Digitaler Support für Cyberversicherungen

 The Long View – Der Hintergrund  Die Digitalisierung erobert die Wirtschaft. Damit geraten immer mehr Unternehmen in das Fadenkreuz von Internetkriminellen. Dennoch zählen Cyberpolicen hierzulande längst noch nicht zum Standardschutz von Unternehmen. Oft wirkt die Risikoanalyse als Bremse für das Neugeschäft. Neue digitale Rating-Tools können hier Abhilfe schaffen. Sie machen die Risikobewertung einfacher, schneller und transparenter.

Matthias Müller ist beim IT-Beratungs- und Softwarehaus PPI AG als Mitglied der Geschäftsleitung für den Bereich Versicherungen verantwortlich

© PPI AG

55 Mrd. Euro Schaden verursacht Cyber-Kriminalität jährlich in Deutschland. Weltweit sind es sogar 490 Mrd. Euro. Bei diesen Zahlen wundert es nicht, dass zwischen 2015 und 2017 schon jedes zweite Unternehmen zwischen Flensburg und Sonthofen eine Cyber-Attacke erlebte, so eine gemeinsame Studie des Digitalverbands Bitkom und des Bundesamts für Verfassungsschutz. Die Zahlen geben kaum die geschäftsschädigenden Folgen wieder: Betriebsunterbrechungen, schwierige Wiederherstellung und Restrukturierung der IT, Schadenersatz- und Strafzahlungen für Datenschutzverstöße, Imageverlust.

Diese Ausgangslage ist eine Belastungsprobe für das IT-Sicherheitsmanagement in Betrieben. Konzerne und Großunternehmen greifen dabei auf Expertenhilfe aus ihren IT-Abteilungen zurück, kleine und mittelständische Unternehmen (KMU) vor allem auf die kostengünstigen technischen Basissicherungen, die von der Firewall über Virenscanner bis zum Back-up reichen.

Eigentlich müssten Cyberversicherungen gerade für KMU von zentraler Bedeutung sein. Doch noch ist es nicht soweit: In Deutschland gibt es zwar mehr als 200.000 Betriebe mit einem Jahresumsatz zwischen 2 und 50 Mio. Euro – doch sie sind überwiegend noch nicht cyberversichert. Das Gesamtprämienvolumen aller Unternehmen liegt laut KPMG hierzulande bei rund 90 Mio. Euro. Im IT-Land USA ist man schon weiter. Dort investieren Unternehmen bereits 2,4 Mrd. Dollar (2 Mrd. Euro) jährlich in Versicherungen gegen Internetkriminalität.

Stolperstein Risikoanalyse

Was bremst in Deutschland den Verkauf von Cyberversicherungen? Ein deutlicher Stolperstein ist die oft aufwendige Risikoanalyse, die vor Abschluss einer Cyberpolice zwingend notwendig ist. Denn der IT-Bereich bringt rasche Veränderungen mit sich. Neue Technologien, Malware oder Anwendungsfelder fordern fortlaufend neue Einschätzungen von der Assekuranz. Hinzu kommt, dass der Cybersektor erst über eine überschaubare Menge von Altverträgen verfügt. Daher liegen bei den Versicherern nur wenige Schadendaten für die Risikoanalysen vor. Zudem erschwere die unterschiedlichen Deckungsbausteine die individuelle Policen- und Prämienkalkulation. Sie wird komplexer für die Versicherer und intransparenter für die Versicherungsnehmer.

Die komplexe Ausgangslage macht das Thema Cyber auch für potenzielle Versicherungsnehmer schwer greifbar. Das erzeugt Unsicherheit, die Entscheidungen pro Cyberversicherung erschwert. Bei den Anbietern ist also neben Versicherungs- und IT-Sicherheitsexpertise vor allem Transparenz als geschäftsfördernde Maßnahme gefragt. Methoden, die Risikoeinschätzung und Preisfindung nachvollziehbar gestalten, erleichtern den Vertragsabschluss.

