Pfefferminzia: Laut einer neuen Studie des World Economic Forums sind Cyber-Risiken und Terroranschläge die beiden größten Geschäftsrisiken in den Augen von Führungskräften in der deutschen Wirtschaft. Inwieweit verspüren Sie hierzulande einen Sinneswandel in den Unternehmen, was das Risikobewusstsein für Cyber-Risiken betrifft?

Hans-Wilhelm Dünn, Generalsekretär, Cyber-Sicherheitsrat Deutschland e.V.: Man muss sich ja nur mal eines bewusst machen: Neben den großen Dax-Konzernen bilden die kleinen und mittelständischen Unternehmen (KMUs) das Rückgrat der deutschen Wirtschaft. Und gut 90 Prozent der Führungskräfte von KMUs, die einen Vortrag zur Cybersicherheit – etwa bei der Industrie- und Handelskammer (IHK) – gehört haben, sagen anschließend: Das ist ein sehr wichtiges Thema für uns. Das Problem ist, dass es nur für gut 10 Prozent auch ein sehr wichtiges Thema bleibt, sobald sie wieder an ihrem Schreibtisch Platz genommen haben. Das zeigt sich daran, dass Budgets und Ressourcen nur unzureichend für IT-Sicherheit eingesetzt werden. Bei Krankenhäusern sind es beispielsweise in der Regel kaum mehr als 1 Prozent des Budgets – dabei kam es ja gerade in diesem sensiblen Bereich jüngst zu IT-Attacken. Der Schmerzpunkt fehlt in Teilen offenbar noch. Cyber-Risiken müssen endlich als ernsthafte und dauerhafte Bedrohung wahr genommen werden. Kurzfristige Lippenbekenntnisse reichen hier nicht aus.

Ole Sieverding, Product Head Cyber & Data Risks, Hiscox: Inzwischen hat wohl jeder Unternehmer realisiert, dass Cybersicherheit zu einem bedeutsamen Thema avanciert ist. Die große Herausforderung, vor der wir jetzt stehen, ist, dass dieses Thema noch sehr abstrakt wahrgenommen wird. Hier muss man mit den Unternehmen in einen Diskurs gehen, die Schadenszenarien darstellen und vernünftig erklären – bei einem Produktionsbetrieb kann beispielsweise der tagelange Stillstand der Produktionsstraße infolge eines Hackerangriffs der Super-Gau sein. Doch bisher sind in den Köpfen der Manager „leider“ noch vor allem prominente Fälle präsent, wie der Hack auf den Bundestag. Da lässt sich dann leicht sagen, dass man von einem derartigen Szenario nicht betroffen sei. Ähnliches gilt für den Missbrauch von Kreditkarten, wie wir es bei großen Handelskonzernen in den USA gesehen haben. Kurzum: Man muss viel stärker anhand realer – gleichwohl anonymisierter – Beispiele, die wir in unserer Schadenpraxis sehen, darlegen, wo die jeweiligen Risiken des Unternehmens liegen. Hier haben wir als Versicherer auch eine Aufklärungspflicht.

Philipp Lienau, Produktmanager Vermögensschadenhaftpflicht und Cyber, HDI Global: Die sogenannten Malware-Attacken „Wanna Cry“ und „Petya“ waren die herausragenden Ereignisse in diesem Jahr. Das mediale Echo spiegelte sich bei uns auch direkt in der Zahl der Anfragen wider – und sogar in den Abschlusszahlen. Das konnten wir sowohl in Deutschland als auch in den europäischen Märkten nachverfolgen, in denen wir aktiv sind.

Was schließen Sie daraus?

Lienau: Unsere Vermutung ist, dass die persönliche Betroffenheit durch die Angriffe noch ein Stück näher gerückt ist – einfach weil man erfahren hat, dass eigene Daten oder die beim Nachbarunternehmen mit krimineller Energie verschlüsselt wurden. Eine weitere Erkenntnis: Früher sind von der ersten Interessensäußerung gegenüber dem Versicherer oder dem Makler bis zur Abschlussentscheidung 12 bis 18 Monate vergangen. Heute kann dies deutlich darunter liegen – gerade wenn es zu Ereignissen kommt, die persönlich wachrütteln.

