Versicherungswirtschaft-heute

          Mobilversion

 

- Anzeige -

Cyberversicherungen bleiben Querschnittsthema

08.10.2014 – Kalinowski_AxaEinige Schadenfälle sind konkret zu berechnen, bei anderen Cyberrisiken gestaltet sich dies komplizierter, da auch Drittschäden mit kalkuliert werden müssen. Dirk Kalinowski, Produktmanager IT & Cyber bei der Axa, geht im Interview mit VWheute ins Detail.

VWHeute: Wie kalkuliert man Cyber-Risiken? Gibt es da ein Vorgehen nach bestimmtem Schema, um zu den Schadendefinitionen zu kommen?

Kalinowski: Es geht aus Sicht der Unternehmen zunächst darum, zu analysieren und zu bewerten und von der rein subjektiven Betrachtung wegzukommen. Jedem Risiko soll das mögliche Ausmaß und der mögliche Schaden zugewiesen werden, so dass am Ende ein konkreter Zahlenwert steht. Wie hoch sind die Kosten für Datenwiederherstellung, für eine Betriebsunterbrechung, Informationskosten oder Bußgelder im Schadenfall.

Nicht zuletzt aufgrund fehlender Statistiken ist das nicht leicht. Versicherer müssen in neuen Risikofeldern, ohne umfassende Schadenerfahrung, Risiken einzuschätzen. Dies geschieht unter anderem auf Basis von internen Daten aus der IT-Haftpflichtversicherung. Aus anderen Policen wie Elektronik, Rechtschutz oder Vertrauensschaden lassen sich Analogien ableiten. Relevante Studien können für eine Risikoeinschätzung genauso hilfreich sein wie Datenbanken oder Daten der Allianz für Cybersicherheit. So lassen sich anfänglich unspezifische Annahmen immer konkreter fassen.

Welches sind die Unbekannten in der Gleichung, mit denen ein Underwriter vor der Risikoübernahme rechnen muss?

Im Bereich der Cyberdeckung ist sehr wenig bekannt. Einige zentrale Fragen gilt es zu klären: Welches sind überhaupt die Risikofaktoren? Um was für eine Art zu versicherndes Unternehmen handelt es sich? Ist das Unternehmen zertifiziert, ist dieses Zertifikat relevant oder aussagekräftig? Es gibt derzeit noch keinen Marktpreis für Cyberrisiken, die Spannweite ist groß. Bestimmte Themen lassen sich jedoch sehr konkret fassen: Betrachtet man zu versichernde Datensätze, kann man das Gefährdungspotential recht genau anhand der Anzahl und Sensibilität bestimmen. Ähnliches gilt auch für Betriebsunterbrechungen: Die Kosten hierfür lassen sich relativ genau in Zahlen fassen. Bei einer IT-Haftplichtdeckung sieht das anders aus. Hier ist es sehr schwierig, konkrete Zahlen vor allem im Bereich des Anspruchstellers zu ermitteln.

Angesichts der Vielfalt der Gefahren, wird es eher keine Standardpolicen geben?

Tatsächlich gibt es standardisierte Policen am Markt. Unsere Cyberpolice ByteProtect ist hingegen anders konzeptioniert. Wir arbeiten mit acht Bausteinen, die wir modular anbieten. Das Unternehmen, das sich für Schutz interessiert, sollte zunächst bestimmen, welche Risiken für sie ein Gefährdungspotenzial aufweisen. Dementsprechend lassen sich einzelne Module bedarfsgerecht zusammenstellen.

Wie lange dauert es bis zum Abschluss einer Police?

Theoretisch können Sie in wenigen Wochen zur Wunschpolice kommen. In der Praxis dauert es in Deutschland oft ein halbes Jahr. In der Regel werden mehrere Angebote verglichen. Ab und zu kommt es zu Besichtigungen vor Ort, um offene Risikofragen zu klären.

Sind Besichtigungen vor Ort die Regel?

Es wäre schön, wenn sie zur Regel würden, nicht zuletzt um Haftungsfallen wegen Beratungsfehlern auszuschließen. Allerdings gestaltet sich das nicht immer einfach. Ab einem bestimmten Risikoausmaß und Unternehmensgröße sind Besichtigungen in jedem Fall empfehlenswert.

Eine aktuelle weltweite Erhebung von PwC kommt zum Ergebnis, dass Cyberschäden um 48 Prozent zugenommen haben auf mittlerweile 120.000 Angriffe pro Tag, dass der durchschnittliche Schaden bei rund 2,7 Mio. Dollar liegt und dennoch: die Budgets für Cyber-Sicherheitsmaßnahmen sollen im vergangenen Jahr um knapp vier Prozent zurückgegangen sein. Können Sie den Trend bestätigen?

Das kann ich so nicht bestätigen. Sie müssen nach Branchen differenzieren: Im Bereich Anlagen- und Maschinenbau beispielsweise ist die Sensibilität für das Thema durchaus ausbaufähig – trotz diverser Spionagefälle. Bei Banken, Versicherungen, kurz überall dort, wo das Geschäftsmodell traditionell auf Daten basiert, ist das Thema schon stärker im Fokus. Cyberversicherungen bleiben ein Querschnittsthema. Unternehmen, die denken, dass Sie ein gewisses Risiko selbst bewältigen können, werden wohl auch in Zukunft auf Risikoübertragung verzichten. Große Mittelständler und Konzerne werden sich dem Thema weiter öffnen.

Die Fragen stellte VWheute-Redakteur Rafael Kurz.

- Anzeige -
- Anzeige -
- Anzeige -

 

VVW | Kontakt | AGB | Datenschutzerklärung | Impressum | Mediadaten