Cyberversicherungen

Digitale Risiken absichern

Im Interview erklärt Robert Dietrich, Hauptbevollmächtigter bei dem ­Versicherungsspezialisten Hiscox Deutschland in München, wie Kunden dank eines entsprechenden Versicherungsschutzes die Auswirkungen von ­Cyberattacken abfedern können und warum IT-Unternehmen prinzipiell nicht auf Haftpflichtversicherungen verzichten sollten.

  • Digitale Risiken absichern

    Wie Cyberversicherungen die Auswirkungen von Angriffen und Ransomware abfedern können erklärt Robert Dietrich, Hauptbevollmächtigter bei dem ­Versicherungsspezialisten Hiscox Deutschland. ((Bild: Claus Uhlendorf))

  • Digitale Risiken absichern

    „Sollten Cybervorfälle in der Öffentlichkeit hohe Wellen schlagen, dann steuern wir auch die Krisen-PR für unsere Kunden“, sagt Robert Dietrich. ((Bild: Claus Uhlendorf))

  • Digitale Risiken absichern

    Robert Dietrich von Hiscox Deutschland fordert: „Im Zuge der Verbreitung von ­Technologien für Smart Homes gilt es, neue Vorgaben für Hausrat­versicherungen zu formulieren.“ ((Bild: Claus Uhlendorf))

  • Digitale Risiken absichern

    „Rund 80 Prozent der Auftraggeber erwarten von IT-Freelancern und IT-Dienstleistern mittlerweile den Nachweis einer Haftpflichtversicherung“, konstatiert Robert Dietrich. ((Bild: Claus Uhlendorf))

IT-DIRECTOR: Herr Dietrich, was ist das  Hauptgeschäftsfeld von Hiscox?
R. Dietrich:
Hiscox wurde 1901 in London gegründet, in Deutschland starteten wir 1995 zunächst mit Kunst- und Privatvermögensversicherungen. Im nächsten Schritt kamen Haftpflichtversicherungen für ausgewählte Berufsgruppen hinzu. Mittlerweile beschäftigen wir als reiner Spezialversicherer rund 3.000 Mitarbeiter weltweit, wobei der Fokus auf Nischenprodukten wie IT- und Cyberversicherungen liegt. Mit unseren Haftpflichtversicherungen sichern wir von Freelancern bis zu internationalen Großunternehmen alle Kunden ab. In diesem Rahmen bieten wir mit „Net IT“ eine Berufshaftpflichtversicherung speziell für die IT-Branche an. Sollten den Mitarbeitern von IT-Unternehmen Fehler unterlaufen, sind mögliche daraus resultierende Schäden versichert.

IT-DIRECTOR: Inwieweit schließen hiesige Firmen solche Policen bereits ab?
R. Dietrich:
Eine Studie von Hiscox und Bitkom Research zeigt: Ca. 80 Prozent der Auftraggeber erwarten von IT-Freelancern und IT-Dienstleistern mittlerweile den Nachweis einer IT-Haftpflichtversicherung. Zudem bieten wir für diverse Sparten – z.B. IT-Unternehmen, Architekten, Hotels oder Kliniken – spezielle Cyberversicherungen an. Werden die Versicherten Opfer von Cyberangriffen, übernehmen wir sowohl die Schadensbehebung als auch das Krisenmanagement.

IT-DIRECTOR: Was ist hierbei inkludiert?
R. Dietrich:
In enger Zusammenarbeit mit unserem exklusiven Krisen-Dienstleistungspartner HiSolutions aus Berlin übernehmen wir alle forensischen Dienstleistungen. Dabei rekapitulieren wir gemeinsam, was bei den Versicherungsnehmern genau vorgefallen ist. Im Anschluss klären wir, ob Endkunden oder Strafverfolgungsbehörden über den Sicherheitsvorfall informiert werden müssen. Falls ja, übernehmen wir auch dies für unsere Kunden. Sollte der Vorfall zudem in der Öffentlichkeit hohe Wellen schlagen, dann steuern wir auch die Krisen-PR. Diese Leistungen kommen insbesondere Mittelständlern zugute, die mit Cyberangriffen häufig überfordert sind.