Tim Schmidt, Head of Business Development & Partner Management, Axa Assistance: Ich kann meinen Vorrednern nur zustimmen. Verschiedene Studien – so auch unsere – kommen eigentlich immer wieder zu dem gleichen Schluss: Die Sensibilität und das Interesse für Cybersicherheit ist sowohl im Gewerbe- als auch im Privatkundenbereich vorhanden. Aber: Das Thema ist verhältnismäßig jung. Die Erfahrungswerte bei den Versicherern reichen maximal 10 Jahre zurück. Das sind Welten, wenn man den Erfahrungshorizont einer Lebensversicherung zum Vergleich heranzieht. Das bedeutet auf der anderen Seite, dass der Vertrieb hier eine sehr umfassende Aufklärungsarbeit leisten muss: Was bedeuten Cyberrisiken überhaupt? Gerade im gewerblichen Kundenbereich sind die Ohren der Führungskräfte hier sehr scharf gestellt. Und wie bereits angemerkt wurde: Gerade für KMUs müssen wir als Branche Übersetzungshilfe leisten, indem wir erklären, welche Gefahren die Unternehmen im Bereich der Internetkriminalität ausgesetzt sind. Hier ist ein anspruchsvolles Erwartungsmanagement gefragt, denn es gibt noch keine Absicherungsmöglichkeit, die wirklich vollumfänglich ist.

Welche Herausforderung birgt dies für den Vertrieb?

Schmidt: Man muss im Vertrieb also sehr sensibel in die Aufklärung des Produkts einsteigen und trotzdem den Spagat beherrschen, dass es nicht zu komplex wird. Denn dann steigen die Geschäftsführer irgendwann aus und sagen: „Ich bin überfordert, ich warte lieber erstmal ab, was weiter passiert“. Erfreulicherweise haben wir festgestellt, dass auch das Wissen in den KMUs über Internetkriminalität und deren Gefahrenpotenzial steigt. Viele haben unter anderem in Penetrationstests investiert, um herauszufinden, wo es offene Einfallstore gibt. Der Haken: die Gelder fließen dann meist in Software-Lösungen, weniger in Versicherungskomponenten. Es ist also eine Mammutaufgabe für den gesamten Vertrieb, sehr detailliert Aufklärungsarbeit zu leisten und sich dafür laufend fortzubilden. Es gibt hier eine ganz klare Verpflichtung für alle Vertriebskanäle, die im Markt unterwegs sind – von der Ausschließlichkeit bis hin zum Makler.

Michael Schillinger, Vertriebsvorstand, Inter Versicherungsgruppe: Versicherung ist für den Kunden nach wie vor „low interest“, wie dieses aktuelle Beispiel zeigt: Wir haben vor einiger Zeit innerhalb unserer Spezialzielgruppe Heilwesen, zu der vor allem Klein- und Privatkliniken sowie Praxen gehören, eine Umfrage zum Thema Cyberversicherungen durchgeführt. Dabei zeigte sich, dass ein Klinikchef aus dem Bonner Raum total überzeugt war, dass er die hochwertigste und bestens vernetzte medizinische Infrastruktur besitzt – bloß war sein Serverraum im Keller nicht verschlossen und für jeden zugänglich. Dann kommen Sie als Versicherer und schicken ihm auf unsere Kosten einen IT-Spezialisten vorbei, der ihm alle 650 Sicherheitsprobleme auflistet. Dem Mann war gar nicht klar, dass er nicht nur einmalig in IT investieren muss, sondern permanent, etwa für leistungsfähige Updates der Server-Software. Zusammengefasst: Das Interesse ist vorhanden, da gebe ich meinen Kollegen recht. Denn ein niedergelassener Mediziner, der hochsensible Patientendaten verwaltet, hat natürlich auch einen hohen Sicherheitsbedarf. Das Thema Versicherung kommt hier aber noch gar nicht ins Spiel, weil das Bewusstsein für die Tragweite des Problems oft noch gar nicht vorhanden ist – das gilt zum Teil auch für unser Haus.

Können Sie das näher erläutern?

