oft auch an Know-how und an Kapazitäten. Zudem bekommen wir auch Anfragen von Unternehmen mit derart hohen Umsätzen, dass das Risiko teilweise aus unserer Sicht unversicherbar wird. Im mittelständischen Bereich, auf den wir spezialisiert sind, sind Engpässe aber in der Regel kein Thema. Man darf nicht vergessen, dass die Cyberpolice in der Tat eine sehr junge Sparte ist und hier ein enorm hoher Aufklärungsbedarf besteht. Die Durchdringungsquote von aktuell 5 Prozent zeichnet insofern ein realistisches Bild – aber keinesfalls ein enttäuschendes. Die anfängliche Entwicklung der Managerhaftpflicht macht deutlich, dass es einfach Zeit braucht, bis sich eine neue Versicherungslösung etabliert hat.

Gibt es Vermittler, die diese Geduld nicht aufbringen wollen oder können?

Lütcke: Nach meiner Erfahrung gibt es Vermittler, die sehr motiviert sind, die Cyberversicherung bei ihren großen Kunden zu platzieren, und die sich darauf auch ein Stück weit spezialisiert haben – die bringen auch das nötige Durchhaltevermögen mit. Und ein Vermittler, der sagt: „Ich muss jetzt erst mal ein bisschen Geld verdienen“, stellt einfach schnell fest, wie erklärungsbedürftig dieses Produkt in der Praxis ist, und steigt daher aus der Beratung wieder aus. Die Schwierigkeit besteht auch darin, die technischen Zusammenhänge zu erklären. Auf der anderen Seite des Tisches sitzt nun der Kunde, der den Vermittler im Zweifel sagt, dass er ihn gar nicht versteht, weil er sich lieber um sein Tagesgeschäft kümmert als um seine IT – und so geht’s nicht nur dem Friseur.

Weber: Verständnisprobleme seitens der Kunden sind dabei nicht nur auf den Antragsprozess beschränkt: Wie wir festgestellt haben, sind unsere Versicherten mit den Schadenkonstellationen, die im Ernstfall auftreten können, teils stark überfordert. Hier zeigt sich ganz konkret, dass Unternehmen Unterstützung benötigen – sei es in Form von IT-Experten, Datenschutzanwälten oder PR-Experten. Diese Unterstützungsleistung macht eine gute Cyberversicherung aus.

Stichwort Überforderung: Privatpersonen dürfte es nicht viel anders gehen, oder?

Ross, Inter: Richtig. Und genau das war für uns die Motivation, eine Lösung aus „einem Guss“ zu schaffen. Ein Stückwerk aus Hausrat-, Haftpflicht- oder Rechtsschutzversicherung, wie die bisherigen Lösungen am Markt aussahen, hilft einer Privatperson, die einen Cyberschaden erleidet, nicht wirklich weiter. Da braucht es einfach mehr als nur ergänzende Bausteine. Und uns war dabei auch wichtig, dass sich der Kunde mit unserer Versicherungslösung ein starkes präventives Element einkauft. Das wird beispielsweise durch die Sicherheitssoftware ermöglicht, die in unserem Komplettschutz enthalten ist. Solch eine Software kann natürlich nicht vor Cybermobbing schützen, aber auch hier stehen wir dem Kunden zur Seite, indem wir beispielsweise eine anwaltliche oder psychologische Erstberatung anbieten.