IT-DIRECTOR: Welche Schäden regulieren Sie nach Cyberattacken?
R. Dietrich:
Bei Bedarf übernehmen wir die Wiederherstellung der IT-Systeme und Unternehmensdaten. Auch gleichen wir entstandene Haftpflichtschäden aus. Weiterhin regulieren wir die Folgen von Betriebsunterbrechungen. Alles in allem handelt es sich um ein Komplettpaket mit einer Haftpflicht- und Eigenschadendeckung inklusive einer „Krisen-Assistance“. Zudem setzen wir sehr auf Prävention und führen unmittelbar nach dem Versicherungsabschluss kostenlose Online-Sicherheitsschulungen durch, um die Mitarbeiter unserer Kunden gegenüber Cybergefahren zu sensibilisieren. Dabei lernen diese etwa, nicht vorschnell auf Links zu klicken oder E-Mail-Anhänge zu öffnen – auch wenn es sich um vermeintlich bekannte Absender handelt.

Dies ist ein Artikel aus unserer Print-Ausgabe 12/2018. Bestellen Sie ein kostenfreies Probe-Abo.

IT-DIRECTOR: Wie hoch ist die Nachfrage speziell nach Cyberversicherungen?
R. Dietrich:
In Deutschland bieten wir solche Verträge seit gut acht Jahren an, wobei das Thema zuletzt durch das Sicherheitsgesetz und die EU-Datenschutz-Grundverordnung (DS-GVO) enormen Schub erhalten hat. Auch die Investitionsbereitschaft ist inzwischen vorhanden, denn das wachsende Risiko ist vielen bewusst.

IT-DIRECTOR: Worauf kommt es bei der Schadensregulierung an?
R. Dietrich:
Vor allem auf sehr schnelle Reaktionszeiten, da die Schadensfälle in der Regel äußerst zeitkritisch sind: Geht es etwa um eine fehlerhafte Programmierung in laufenden IT-Projekten, lassen sich die Klärung des Schadensfalls oder etwaige Klagen auf Schadensersatz nicht monatelang aufschieben. Generell wollen wir unsere Kunden vor unberechtigten Ansprüchen schützen. Sollte an den Beschuldigungen nichts dran sein, verteidigen wir unsere Kunden aktiv auch vor Gericht. Ebenso zeitkritisch erweist sich das Handeln nach Sicherheitsvorfällen. Deshalb müssen unsere Krisenspezialisten permanent und direkt erreichbar sein. Denn werden z.B. Online-Händler an Tagen wie dem Black Friday attackiert, kann dies geschäftskritisch für sie sein.

IT-DIRECTOR: Was passiert als Erstes, sollte ein Schadenfall eintreten?
R. Dietrich:
Betroffene sollten uns oder unseren Krisendienstleister unmittelbar informieren – auch im Verdachtsfall. Denn wir nehmen lieber einen Fehlalarm in Kauf, als verzögert zu reagieren. Nach der Alarmierung nehmen die Forensiker zunächst eine Ferndiagnose vor. Dabei können sie in der Regel schnell einschätzen, ob es sich um einen kritischen Vorfall handelt. Bei schweren Attacken werden die Forensiker zu den Kunden vor Ort geschickt. Auf diese Weise ist der Sicherheitsvorfall entweder schnell gelöst oder wir leiten den Krisenstab ein. Generell sind weniger DDoS- oder Massen-Phishing-Angriffe kritisch als vielmehr einzelne, zielgerichtete Angriffe, die immens viele Daten und Know-how aus den Firmen abgreifen können.

IT-DIRECTOR: Was ist die größte Herausforderung bei der Regulierung?
R. Dietrich:
Basis unseres Erfolgs ist die schnelle und unkomplizierte Regulierung. So haben wir erst im vergangenen Jahr bei einem Kunden einen Drei-Millionen-Euro-Schaden reguliert. Bei solch hohen Summen arbeiten wir auch mit Rückversicherern zusammen, die aber erst ins Spiel kommen, wenn unser relativ großer Eigenbehalt nicht mehr greifen sollte.

IT-DIRECTOR: Nicht alle Vorfälle sind klar nachvollziehbar. Wer würde z.B. bei Unfällen von autonomen Fahrzeugen haften – Automobilhersteller oder Software-Entwickler?
R. Dietrich:
Solche mit der zunehmenden Digitalisierung sämtlicher Lebensbereiche verbundenen Fragen sind vielfach noch nicht abschließend geklärt. Hier besteht die große Kunst künftig darin, für alle Beteiligten vertretbare und klare Regeln zu schaffen. Gefordert ist dabei die Zusammenarbeit aller relevanten Parteien, von den IT-Anbietern über die Politik bis hin zu Versicherern. Vor diesem Hintergrund sind wir seit Kurzem in verschiedenen politischen Institutionen in Berlin aktiv. Und wir sitzen als einziger Versicherer im digitalen Wirtschaftsrat, wo wir die Sicht der Versicherungswirtschaft auf die Digitalisierung darlegen.