Schillinger: Wir haben uns nicht geschont, sondern selbst überprüft. Das Ergebnis eines internen Tests vor zwei Jahren: Trotz aller internen Aufklärungsmaßnahmen haben rund 50 Prozent der Mitarbeiter den bewusst „verbotenen“ Datei-Anhang geöffnet. Der Tenor: ,Wir haben im Haus so viel Hightech-Security – da wird schon nichts passieren‘. Das ist leider Realität in kleinen aber auch in großen Unternehmen. Deshalb sind wir hier erstmal vom Gewerbe-Fokus weggegangen. Wir bekommen es bislang einfach noch nicht hin, unsere Kunden wie Handwerksbetriebe und niedergelassene Ärzte so zu beraten, dass sie sich auch umfassend absichern. Unser Vertrieb hat nicht das technische Verständnis, um zu beurteilen, ob der Kunde ein Serversystem „aus der Steinzeit“ hat.

Ihr Haus hat sich stattdessen dem Privatkundengeschäft zugewandt – was war ausschlaggebend für die Entscheidung?

Schillinger: Wir haben uns dem Privatkundengeschäft zugewandt, weil wir hier sagen: Das können wir. Seit Ende November haben wir ein entsprechendes Produkt auf den Markt gebracht. Aber auch da gilt, dass der Versicherungsschutz nur aktiviert ist, wenn auch die erforderlichen Updates von „Security Suite“ durchgeführt werden. Wir werden merken, ob es funktioniert – das finde ich persönlich sehr spannend!

Stichwort Updates: Winken viele Unternehmen bei einer Cyberversicherung ab, weil sie fürchten, bereits im Vorfeld eine Fülle von Sicherheitsupdates durchführen müssen, um überhaupt einen Versicherungsschutz zu bekommen?

Stephan Lindner, Head of Professional Lines, Markel Deutschland: Das sehe ich nicht so. Bei kleinen Firmen bis fünf Millionen Euro Umsatz verlangen wir niedrigste IT-Sicherheitsanforderungen. Diese bestehen aus einer Anti-Virus-Software, aus einer Firewall sowie Back-ups. Darauf beharren wir auch relativ stark. Natürlich ergeben sich durch fehlende Patch-Managementsysteme Update-Lücken, die wir teilweise in Kauf nehmen müssen. Beispiel: Wenn es ein neues Java-Update gibt, kann es ein Unternehmen nicht sofort verwenden, weil dieses nicht von der im Unternehmen eingesetzten Oracle-Datenbank unterstützt wird. Man muss da einfach auch mal ein Auge zudrücken, weil wir alle hier am Tisch das Geschäft nicht seit Jahrzehnten betreiben.

Es heißt, die Cyberversicherung ist die Brandschutzversicherung des 21. Jahrhunderts. Was meinen Sie zu dieser These?

Lindner: Das klingt erstmal gut, doch um im Ihren Bild zu bleiben: Wenn das Haus brennt, kriegt man Geld – diesen Zusammenhang versteht der Kunde. Wenn von irgendwelchen Hackern in Russland die Rede ist, hört sich das aber erstmal sehr abstrakt an – und er hat es morgen wieder vergessen. Zudem gilt: Wenn der Makler zum Kunden kommt, bringt er zehn unterschiedliche Angebote mit, die jeweils unterschiedliche Bausteine, Versicherungssummen und Haftzeiten aufweisen. Da hilft auch das GDV-Musterbedingungswerk nicht viel. Und dann ist da noch die Frage des Preises: Ein Kosmetikstudio vereinbart für 80 Euro eine Betriebshaftpflicht, dem stünde eine Cyberversicherung von oft 400 Euro und mehr gegenüber. Auch wir liegen preislich nicht weit unter dieser Marke, weil wir dem Kunden zum Beispiel auch umfassende Assistance-Leistungen anbieten. Wir diskutieren das auch mit den Maklern: Manche können diese Prämien verkaufen, aber viele eben auch nicht. Daraus folgt: Wir müssen nach interessanten Geschichten suchen, denn die richtige Vertriebsstory macht am Ende den Erfolg. Dazu gehört auch, auf aktuelle Schadenereignisse in der Presse zu verweisen. Bislang heißt es häufig noch: Verschlüsselungs-Trojaner? Dafür habe ich doch meinen ITler.

