Pfefferminzia: Laut einer neuen Studie des World Economic Forums sind Cyber-Risiken und Terroranschläge die beiden größten Geschäftsrisiken in den Augen von Führungskräften in der deutschen Wirtschaft. Inwieweit verspüren Sie hierzulande einen Sinneswandel in den Unternehmen, was das Risikobewusstsein für Cyber-Risiken betrifft?

Hans-Wilhelm Dünn, Generalsekretär, Cyber-Sicherheitsrat Deutschland e.V.: Man muss sich ja nur mal eines bewusst machen: Neben den großen Dax-Konzernen bilden die kleinen und mittelständischen Unternehmen (KMUs) das Rückgrat der deutschen Wirtschaft. Und gut 90 Prozent der Führungskräfte von KMUs, die einen Vortrag zur Cybersicherheit – etwa bei der Industrie- und Handelskammer (IHK) – gehört haben, sagen anschließend: Das ist ein sehr wichtiges Thema für uns. Das Problem ist, dass es nur für gut 10 Prozent auch ein sehr wichtiges Thema bleibt, sobald sie wieder an ihrem Schreibtisch Platz genommen haben. Das zeigt sich daran, dass Budgets und Ressourcen nur unzureichend für IT-Sicherheit eingesetzt werden. Bei Krankenhäusern sind es beispielsweise in der Regel kaum mehr als 1 Prozent des Budgets – dabei kam es ja gerade in diesem sensiblen Bereich jüngst zu IT-Attacken. Der Schmerzpunkt fehlt in Teilen offenbar noch. Cyber-Risiken müssen endlich als ernsthafte und dauerhafte Bedrohung wahr genommen werden. Kurzfristige Lippenbekenntnisse reichen hier nicht aus.

Ole Sieverding, Product Head Cyber & Data Risks, Hiscox: Inzwischen hat wohl jeder Unternehmer realisiert, dass Cybersicherheit zu einem bedeutsamen Thema avanciert ist. Die große Herausforderung, vor der wir jetzt stehen, ist, dass dieses Thema noch sehr abstrakt wahrgenommen wird. Hier muss man mit den Unternehmen in einen Diskurs gehen, die Schadenszenarien darstellen und vernünftig erklären – bei einem Produktionsbetrieb kann beispielsweise der tagelange Stillstand der Produktionsstraße infolge eines Hackerangriffs der Super-Gau sein. Doch bisher sind in den Köpfen der Manager „leider“ noch vor allem prominente Fälle präsent, wie der Hack auf den Bundestag. Da lässt sich dann leicht sagen, dass man von einem derartigen Szenario nicht betroffen sei. Ähnliches gilt für den Missbrauch von Kreditkarten, wie wir es bei großen Handelskonzernen in den USA gesehen haben. Kurzum: Man muss viel stärker anhand realer – gleichwohl anonymisierter – Beispiele, die wir in unserer Schadenpraxis sehen, darlegen, wo die jeweiligen Risiken des Unternehmens liegen. Hier haben wir als Versicherer auch eine Aufklärungspflicht.

Ole Sieverding, Hiscox: „Wir als Versicherer haben auch eine Aufklärungspflicht.“

Philipp Lienau, Produktmanager Vermögensschadenhaftpflicht und Cyber, HDI Global: Die sogenannten Malware-Attacken „Wanna Cry“ und „Petya“ waren die herausragenden Ereignisse in diesem Jahr. Das mediale Echo spiegelte sich bei uns auch direkt in der Zahl der Anfragen wider – und sogar in den Abschlusszahlen. Das konnten wir sowohl in Deutschland als auch in den europäischen Märkten nachverfolgen, in denen wir aktiv sind.

Was schließen Sie daraus?

Lienau: Unsere Vermutung ist, dass die persönliche Betroffenheit durch die Angriffe noch ein Stück näher gerückt ist – einfach weil man erfahren hat, dass eigene Daten oder die beim Nachbarunternehmen mit krimineller Energie verschlüsselt wurden. Eine weitere Erkenntnis: Früher sind von der ersten Interessensäußerung gegenüber dem Versicherer oder dem Makler bis zur Abschlussentscheidung 12 bis 18 Monate vergangen. Heute kann dies deutlich darunter liegen – gerade wenn es zu Ereignissen kommt, die persönlich wachrütteln.