IT-DIRECTOR: Was ist ein gestohlener Datensatz überhaupt wert?
R. Dietrich:
Dafür gibt es gewisse Richtwerte. Bei dem erwähnten Drei-Millionen-Euro-Schaden kam Verschiedenes zusammen: Hier wollte ein ehemaliger Mitarbeiter das betroffene Unternehmen ganz bewusst schädigen. Die Aussendung mehrerer IT-Forensikspezialisten machte einen großen Anteil der Kosten aus. Sie konnten direkt vor Ort eigene Nachforschungen anstellen. Ein weiterer Kostenfaktor war die Betriebsunterbrechung. In diesem Fall konnte das Unternehmen seine angebotenen Dienstleistungen nicht mehr erbringen, da alle IT-Systeme am Boden lagen. Dadurch kam es täglich zu großen Verlusten, die wir ebenfalls aufgefangen haben. Desweiteren ging es darum, den Angriff den Behörden zu melden und betroffene Kunden anzuschreiben. Also übernahmen wir auch das gesamte Krisenmanagement und die Öffentlichkeitsarbeit, wobei auch Krisen-PR sehr kostenintensiv sein kann.

IT-DIRECTOR: Mit welchen Behörden arbeiten Sie zusammen?
R. Dietrich:
Wir sind mit allen wichtigen Behörden wie dem Verfassungsschutz, dem Bundeskriminalamt und sämtlichen Landeskriminalämtern vernetzt. Allerdings informieren wir die Behörden immer erst nach Rücksprache mit den betroffenen Kunden. Die neue EU-Datenschutz-Grundverordnung und das Sicherheitsgesetz Kritis regeln mittlerweile klar, was direkt nach Cyberangriffen zu tun ist und welche Behörden oder Personen in welcher Form informiert werden müssen. Hier geben wir die klare Empfehlung, alle Vorgaben einzuhalten, weil sich die Unternehmensverantwortlichen strafbar machen würden.

IT-DIRECTOR: Was empfehlen Sie, wenn Firmendaten per Ransomware verschlüsselt werden. Haften Sie für Lösegeldzahlungen?
R. Dietrich:
Ja, wobei die Zahlung von Lösegeld die Ultima Ratio sein sollte. Zuvor würden wir gemeinsam mit den Kunden und unseren Experten andere Wege wie Back-ups, Schattenkopien, Entschlüsselung oder die manuelle Wiederherstellung prüfen. Während das FBI eher die Begleichung der Lösegeldforderungen empfieht, raten hiesige Behörden eher davon ab. Letzteres tun wir in der Regel auch.

IT-DIRECTOR: Warum?
R. Dietrich:
Unsere Erfahrung zeigt, dass selbst Lösegeldzahlungen längst nicht bewirken, die verschlüsselten Daten wieder verfügbar zu machen. Ein weiterer Grund: In den letzten Jahren haben sich im Darknet zahlreiche Handelsplattformen etabliert, über die man Ransomware- oder DDoS-Attacken für wenig Geld einkaufen kann. Resultiert daraus jedoch kein Gewinn aus Lösegeldern, haben die Kriminellen schnell ein Reputationsproblem.

IT-DIRECTOR: Wie wird sich der Cyberversicherungsmarkt entwickeln?
R. Dietrich:
Derzeit bewegt sich der deutschsprachige Markt im einstelligen Prozentbereich. Aktuell existiert ein Cyberversicherungsprä-mienvolumen von ca. 115 Mio. Euro, das bis 2025 aus unserer Sicht auf 3 Mrd. Euro steigen wird.

IT-DIRECTOR: Könnten Cyberpolicen zur Pflichtversicherung werden?
R. Dietrich:
Haben die Mitarbeiter keinen Zugriff mehr auf die Firmendaten, steht der Geschäftsbetrieb meist still. Deshalb benötigt jeder, der Daten digital vorhält und verarbeitet, über kurz oder lang eine entsprechende Absicherung. Neben Back-up- und Sicherheitstechnologien kann dies auch in Form einer Cyberversicherung passieren.

