Interview des Monats

Die VersicherungsPraxis24 im Gespräch mit:

 

Peter Graß, Cyberversicherungsexperte beim GDV

Cyberversicherung hat noch viel Entwicklungspotenzial

Autorin: Susanne Görsdorf-Kegel

Seit 2018 lässt der Gesamtverband der deutschen Versicherungswirtschaft (GDV) jedes Jahr im Frühjahr erfragen, wie die Entscheider in kleinen und mittleren Unternehmen sich auf Cyberattacken vorbereiten. Bei der aktuellen Umfrage zeigte sich, dass knapp die Hälfte von ihnen weder einen Notfallplan noch eine Vereinbarung mit einem IT-Dienstleister hat und es Stunden oder sogar Tage dauern kann, bis ein angegriffenes IT-System wieder funktioniert. Andererseits ist die zunehmende Digitalisierung ja gerade durch die Corona-Pandemie ein wichtiges Thema geworden. Im Gespräch mit der „Versicherungspraxis24“ erläutert GDV-Cyberexperte Peter Graß den aktuellen Stand der Dinge.

Der GDV führt ja seit 2018 jedes Jahr im März eine Umfrage durch, wie es kleine und mittlere Unternehmen mit dem Schutz von Cyberangriffen halten. Dieses Jahr kam die Studie zu dem Ergebnis, dass der Mittelstand schlecht auf Cyberangriffe vorbereitet sei. Hat sich das durch die inzwischen intensivierten Erfahrungen mit Homeoffice verändert?

Graß: Die Ergebnisse waren noch nie berauschend, die Fortschritte sind relativ zögerlich. Aber wir haben für das Thema Homeoffice einen gesonderte Befragung geplant, die klären soll, wie sich die Unternehmen hier aufgestellt haben, ob die Mitarbeiter dabei eigene Geräte nutzen und welche Vorgaben in Bezug auf die IT-Sicherheit ihnen gemacht werden. Bisher gibt es auf diesem Gebiet noch wenig an Erfahrung, aber nach ersten Abfragen bei den Versicherern hat sich die Zahl der Angriffe wohl nicht verändert. In der Regel sind es Angriffe über eine E-Mail mit einem Erpressungstrojaner im Anhang, der seine Wirkung entfaltet, wenn man ihn anklickt. Dabei muss man aber berücksichtigten, dass sich die Cyberkriminellen inzwischen umgestellt haben - die Mails sind nicht mehr auf den ersten Blick an ihrem fehlerhaften Deutsch oder der unpersönlichen Anrede zu erkennen.

Wie sieht denn konkret die Nachfrage nach Cyberversicherungen aus?

Graß: Grundsätzlich ist sie auf einem ununterbrochenen Wachstumspfad mit Steigerungsraten in einem höheren zweistelligen Bereich, allerdings bisher noch von einem niedrigen Niveau aus. Die Marktdurchdringung ist noch nicht hoch und liegt insbesondere bei kleinen und mittleren Unternehmen mit einem Umsatz bis 50 Millionen Euro im einstelligen Bereich.

Gibt es dabei Unterschiede zwischen den Firmengrößen?

Graß: Große Industrieunternehmen haben in der Regel eine eigene IT-Abteilung, die natürlich für eine bessere Überwachung der Cybersicherheit sorgt und häufig auch eine eigene Anbindung an einen Versicherer.

Ist Cybersicherheit also auch eine Kostenfrage?

Graß: Klar, der Abschluss einer Versicherung ist immer auch eine Kostenfrage, insbesondere für Kleinunternehmen, die oft wenig finanziellen Spielraum haben. Viele setzen deshalb darauf, lieber aufzupassen, dass nichts passiert und schulen die Mitarbeiter, statt eine Versicherung abzuschließen. Der GDV vertritt aber eine andere Philosophie, wir sind der Ansicht, dass die Absicherung durch eine Versicherung im Vordergrund stehen sollte. Wir haben deshalb einen Onlinefragebogen auf unsere Homepage gestellt, durch den die Unternehmen sich durchklicken und so selbst ihre Risiken erkennen können.

Würden Sie also sagen, dass die Notwendigkeit von Cyberangriffen für alle Unternehmensgrößen gilt oder sollte man hier differenzieren?

Graß: Das gilt für alle Größen, die wenigsten Angriffe finden gezielt auf ein bestimmtes Unternehmen statt, die meisten sind massenhafte Angriffe per E-Mail. Viele insbesondere kleinere Unternehmen denken ja, dass ihnen nichts passieren kann, weil sie keine interessanten Daten hätten, aber das spielt in diesem Zusammenhang keine Rolle. Dazu kommt der „Faktor Mensch“ - die Mitarbeiter stehen unter Stress, wollen schnell noch die Mails abarbeiten und öffnen dann ohne lang zu überlegen den verseuchten Anhang.

Was könnten Unternehmen tun, um sich davor zu schützen?

Graß: Eine gute Firewall könnte viele derartige Mails abfangen. Und im Zweifel sollte der Mitarbeiter lieber schnell beim Absender anrufen, als eine dubiose Mail zu öffnen.

Worauf sollte ein Unternehmen sonst noch achten, wenn es für mehr Cybersicherheit sorgen will?

Graß: Der GDV hat ja Musterbedingungen herausgegeben, mit denen die Obliegenheiten festgelegt werden. Dazu gehören regelmäßig gute Back-ups, die auch wiederherstellbar sind und vom System getrennt aufbewahrt werden, sowie ein abgestuftes Verfahren bei den Zugriffsberechtigungen, außerdem ein IT-Notfallplan und ein IT-Verantwortlicher. Außerdem sind natürlich regelmäßige Schulungen der Mitarbeiter wichtig.

Ist die Cyberversicherung für Vermittler aktuell ein Angebot mit Potenzial oder gibt es eine Corona-Flaute, sodass es ratsam wäre, mit der Beratung bis nach dem Auslaufen der Pandemie zu warten?

Graß: Der Vertrieb hat ja durch virtuelle Beratung in den Zeiten von Corona erstaunlich gut funktioniert. Aber es dauert natürlich seine Zeit, bis ein Vermittler entsprechende Fachkenntnisse aufgebaut hat und die komplexen Prozesse kennt. Angesichts der zunehmenden Digitalisierung gibt es dabei aber sicher ein großes Potenzial mit großen Herausforderungen -  man wird aber erst im  nächsten Jahr sehen, wie stark die Nachfrage durch die Corona-Pandemie gestiegen ist.

 

Hinweis:
Das Sonderheft Cyber-Versicherung versucht, neben allgemeingültigen Aussagen zur Thematik, einen Überblick über die derzeit am Markt angebotenen Cyber-Deckungskonzepte zu verschaffen. Der Markt entwickelt sich weiter, IT-Sicherheit ist ein dynamischer Prozess – Versicherungsschutz als auch die Bedingungswerke müssen dieser Dynamik folgen, wollen sie den Kunden einen adäquaten Deckungsumfang bieten.
In dieser 5. aktualisierten und erweiterten Auflage wurden die neuesten Ergänzungen und Veränderungen aus den Bedingungswerken der Anbieter eingearbeitet und neue Angebote (bis zum Redaktionsschluss Mai 2020)  berücksichtigt. Neu hinzugekommen und erweitert wurden die Themen Phishing, Ransom-Attacken, Homeoffice, Silent Cyber sowie Kumulrisiken, Kapazitäten, Verbriefung und Dienstleister.
Zum Shop...