Was macht Babobab Insurance?
Klemm: Baobab Insurance ist ein Managing General Agent kurz MGA. In Deutschland ist das vergleichbar mit einem Assekuradeur für Cyberversicherungen. Wir bieten aktuell eine Cyber-Versicherung mit integrierten Cyber-Sicherheitsmaßnahmen an und arbeiten hier mit Maklern zusammen. Wir verzahnen die Produkte mit einem Cybersicherheitsansatz, der eine technische Bestandsaufnahme des Unternehmensrisikos vornimmt. Für das Underwriting nutzen wir einen technischen Ansatz. Wir haben einen Angriffsoberflächen-Scan entwickelt, der auf Unternehmen schaut, wie es Hacker tun. Baobab hat seit der Gründung eine sehr starke Cybersicherheits-DNA. Unser Ziel ist, Cyber-Schutz besser, profitabler und kundenfreundlicher anzubieten, als es bestehende Versicherer können.
Was können Sie, was ein großer Versicherer nicht kann?
Klemm: Wir sind in der Tat ein kleines Unternehmen im Vergleich zu Allianz, Axa oder Talanx. Was diese Unternehmen aber nie haben werden, ist eine Cybersicherheits-DNA. Es ist wichtig, diesen Gedanken in sich zu tragen. Ich glaube, dass diese Perspektive 50 Prozent ausmacht und die Cybersicherheitsperspektive die anderen 50 Prozent. Das zu ändern, ist für die meisten Häuser sehr schwer.
Zurück zum Ansatz. Wie funktioniert der konkret?
Klemm: Wir scannen die Unternehmen, die sich über einen Makler versichern möchten. Im Rahmen der Überprüfung wird ausgelesen, welche IT-Systeme online sichtbar sind. Daraus wird ein Modell erstellt. Dies zeigt, wie sicher die IT aufgestellt ist. Auf Basis der Ergebnisse der sichtbaren IT-Systeme wird ein Preis für die Absicherung berechnet. Oder der Antrag abgelehnt.
Was wären Gründe für eine Ablehnung?
Klemm: Das wären etwa offene Ports. Oder eine zu geringe E-Mail-Sicherheit. Aber auch allein die Größe und Konfiguration der Infrastruktur, die wir dort vorfinden, ist ein möglicher Faktor für etwaige Angriffe. Darüber hinaus stellen wir noch einige Fragen, etwa zur Anzahl der gespeicherten Datensätze oder die Frequenz von Back-Ups. Das sind Informationen, die sich von außen einfach nicht erkennen lassen. Das ist ein automatisiertes, integriertes Modell, dass am Ende bei rund 80 Prozent der Unternehmen die Underwriting-Entscheidung automatisch erstellt. Heißt in 80 Prozent der Fälle muss ein Underwriter nicht mehr draufschauen.
Das klingt, als würden Sie für Ihr Modell Künstliche Intelligenz einsetzen?
Klemm: Es gibt mehrere Bestandteile. Im Markt gibt es Scanner, die auf Open Source-Basis arbeiten. Wir haben diese Open-Source-Technologie von Grund auf neu konfiguriert und daraus ein Scan-Produkt gebaut, das wir bei Baobab für die Datenerhebung nutzen. Die Krux bei den bestehenden Systemen ist, dass sie nicht gut genug erkennen, welche Unternehmens-IT überhaupt zu einer Unternehmensgruppe gehört. Wir haben unser Scan-System dahingehend weiterentwickelt, dass es das sehr gut erkennen kann. Wenn wir die IT-Systeme scannen, erhalten wir sehr viele Daten, die ein menschlicher Underwriter in der Kürze der Zeit gar nicht verarbeiten kann. Hier setzen wir KI ein, um daraus die richtigen Schlüsse zu ziehen. Unser System trennt hier quasi die Spreu vom Weizen, versteht also, welche Punkte wichtig sind. Die Ergebnisse, die wir dann zusätzlich aus den Fragen gewonnen haben, laufen zusätzlich in das Modell mit ein. Am Ende berechnet das System auf den verschiedenen Faktoren basierend einen Preis.
In welchen Fällen muss der Mensch die Berechnungen übernehmen?
Klemm: Es gibt zwei Möglichkeiten. Einmal, weil wir nochmals draufschauen wollen. Oder Daten erhoben wurden, die ungewöhnlich sind, sodass wir sie uns noch einmal genau anschauen müssen. In dem Fall gibt es Rückfragen an das Unternehmen. Es gibt Hochrisikobranchen, etwa Finanzinstitute oder Finanzdienstleister, wo wir definitiv genauer hinschauen.
Gibt es Bereiche, die Sie nicht versichern würden?
Klemm: Ja, das sind allerdings nicht so viele. Der Bereich Krypto, der Bereich Glücksspiel, Zahlungsabwickler, kritische Infrastruktur, den Bereich Bergbau versichern wir nicht. Genauer schauen wir bei Finanzinstituten, Versicherungen, in der öffentlichen Verwaltung oder dem Gesundheitssektor. Hier ist es eine Fall-zu-Fall-Prüfung. Die KI ist hier entscheidungsunterstützend.