Tim Schmidt, Head of Business Development & Partner Management, Axa Assistance: Ich kann meinen Vorrednern nur zustimmen. Verschiedene Studien – so auch unsere – kommen eigentlich immer wieder zu dem gleichen Schluss: Die Sensibilität und das Interesse für Cybersicherheit ist sowohl im Gewerbe- als auch im Privatkundenbereich vorhanden. Aber: Das Thema ist verhältnismäßig jung. Die Erfahrungswerte bei den Versicherern reichen maximal 10 Jahre zurück. Das sind Welten, wenn man den Erfahrungshorizont einer Lebensversicherung zum Vergleich heranzieht. Das bedeutet auf der anderen Seite, dass der Vertrieb hier eine sehr umfassende Aufklärungsarbeit leisten muss: Was bedeuten Cyberrisiken überhaupt? Gerade im gewerblichen Kundenbereich sind die Ohren der Führungskräfte hier sehr scharf gestellt. Und wie bereits angemerkt wurde: Gerade für KMUs müssen wir als Branche Übersetzungshilfe leisten, indem wir erklären, welche Gefahren die Unternehmen im Bereich der Internetkriminalität ausgesetzt sind. Hier ist ein anspruchsvolles Erwartungsmanagement gefragt, denn es gibt noch keine Absicherungsmöglichkeit, die wirklich vollumfänglich ist.

Welche Herausforderung birgt dies für den Vertrieb?

Schmidt: Man muss im Vertrieb also sehr sensibel in die Aufklärung des Produkts einsteigen und trotzdem den Spagat beherrschen, dass es nicht zu komplex wird. Denn dann steigen die Geschäftsführer irgendwann aus und sagen: „Ich bin überfordert, ich warte lieber erstmal ab, was weiter passiert“. Erfreulicherweise haben wir festgestellt, dass auch das Wissen in den KMUs über Internetkriminalität und deren Gefahrenpotenzial steigt. Viele haben unter anderem in Penetrationstests investiert, um herauszufinden, wo es offene Einfallstore gibt. Der Haken: die Gelder fließen dann meist in Software-Lösungen, weniger in Versicherungskomponenten. Es ist also eine Mammutaufgabe für den gesamten Vertrieb, sehr detailliert Aufklärungsarbeit zu leisten und sich dafür laufend fortzubilden. Es gibt hier eine ganz klare Verpflichtung für alle Vertriebskanäle, die im Markt unterwegs sind – von der Ausschließlichkeit bis hin zum Makler.

Michael Schillinger, Vertriebsvorstand, Inter Versicherungsgruppe: Versicherung ist für den Kunden nach wie vor „low interest“, wie dieses aktuelle Beispiel zeigt: Wir haben vor einiger Zeit innerhalb unserer Spezialzielgruppe Heilwesen, zu der vor allem Klein- und Privatkliniken sowie Praxen gehören, eine Umfrage zum Thema Cyberversicherungen durchgeführt. Dabei zeigte sich, dass ein Klinikchef aus dem Bonner Raum total überzeugt war, dass er die hochwertigste und bestens vernetzte medizinische Infrastruktur besitzt – bloß war sein Serverraum im Keller nicht verschlossen und für jeden zugänglich. Dann kommen Sie als Versicherer und schicken ihm auf unsere Kosten einen IT-Spezialisten vorbei, der ihm alle 650 Sicherheitsprobleme auflistet. Dem Mann war gar nicht klar, dass er nicht nur einmalig in IT investieren muss, sondern permanent, etwa für leistungsfähige Updates der Server-Software. Zusammengefasst: Das Interesse ist vorhanden, da gebe ich meinen Kollegen recht. Denn ein niedergelassener Mediziner, der hochsensible Patientendaten verwaltet, hat natürlich auch einen hohen Sicherheitsbedarf. Das Thema Versicherung kommt hier aber noch gar nicht ins Spiel, weil das Bewusstsein für die Tragweite des Problems oft noch gar nicht vorhanden ist – das gilt zum Teil auch für unser Haus.