Das Cyberrisiko für Firmen nimmt zu. Was raten Sie Maklern in dieser Situation?
Heilmann: Makler müssen sich mit dem Thema Cyber auseinandersetzen und Wissen erwerben. Zunächst ist es wichtig, die Kunden im Beratungsgespräch zu sensibilisieren. Denn viele Unternehmen halten die eigene IT für ausreichend geschützt oder bewerten ihr eigenes Risiko für einen Cyberangriff als gering. Dann müssen der Kundenbedarf erkannt und die erforderlichen Deckungsinhalte und -summen ermittelt werden.
Risikomanagement, Versicherungen und IT-Sicherheit verantwortet zwar i. d. R. die Geschäftsführung, doch gerade bei der IT-Sicherheit ist sie auf die Einschätzung ihres IT-Verantwortlichen angewiesen. Daher muss auch er von der Notwendigkeit einer Cyberversicherung überzeugt werden.
Wie muss eine Beratung ablaufen, um das richtige Produkt für den Kunden zu finden? Was sind Must-haves für jeden Kunden?
Heilmann: Unabdingbar für eine qualifizierte Beratung ist es, die Deckungsinhalte zu verstehen. Besonders wichtig ist dann die Fähigkeit, die relevanten Inhalte für das jeweilige Unternehmen zu erkennen und anzuwenden, um daraus die benötigten Versicherungssummen ableiten zu können. Hier gibt es signifikante Unterschiede bei der Beratungsqualität der Vermittler.
Für die Eigenschaden-Deckung sollte eine 24/7-Hotline vorhanden sein, die im Schadenfall, und sei es auch nur ein vermuteter Schaden, sofort professionell unterstützt. Aber auch die Kostenübernahme für IT-Forensik, Datenwiederherstellung und natürlich auch für die entgangenen Gewinne durch eine Betriebsunterbrechung sind absolut unverzichtbar.
Für die Absicherung der Drittschäden sehen wir neben der Deckung gesetzlicher Haftpflichtansprüche auch eine umfangreiche Deckung für Datenschutzrechtsverletzungen als wesentliche Leistungskomponente an. Auch die Produkthaftung und die Absicherung vertraglicher Schadensersatzansprüche (Erfüllungsschäden) sind, insbesondere für das produzierende Gewerbe, von großer Bedeutung.
Diese Must-haves hat die Alte Leipziger Versicherung AG bei ihrer Cyber-Versicherung AL_Cyber umgesetzt, die sie 2019 im Markt eingeführt hat. Das Produkt wurde für kleine und mittlere Unternehmen (KMU) konzipiert, ist modular und kann damit bedarfsgerecht auf Kundenwünsche zugeschnitten werden. Auch sollte der Vermittler Begrenzungen der Entschädigung (sog. Sublimits) kennen und bei der Beratung berücksichtigen. Eine ideale Deckung hat keine Sublimits.
Welche Parameter sind für die Deckungssumme maßgeblich? Gibt es Höchstgrenzen für Deckungssummen?
Heilmann: Deckungssummen und deren Ermittlung sind ein sehr komplexes Thema. Umsatz, Branche/Betriebsart, der Umfang der eigenen IT und natürlich auch Art und Anzahl der verarbeiteten Daten haben maßgeblichen Einfluss auf den Bedarf und somit auf die Höhe der benötigten Deckungssumme.
Hilfreiche Fragen wären beispielsweise: Würde der Betrieb stillstehen, nachdem die IT lahmgelegt wurde? Und wenn ja, wie lange? Was würde eine vollständige Datenwiederherstellung oder gar ein vollumfängliches Neuaufsetzen der IT-Systeme kosten? Wie viele personenbezogene Datensätze werden im Unternehmen verarbeitet oder sind zur Verarbeitung ausgelagert? Wie viele Datensätze sind davon besonders schützenswert? Gegebenenfalls sollte der IT-Verantwortliche in das Beratungsgespräch einbezogen werden.
Die Frage nach Höchstgrenzen kann ich nur für unsere Cyberversicherung beantworten. Über unseren Onlinerechner können wir bis zu 5,9 Millionen Euro Jahreshöchstentschädigung im Standardgeschäft abbilden. Dies sehen wir als sehr hohen Wert im Vergleich zum Wettbewerb. Individuelle Lösungen können sogar darüber hinausgehen. Zudem ist es marktüblich, einzelne Deckungsinhalte mit Sublimits zu begrenzen, was wir nicht tun.