IT-DIRECTOR: Was würde gegen eine Pflichtversicherung sprechen?
R. Dietrich:
Die Versicherer müssten künftig auf einen Schlag massenhaft Cybersicherheitsschäden abfangen können, etwa wenn Hunderttausende Privatkunden gegen Ransomware-Schäden versichert wurden. Da solche Angriffe weltweit zeitgleich ablaufen, müssten alle Schäden unmittelbar reguliert werden. Dieses Szenario ist sehr schwer kalkulierbar. Daneben gibt es weitere Besonderheiten: Bei der Versicherung von Cyberschäden kann es einerseits um sehr hohe Summen gehen, anderseits müssen auch die Versicherungen den steten digitalen Wandel abbilden. In der Regel arbeiten Versicherer jedoch mit Vergangenheitswerten, die für den Versicherungsrahmen und die Prämien
statistisch neu berechnet werden. Daher müsste man die Verträge künftig schnell an neue Gegebenheiten anpassen können.

IT-DIRECTOR: Was bedeutet der digitale Wandel für Ihr Geschäftsmodell?
R. Dietrich:
Die Lebenszyklen unserer Angebote werden immer kürzer, wobei künftig auch Modelle wie „Dynamic Pricing“ bei der Absicherung von Risiken denkbar wären. In den acht Jahren unseres Bestehens in Deutschland haben wir unser Produkt bereits drei umfänglichen Relaunches unterzogen. Blieben Policen für Kfz- oder Hausratversicherungen früher bis zu 30 Jahre unverändert, wird sich dies radikal ändern: Bald werden bei Kfz-Versicherungen Aspekte wie das autonome Fahren und Telematik berücksichtigt müssen. Und bei Hausratversicherungen wird es zunehmend um die Einbindung der Risiken von Smart-Home-Technologien gehen.

IT-DIRECTOR: Was bedeutet dies?
R. Dietrich:
Bislang gab es standardisierte Definitionen für Einbruchs- und Diebstahlspuren infolge gewaltsamen Zutritts. Im Zuge der Verbreitung von Smart-Home-Technologien gilt es, neue Vorgaben zu formulieren. Denn werden die Sicherheitssysteme gehackt, können Kriminelle, ohne Einbruchsspuren zu hinterlassen, einfach hereinspazieren.

IT-DIRECTOR: Was ist mit Künstlicher Intelligenz (KI)?
R. Dietrich:
Mit KI beschäftigen wir uns intensiv. Zu klären ist, wer künftig in die Haftung genommen werden kann: die Entwickler der zugrunde liegenden Algorithmen, die Software-Anbieter oder die Anwender? Wichtig ist, Trends wie KI, Smart Home oder das Internet der Dinge nicht mehr getrennt voneinander zu betrachten. Vielmehr sollte man berücksichtigen, dass aufgrund der zunehmenden Vernetzung alles ineinandergreift.

IT-DIRECTOR: Was ist wichtig bei der Auswahl der Policen?
R. Dietrich:
Man sollte sich die Bedingungswerke genau ansehen: Welche Ausschlüsse und Obliegenheiten sind notiert? Gibt es versteckte Hintertüren, die die Versicherer offenhalten, oder existieren Verklausulierungen wie „dem Stand der Technik entsprechend“? Solche Floskeln sind viel zu allgemein und für die Versicherungsnehmer nicht selten mit großen Nachteilen verbunden.

IT-DIRECTOR: Was kosten Cyberversicherungen?
R. Dietrich:
Im Allgemeinen kommt es auf die Unternehmensgröße, die vorhandene Datenmenge, die Umsätze und die Branche an. Anbieter kritischer Infrastrukturen bezahlen wegen des höher abzudeckenden Risikos höhere Beiträge – teils sechsstellige Beträge jährlich. Im klassischen Mittelstand hingegen bewegen wir uns bei 10.000 bis 15.000 Euro pro Jahr. Bei dem erwähnten Drei-Millionen-Euro-Schaden bezahlte das betroffene Unternehmen eine jährliche Prämie von rund 10.000 Euro. Hätten wir den Schaden nicht reguliert, hätte das mittelständische Unternehmen wohl Insolvenz beantragen müssen.

Über Robert Dietrich

Alter: 44 Jahre
Familienstand: verheiratet, 4 Kinder
Werdegang:
Management-Studium und MBA; anschließend Tätigkeiten bei Allianz und Debeka. Seit 1997 bei Hiscox, anfangs als Underwriting Manager verantwortlich für den Privat- und Geschäftskundenbereich. 2005 wechselte er für ein Jahr zu Hiscox in UK und trieb dort die Markteinführung des Direktgeschäfts voran. 2007 wurde er zum Hiscox Deutschlandchef ernannt, seit 2012 ist er Hiscox Partner.
Derzeitige Position:
Hauptbevollmächtigter bei Hiscox Deutschland

©2019Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok