Nils Diekmann ist Underwriter für Cyberrisken bei der Munich Re. Im Gespräch mit dem Versicherungsmonitor erklärt er, warum die bisherigen Cyberrisiko-Policen nicht gut laufen und was er sich von der Ferma-Tagung der europäischen Risikomanager in Maastricht erhofft.
Versicherungseinkäufer großer Konzerne verlangen schon seit Jahren vernünftige Deckungen gegen Cyberrisiken. Jetzt kommen plötzlich gleich mehrere Unternehmen mit entsprechenden Konzepten auf den Markt. Warum gewinnt der Markt erst jetzt an Fahrt?
Nils Diekmann: In den USA gab es eine Reihe an Datenschutz-Vorfällen, die in letzter Zeit bekannt geworden sind. Ein Beispiel ist der Datenverlust bei Sony. Zudem gab es 2012 eine SEC-Empfehlung, die Unternehmen dazu aufforderte, in ihren Jahresberichten auch Cyberrisken darzustellen.
In Deutschland gab es eine Novelle zum Datenschutzgesetz, die eine Angleichung an die Regeln in den USA anstrebt. Demnach müssen Unternehmen beim Verlust sensibler personenbezogener Daten Kunden benachrichtigen. Kurz: Es ist viel passiert und die Risikomanager der Unternehmen sind aufmerksamer geworden, was das Thema Cyber angeht. Das lässt die Nachfrage nach Deckungskonzepten steigen.
Hilft der NSA-Skandal den Versicherern bei der Vermarktung der Policen?
Seit dem NSA-Skandal ist das Thema Datensicherheit in aller Munde, die breite Masse ist aufmerksam geworden. Dabei ist das Thema nicht ganz neu. Vor sechs bis acht Jahren gab es schon einmal Vermutungen, dass sich die Geheimdienste Zugang zu sensiblen Daten verschafft haben. Damals wurde das Thema aber nicht so groß diskutiert. Das ist heute anders. Allein deshalb steigt aber die Nachfrage nach Cyberdeckungen nicht.
Viele Versicherungseinkäufer kritisieren, dass sie mit den neuen Deckungen nichts anfangen können. Was läuft falsch?
Eine Studie der European Union Agency for Network and Information Security (ENISA) hat ergeben, dass die Unternehmen mehr in Präventionsmaßnahmen als in Versicherungen gegen Cyberrisiken investieren. Dafür gibt es mehrere Gründe: Der Antragsprozess ist kompliziert, die Selbstbehalte zu hoch und der Deckungsumfang der Policen stimmt oft nicht mit dem überein, was der Kunde wirklich braucht. Das ist immer noch der Fall. Es gibt zu viele Standardpolicen. Der Kunde kann zwar zwischen verschiedenen Modulen auswählen, aber diese Bausteine sind relativ fest.
Und die Munich Re kann es besser machen?
Unser Ansatz ist, zunächst einmal zu fragen, welche Risiken der Kunde hat. Auf dieser Basis entwickeln wir dann ein maßgeschneidertes Deckungskonzept.
Welche Deckungskomponenten können Sie damit bieten, die andere Policen nicht haben?
Bei den meisten Cyberrisiko-Policen ist der Verlust personenbezogener Daten abgedeckt. In den USA ist das die Standard-Deckung. Andere Aspekte sind nicht oder nur minimal abgedeckt wie die IT im Produktionsprozess, also die Gefahr, dass zum Beispiel durch einen Fehler in den Daten zur Steuerung eines Fabrikroboters das Fließband stillsteht. Das können wir mit unserem Konzept abdecken.
Gibt es schon Abschlüsse?
Wir haben schon Abschlüsse, stehen aber noch ganz am Anfang. Wir fühlen uns auch nicht unter Druck, innerhalb kurzer Zeit eine gewisse Anzahl an Abschlüssen zu generieren.
An welche Branchen richten Sie sich vor allem?
Wir konzentrieren uns auf die Themen Outsourcing, Cloudcomputing, den Online-Handel und die produzierende Wirtschaft, sind aber auch für andere Branchen offen.
Große Konzerne beschweren sich oft, dass die Deckungslimits nicht ausreichen und/oder die Policen zu teuer sind. Was haben Sie der Industrie hier zu bieten?
Bei den Deckungslimits sind bis zu 150 Mio. Euro möglich, nicht nur als Zusatzdeckung, sondern auch als Primärdeckung. Der Preis ist sehr individuell, er hängt vom Deckungsumfang ab und von der Höhe des Selbstbehalts und des Limits.
Ein Problem bei individuellen Deckungen ist, dass sie nicht mit anderen Policen kombinierbar sind, wenn der Kunde besonders hohe Deckungssummen benötigt.
Ich habe in diesem Bereich durchaus schon Layerstrukturen gesehen. Es ist natürlich schwieriger als auf einer Standardpolice aufzubauen. Man muss sich intensiver mit der Materie beschäftigen, wenn man eine Zusatzdeckung stellen soll und die Original-Police erst noch analysieren muss. Aber es ist nicht unmöglich.
Was sagen Erstversicherer zu ihren Cyber-Angeboten für die Großindustrie? Sie machen damit ja Ihren eigenen Kunden Konkurrenz.
Nicht wirklich, im Markt für Cyberrisiko-Policen herrscht kein Verdrängungswettbewerb. Es ist vielmehr ein wachsendes Feld. Es ist besser, wenn mehr Spieler im Markt sind, denn das garantiert, dass das Thema bei den Risikomanagern einen prominenteren Stellenwert hat. Wenn nur zwei Versicherer ihre Kunden auf Cyberrisiken ansprechen, können die es leichter ignorieren. Deshalb ist es von Vorteil, wenn es mehrere Spieler gibt.
In diesen Tagen treffen sich die europäischen Versicherungseinkäufer zur Ferma-Tagung in Maastricht. Was erhoffen Sie sich von der Veranstaltung in Bezug auf das Thema Cyberrisiken?
Die Ferma-Tagung ist eine hervorragende Möglichkeit, um mit unseren Kunden ins Gespräch zu kommen. Direkte Kontakte sind hier besonders wichtig, um zu verstehen, wo der Bedarf liegt und was die Kunden fordern. Mein Ziel ist, mit so vielen Risikomanagern wie möglich zu reden.
Friederike Krieger
Dieser Beitrag ist nur für Premium-Abonnenten vom Versicherungsmonitor persönlich bestimmt. Das Weiterleiten der Inhalte – auch an Kollegen – ist nicht gestattet. Bitte bedenken Sie: Mit einer von uns nicht autorisierten Weitergabe brechen Sie nicht nur das Gesetz, sondern sehr wahrscheinlich auch Compliance-Vorschriften Ihres Unternehmens.
Diskutieren Sie mit
Kommentare sind unseren Abonnenten vorbehalten. Bitte melden Sie sich an oder erwerben Sie hier ein Abo