Wie bewerten Sie in diesem Zusammenhang, dass sich Cyber-Versicherer in Inhalt und Höhe von ihrem bisherigen Deckungsniveau zurückziehen, insbesondere für größere Betriebe?
Heilmann: Eine gewisse Veränderung in der Zeichnungspolitik können wir am Markt feststellen. Prämien und Selbstbehalte ziehen bei einigen Versicherern an, während die Kapazitäten teils reduziert werden und sich die Wordings nicht mehr so „großzügig“ gestalten. Dies wird höchstwahrscheinlich an steigenden Schadenbedarfen der einzelnen Versicherer liegen. Ein Versicherungsprodukt muss sich schlussendlich auch wirtschaftlich tragen.
Diese Situation kann es Neukunden erschweren, einen bedarfsgerechten Versicherungsschutz zu finden. Bestandskunden können von einer Sanierung betroffen sein (z. B. höhere Prämie, höhere Selbstbeteiligung, niedrigere Deckungssumme). Besonders schwerwiegend trifft dies dann Kunden mit einem aktuellen Schaden, weil sie womöglich noch „härter“ saniert werden oder ihnen sogar gekündigt wird. Einen neuen Cybervertrag zu finden wird dann herausfordernd.
Gibt es Ihrer Meinung nach einzelne Unternehmenstypen, beispielsweise nach Größe und Branche, die beim Thema Cybersicherheit gut aufgestellt sind? Wo fehlt es?
Heilmann: Generell hat bei deutschen Unternehmen die Wahrnehmung von Cyberrisiken zugenommen und die Investitionen in Cybersicherheit sowie die Abschlüsse von Cyberversicherungen steigen. Die mediale Berichterstattung über Hackerangriffe oder auch eigene Cyberschäden scheinen zu einem Umdenken geführt zu haben. Doch trotz zunehmender und immer professionellerer Cyberangriffe wird das Risiko oft noch verdrängt oder unterschätzt. Insbesondere KMUs meinen, die eigenen Daten seien für Hacker uninteressant oder das Unternehmen zu klein, um ins Blickfeld von Cyberkriminellen zu geraten.
Aber: Die meisten Cyberangriffe haben mittlerweile Mittelständler als Ziel! Ihre Angriffsfläche hat sich durch die vermehrte Homeoffice-Nutzung erhöht, aber sie sind bei der IT-Sicherheit i.d.R. schlechter aufgestellt als große Unternehmen. Eine gewisse Relation zwischen Unternehmensgröße und IT-Sicherheit ist also zu beobachten.
Hinsichtlich der Branche sei hier beispielsweise das Heilwesen genannt, wo die Digitalisierung durch die elektronische Patientenakte, Gesundheits-Apps auf Rezept oder Videosprechstunden einen großen Schub erhalten hat. Hier gibt es derzeit vermehrt Anfragen nach Cyberschutz, was vermutlich auch an der neuen IT-Sicherheitsrichtlinie liegt, die seit diesem Jahr neue, verbindliche Anforderungen an die IT-Sicherheit von Arztpraxen vorschreibt. Ergänzend wird darin die Übertragung der Cyberrisiken auf Versicherungen als Möglichkeit genannt. Bislang hatte für Ärzte die IT-Sicherheit in der eigenen Praxis nicht die höchste Priorität, doch diese Richtlinie soll dies ändern.
Wie sehen Sie bei der Cyberversicherung die Konkurrenz von Insurtechs und Spezialanbietern?
Heilmann: Bei den neuen digitalen Entwicklungen sind für uns die Vergleichsplattformen sehr wichtig. Wir als Versicherer und Produktgeber sehen diese als Kooperationspartner, weniger als Konkurrenz. Denn sie bieten einen Vertriebskanal, über den wir viele Vermittler erreichen können. Im einfachen Gewerbegeschäft sind solche Plattformen mittlerweile unerlässlich, weshalb wir auch dort mit unseren Produkten vertreten sind.
Bei Spezialanbietern handelt es sich häufig um Assekuradeure, die sich auf eine oder mehrere Sparten spezialisiert haben und für gewöhnlich einen Partner als Produktgeber bzw. Risikoträger benötigen. Somit ist auch hier Zusammenarbeit möglich. Gerade unser modulares Cyber-Produkt bietet sich mit seiner bedarfsgerechten Gestaltung hervorragend an.
Die Fragen stellte Silvia Fischer, Diplom-Betriebswirtin und Journalistin (FJS).