Schmidt: Am Ende des Tages ist es eigentlich ganz simpel. Die Geschäftsführer eines mittelständischen Unternehmens wollen natürlich wissen, welche Gefahrenlage konkret vorhanden ist. Da würde es natürlich helfen, wenn ein Berater zusammen mit einem Profi-Hacker das Unternehmen besucht und vor Ort die Schwachstellen im IT-System aufdeckt – dann sehen Sie, wie die Gesichter auf einmal bleich werden. Grundsätzlich pflichte ich aber Herrn Schillinger bei: Wir als Assisteur und Dienstleister, der nicht auf große Risiken spezialisiert ist, sind zu der Einschätzung gelangt, dass der Gewerbemarkt noch kein Markt ist, in den wir hineingehen wollen. Das steht mittelfristig auf der Agenda, aber wir glauben aktuell, dass wir diese Expertise noch nicht flächendeckend in Deutschland vorhalten können, um im Leistungsfall zügig Abhilfe schaffen zu können. Aus unserer Sicht sind die Infrastrukturen in den Unternehmen zu heterogen, um dort einheitliche Lösungen an den Mann zu bringen. Im Privatkundensegment sind die Rahmenbedingungen und Kundenbedürfnisse ganz andere. Hier haben wir uns mit individuellen Lösungskonzepten spezialisiert und bereits in erfolgreichen Kooperationen mit unseren Geschäftspartnern seit drei Jahren etabliert.

Tim Schmidt, Axa Assistance: „Man muss im Vertrieb sehr sensibel in die Aufklärung des Produkts einsteigen und trotzdem den Spagat beherrschen, dass es nicht zu komplex wird.“

Sieverding: Die Frage der Angemessenheit schwebt natürlich über allem. An das Kosmetikstudio, das Herr Lindner nannte, sind sicherlich andere Sicherheitsanforderungen zu stellen als an ein Großunternehmen – ein normaler Haushalt stellt ja auch andere Anforderungen an den Brandschutz als ein Chemiewerk. Wo wir noch hin müssen, ist herauszufinden, welche Zertifizierungen und Sicherheitsmaßnahmen wirklich sinnvoll sind – ab welcher Unternehmensgröße braucht es beispielsweise ein Patch-Management? Daran anknüpfend: Welche Fragen stelle ich im Antragsprozess und an welcher Stelle? Wenn ich heute Risikofragebögen von Versicherern für den Gewerbebereich ansehe, dann kommen alle komplett unterschiedlich daher. Hier werden die Versicherer aus den kommenden Schadenfällen lernen und die Fragebögen werden sich zunehmend auf die entscheidenden Punkte angleichen. Ich finde es immer spannend, sich andere Märkte anzuschauen: In den USA fragen die Versicherer im Kleinsegment überhaupt nicht mehr nach Virenscanner und Firewall, weil das ohnehin jeder hat – und die es nicht haben, werden für einen vereinfachten Abschlussprozess in Kauf genommen. Auch das ist ein Ansatz, den man verfolgen kann. 

Für welchen Weg hat sich Hiscox entschieden?

Sieverding: Wir haben uns für den Weg entschieden, auf Mindestanforderungen in der IT-Sicherheit zu bestehen. Das heißt, ein Virenscanner, eine Firewall, Datensicherung und ein Rechtekonzept müssen vorhanden sein. Generell gilt: Das Thema Betriebsunterbrechung ist für einen Unternehmensberater nicht so brisant wie es beispielsweise bei einem Online-Shop der Fall ist. Wenn dort Kunden nicht mehr einkaufen können, weil die Server down sind, hat der Shop-Betreiber ein Riesenproblem. Ein Unternehmensberater kann mit einem neuen Laptop aus einem nahegelegenen Elektrofachmarkt zumindest eingeschränkt schnell weiterarbeiten.

Philipp Lienau, HDI Global: „Uns half gerade in der Anfangssituation, dass wir im Underwriting auch Leute mit IT-Sicherheitshintergrund beschäftigen.“

Wie geht HDI Global in der vertrieblichen Ansprache vor, Herr Lienau?

Lienau: Ich stelle in der Praxis immer wieder fest, dass es darauf ankommt, mit wem man spricht: Der Geschäftsführer ist in der Regel ein Generalist, der nicht unbedingt sehr IT-nah ist. Hier muss man ganz andere Szenarien aufmalen, um das nötige Bewusstsein rüberzubringen. Bei IT-Leuten habe ich früher eine Abwehrhaltung festgestellt, nach dem Motto: Der Versicherer weiß alles besser und sagt mir jetzt, wie ich meine Arbeit zu machen habe – und sagt das auch noch meinem Chef. Das hat sich zum Glück gebessert. Uns half dabei auch gerade in der Anfangssituation, dass wir im Underwriting auch Leute mit IT-Sicherheitshintergrund beschäftigen. Die sprechen dieselbe Sprache und das fördert das gegenseitige Verständnis. Dann schließt sich der Kreis, weil der Geschäftsführer und sein IT-Chef gleichermaßen angesprochen werden können. Diese Konstellation ist besonders, weil der IT-Bereich von Unternehmen bislang meist nur selten oder gar nicht direkt mit Versicherungsfragen befasst war.