Wer ist Risikoträger, wenn Sie als MGA agieren?
Klemm: Das ist die Zurich Gruppe.
Nochmals zurück zu Ihrem Vertriebsansatz. Wie sind Sie aufgestellt?
Klemm: Wir sehen uns als Cyber-Assekuradeur, der auf Makler setzt. Auch aus Überzeugung. Weil wir schon sehen, dass es sinnvoll für ein Unternehmen ist, einen kompetenten Makler als Ansprechpartner zu haben und bei ihm die Versicherungen zu bündeln. Es geht darum, dass der Makler ein Deckungskonzept über alle Risiken abstimmen kann. Deswegen gehen wir nur über Vermittlern. Und dort decken wir eine große Bandbreite ab. Wir arbeiten mit 17 der Top 20 Maklerhäuser zusammen und haben rund 700 Maklerhäuser als Partner. Wir glauben, dass die Zahl der relevanten Makler, die sich mit Cyberversicherungen beschäftigen, in Deutschland bei 2.000 bis 3.000 liegt. Und die werden in den kommenden 24 Monaten auch erreichen. Wir arbeiten zudem mit der VEMA und Finlex zusammen.
Das Thema Cybersicherheit steht bei den Firmen ganz oben. Allerdings hat dies kaum Folgen im Sinne von, dass der Absatz von Cyberpolicen deutlich steigt. Warum gehen die Firmen derart fahrlässig mit der Bedrohungslage um?
Klemm: Es gibt durchaus Firmen, die fahrlässig damit umgehen. Ich würde dennoch nicht behaupten, dass die meisten fahrlässig sind. Mein Eindruck ist, dass das Bild des Unternehmenspatriarchen, der die Firma lenkt und sagt: „Cyber betrifft mich nicht, wer soll uns hacken?“ nahezu ausgestorben ist. Ganz viele Geschäftsführer sagen uns gegenüber, wie wichtig Cyber-Schutz sei. Ich glaube, dass die Versicherungsbranche, Bitkom oder das BSI hier wichtige Aufklärungsarbeit leisten. Was viele noch nicht geschafft haben, ist die Bedrohungslage abzustellen. Das hier zu wenig passiert, hat auch mit einem fundamentalen Fachkräftemangel zu tun. Es hat aber auch mit den kulturellen Gegensätzen zu tun. Wir sehen, dass ganz viele Mittelständler Cybersicherheitsexperten suchen und bislang nicht gefunden haben. Die Cybersicherheitszene ist sehr international. Der Mittelstand in Deutschland ist in der Breite sehr geografisch verteilt. In UK fokussiert sich die Professional Cybersecurity-Szene auf London. Dort wird Englisch gesprochen, die Szene spricht Englisch. Insofern gibt es etwa viele Experten aus Indien oder Osteuropa, die dort helfen, die Firmen sicherzumachen. Das ist für einen Maschinenbauer aus dem Schwarzwald etwas diffiziler.
Wie sieht es denn mit der Cyber-Resilienz der Firmen aus?
Klemm: Das hängt von den Segmenten ab. Die sehr großen Unternehmen aus dem Dax, M-Dax-Unternehmen und die Hidden Champions haben das Thema längst erkannt. Weil ein Risk-Management im Vorstand oder Aufsichtsrat verankert ist. Weil sie international aufgestellt und über die Lieferketten vernetzt sind. Die Firmen haben bereits in ihre Sicherheitssysteme investiert, haben IT-Sicherheitschefs und steuern in 90 Prozent der Fälle ihre IT-Sicherheit ganz gut. Und dann gibt es den Bereich darunter, den Mid-Market, Unternehmen mit einem Umsatz zwischen 100 Millionen bis einer Milliarde Euro. Das ist der Bereich, in dem wir uns bewegen und hier stellen wir fest, dass es sehr heterogen ist. Die Finanzdienstleister und Finanzinstitute aus dem Segment sind dort definitiv weiter. Wir sehen dort sehr häufig kaum noch Schwachstellen. Und dann gibt es den Bereich der kleinen und mittelständischen Unternehmen. Dort ist es ebenfalls heterogen, wie in den größeren Firmen. Allerdings ist die IT-Infrastruktur dort deutlich simpler.
Haben die Kunden eigentlich eine Ahnung, was im Falle eines Cyberangriffs auf sie zukommt?
Klemm: Meistens nicht. Was wirklich wichtig ist, ist ein gutes Krisenmanagement und ein Krisenplan. Den liefern wir mit. Das machen andere auch. Aber es ist wichtig für Kunden zu wissen, was die Schritte sind. Wer muss informiert werden? Wie geht man das an? Wie mindert man den Schaden schnellstmöglich? Das ist ein Ausnahmezustand, manchmal auch ein emotionaler Schock und das überfordert die meisten Unternehmen. Wenn ein Schiff in Seenot gerät, gibt es auch Pläne für den Notfall. Und so muss es in dem Fall einer Cyberattacke auch sein.
Interview: Jörg Droste, Cash.