Schmidt: Am Ende des Tages ist es eigentlich ganz simpel. Die Geschäftsführer eines mittelständischen Unternehmens wollen natürlich wissen, welche Gefahrenlage konkret vorhanden ist. Da würde es natürlich helfen, wenn ein Berater zusammen mit einem Profi-Hacker das Unternehmen besucht und vor Ort die Schwachstellen im IT-System aufdeckt – dann sehen Sie, wie die Gesichter auf einmal bleich werden. Grundsätzlich pflichte ich aber Herrn Schillinger bei: Wir als Assisteur und Dienstleister, der nicht auf große Risiken spezialisiert ist, sind zu der Einschätzung gelangt, dass der Gewerbemarkt noch kein Markt ist, in den wir hineingehen wollen. Das steht mittelfristig auf der Agenda, aber wir glauben aktuell, dass wir diese Expertise noch nicht flächendeckend in Deutschland vorhalten können, um im Leistungsfall zügig Abhilfe schaffen zu können. Aus unserer Sicht sind die Infrastrukturen in den Unternehmen zu heterogen, um dort einheitliche Lösungen an den Mann zu bringen. Im Privatkundensegment sind die Rahmenbedingungen und Kundenbedürfnisse ganz andere. Hier haben wir uns mit individuellen Lösungskonzepten spezialisiert und bereits in erfolgreichen Kooperationen mit unseren Geschäftspartnern seit drei Jahren etabliert.

Sieverding: Die Frage der Angemessenheit schwebt natürlich über allem. An das Kosmetikstudio, das Herr Lindner nannte, sind sicherlich andere Sicherheitsanforderungen zu stellen als an ein Großunternehmen – ein normaler Haushalt stellt ja auch andere Anforderungen an den Brandschutz als ein Chemiewerk. Wo wir noch hin müssen, ist herauszufinden, welche Zertifizierungen und Sicherheitsmaßnahmen wirklich sinnvoll sind – ab welcher Unternehmensgröße braucht es beispielsweise ein Patch-Management? Daran anknüpfend: Welche Fragen stelle ich im Antragsprozess und an welcher Stelle? Wenn ich heute Risikofragebögen von Versicherern für den Gewerbebereich ansehe, dann kommen alle komplett unterschiedlich daher. Hier werden die Versicherer aus den kommenden Schadenfällen lernen und die Fragebögen werden sich zunehmend auf die entscheidenden Punkte angleichen. Ich finde es immer spannend, sich andere Märkte anzuschauen: In den USA fragen die Versicherer im Kleinsegment überhaupt nicht mehr nach Virenscanner und Firewall, weil das ohnehin jeder hat – und die es nicht haben, werden für einen vereinfachten Abschlussprozess in Kauf genommen. Auch das ist ein Ansatz, den man verfolgen kann.

Für welchen Weg hat sich Hiscox entschieden?

Sieverding: Wir haben uns für den Weg entschieden, auf Mindestanforderungen in der IT-Sicherheit zu bestehen. Das heißt, ein Virenscanner, eine Firewall, Datensicherung und ein Rechtekonzept müssen vorhanden sein. Generell gilt: Das Thema Betriebsunterbrechung ist für einen Unternehmensberater nicht so brisant wie es beispielsweise bei einem Online-Shop der Fall ist. Wenn dort Kunden nicht mehr einkaufen können, weil die Server down sind, hat der Shop-Betreiber ein Riesenproblem. Ein Unternehmensberater kann mit einem neuen Laptop aus einem nahegelegenen Elektrofachmarkt zumindest eingeschränkt schnell weiterarbeiten.

Wie geht HDI Global in der vertrieblichen Ansprache vor, Herr Lienau?

Lienau: Ich stelle in der Praxis immer wieder fest, dass es darauf ankommt, mit wem man spricht: Der Geschäftsführer ist in der Regel ein Generalist, der nicht unbedingt sehr IT-nah ist. Hier muss man ganz andere Szenarien aufmalen, um das nötige Bewusstsein rüberzubringen. Bei IT-Leuten habe ich früher eine Abwehrhaltung festgestellt, nach dem Motto: Der Versicherer weiß alles besser und sagt mir jetzt, wie ich meine Arbeit zu machen habe – und sagt das auch noch meinem Chef. Das hat sich zum Glück gebessert. Uns half dabei auch gerade in der Anfangssituation, dass wir im Underwriting auch Leute mit IT-Sicherheitshintergrund beschäftigen. Die sprechen dieselbe Sprache und das fördert das gegenseitige Verständnis. Dann schließt sich der Kreis, weil der Geschäftsführer und sein IT-Chef gleichermaßen angesprochen werden können. Diese Konstellation ist besonders, weil der IT-Bereich von Unternehmen bislang meist nur selten oder gar nicht direkt mit Versicherungsfragen befasst war.