Frischer Wind für die Risikoanalyse

Das macht vollautomatisierte Echtzeit-Ratings von Cyber-Risiken gegenüber etablierten Methoden wie Fragebogen oder IT-Audit interessant. Fragebögen haben zwar ihre Stärken bei KMU mit einem Umsatz von bis zu 5 Mio. Euro, detaillierte IT-Audits dagegen bei Großunternehmen. Allerdings verursacht die umfassende Prüfung bei Audits spürbare Kosten. Die günstigeren Fragebögen können indes nur eine Grundeinschätzung liefern und sind fehleranfällig. Denn sie spiegeln das Selbstbild des Unternehmens wider. Verständnisprobleme und fehlende sowie widersprüchliche Angaben erschweren die Auswertungen. Dagegen sind softwaregestützte Tools flexibler und eignen sich für Unternehmen jeder Größe. Sie schätzen IT-Risiken effizient, individuell und auch schnell ein: Der Vertriebs- oder Antragsprozess wird durch sie nicht in die Länge gezogen.

Sebastian Scholz verantwortet bei der PPI AG als Senior Manager im Bereich Consulting Versicherung unter anderem das Geschäftsfeld Cyber

© PPI AG

Wie funktioniert die automatisierte Risikoanalyse? Ansatzpunkt für die Digital-Tools ist die Domain des potenziellen Versicherungsnehmers. Dabei nimmt das Analyse-Tool die Sicht eines Angreifers ein und testet die Widerstandsfähigkeit der IT-Infrastruktur. Das geschieht ohne eine Rechenlast auf dem analysierten System zu erzeugen und ohne Eindringen. Vielmehr nutzt die Lösung Informationen, die zwar online frei verfügbar, aber nicht auf den ersten Blick für jeden ersichtlich sind. Dazu zählen beispielsweise Verschlüsselungsverfahren in Mail- und Webkommunikation, Trackingeinstellungen oder die Zusammenarbeit mit Providern, die Daten verarbeiten, übermitteln und bereitstellen.

Mit dieser Methode können Underwriter schon während des Antragsprozesses die Angreifbarkeit der IT des jeweiligen Interessenten online testen. Sie erhalten innerhalb weniger Minuten eine nachvollziehbare und fundierte Risikobewertung. Das Scoring richtet sich dabei nach etablierten Standards, etwa den Richtlinien des Bundesamtes für Sicherheit in der Informationstechnik oder des GDV-Unternehmens VdS Schadenverhütung. Die Einzelergebnisse sind so gestaltet, dass sie im Antragsprozess den jeweiligen Deckungsbausteinen einer Police zugeordnet werden können.

Neue Services als Synergieeffekt

Vollautomatisierte Echtzeitratings können so zu einer Win-win-Situation für alle Beteiligten werden: Die Versicherer verfügen über einen zuverlässigen, schnellen und kostengünstigen Weg, um Risiken einschätzen zu können. Die Versicherungsnehmer erhalten Aufschluss über die Sicherheit ihrer IT und können dokumentierte Lücken schließen. Das so reduzierte Risiko sorgt in der Folge für günstigere Policen.

Die Analysen des digitalen Scorings machen zudem neue Services für Versicherer möglich, etwa regelmäßige Sicherheitsreports. Das Monitoring der IT-Angreifbarkeit ist ein guter Hebel, um die Nähe zum Kunden positiv weiterzuentwickeln. Zudem sinkt die Schaden- und Kostenquote.

Matthias Müller ist beim IT-Beratungs- und Softwarehaus PPI AG als Mitglied der Geschäftsleitung für den Bereich Versicherungen verantwortlich.

Sebastian Scholz verantwortet bei der PPI AG als Senior Manager im Bereich Consulting Versicherung unter anderem das Geschäftsfeld Cyber.

In der Kolumne “The Long View” laden wir Branchenexperten ein, über Hintergründe zur Lage der Branche zu schreiben.

Dieser Text ist nur für Abonnenten von Herbert Frommes Versicherungsmonitor Premium persönlich bestimmt. Das Weiterleiten der Inhalte – auch an Kollegen – ist nicht gestattet. Bitte bedenken Sie: Mit einer von uns nicht autorisierten Weitergabe brechen Sie nicht nur das Gesetz, sondern sehr wahrscheinlich auch Compliance-Vorschriften Ihres Unternehmens.


Kategorien: Allgemein, Analyse, Industrieversicherung, Kommentare, The Long View, Top News

Diskutieren Sie mit

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.