Dünn: Hierzu möchte ich gerne etwas ergänzen: Wir haben vor einiger Zeit über 70 Stadtwerke interviewt – und auf der IT-Ebene nach 7 Wochen aufgehört, weil wir gemerkt haben, dass wir mit den Ressourcenentscheidern sprechen müssen, da um etwas bewirken zu können, eine ausreichende Budgetausstattung unerlässlich ist. Unsere Erkenntnis daraus lautet: Man muss – ich sage das mal so verschärft – wegkommen von einer „Techi-Diskussion“ hin zu einer Risikomanagement-Diskussion in den Unternehmen – und zwar aus einem wichtigen Grund: Nach dem deutschen Gesellschaftsrecht sind die Geschäftsführer haftbar zu machen, wenn es zu IT-Lecks kommt. Man erinnere sich: Krankenhäuser mussten auf einmal Bitcoins zahlen – das gab es bislang noch nie. Und wenn eine Chemotherapie nicht erfolgen kann, weil die Patientendaten fehlen, hat die Führungsebene ein riesiges Problem. Dann fragt nicht nur der Aufsichtsratsvorsitzende wie das passieren konnte.

Sieverding: Ich kann Herrn Dünn nur beipflichten: Man muss die Cyberversicherung in der Tat auf eine Managementebene bringen und aus einer Risikosicht argumentieren. Das hat unsere vertriebliche Erfahrung seit 2011 gezeigt. Daher ist die Cyberversicherung weniger ein klassisches Thema für den Produktverkauf, sondern definitiv ein Thema für „Risikoberater“, die vor dem Abschluss einer Versicherung eine sorgfältige Cyber-Risikoanalyse mit dem Kunden vornehmen. Zum Glück habe ich seit langer Zeit keinen IT-Leiter mehr getroffen, der sagt: „Ich kann garantieren, dass unser IT-System zu 100 Prozent sicher ist“. Man kann IT-Sicherheit nicht über rein technische und organisatorische Maßnahmen erreichen. Es wird immer neue Angriffswege geben, die wir heute noch nicht kennen. Man muss sich also immer auch der Frage stellen, was passiert, wenn jemand Unbefugtes trotz hochgezogener Burgmauern in mein System kommt.

Wie sollten Unternehmen agieren, wenn es doch einmal zum Ernstfall kommt?

Sieverding: Hier gibt es ein besonders positives Beispiel aus der Praxis, das in der Presse viel Erwähnung gefunden hat: Das Krankenhaus Neuss war schon immer ein digitaler Vorreiter unter den Krankenhäusern. Sie mussten sich einem Standard-Angriff mit einem Krypto-Trojaner erwehren, der sie ziemlich hart getroffen hat. Das Klinik-Management ist damit aber offensiv umgegangen und das Haus ist gestärkt aus dieser Krise hervorgegangen. Sie haben ihre Schwachstelle erklärt, nachgebessert und stehen jetzt besser da als vorher. In solchen Cyber-Krisen können wir als Versicherer eine wichtige Rolle spielen und mit der Soforthilfe durch IT-Experten den Schaden von Anfang an minimieren.

Dünn: Das Thema Krisenkommunikation kommt leider bisher viel zu wenig vor. Die nächsten Stunden nach einem Angriff sind entscheidend, um die Reputation zu retten!

Schmidt: Zum einen das, zum anderen muss man mit dem Trugschluss aufräumen, dass es reicht, sich alle zwei bis drei Jahre mit dem Thema zu befassen. Jährliche Stresstests sind leider nicht an der Tagesordnung. Und man schaut da oft in ungläubige Gesichter. Ich kann nur davor warnen, die IT-Sicherheit als einmaliges Investment zu betrachten, um danach die Zügel schleifen zu lassen. Es ist unsere Beratungsverantwortung darauf hinzuweisen.

Hier geht’s zum zweiten Teil des Roundtables.