Wie Vermittler beim Verkauf von Cyberversicherungen vorgehen sollten
Die Lücke in der Programmierumgebung Java gilt schon jetzt als der größte Hack in der Geschichte des Internets. Inzwischen müsste wohl auch das letzte Unternehmen begriffen haben, dass man eine Cyberversicherung braucht. Dennoch ist es kein leichtes Spiel diese Police an den Mann zu bringen, schreiben Heiko Rüskamp und Bernhard Altschäffel in ihren Gastbeitrag.
Als die ersten Versicherer mit Angeboten für Cyberversicherungen vor über vier Jahren auf den Markt kamen, wurden sie von unterschiedlichen Seiten für die bunten Schadenbilder und -szenarien belächelt. Zu Unrecht, wie man aus heutiger Sicht feststellen kann: Denn die Vielzahl neuer Angebote – und das in Verbindung mit sehr großen Preisunterschieden – ist schon wieder unübersichtlich geworden, die Assekuranz hat die Cyberversicherung als „Prämieneinnahmequelle“ für sich entdeckt.
Die Cyberversicherung gilt als „Feuerversicherung des 21. Jahrhunderts“ und auch die Zielgruppe ist klar definiert: Der Mittelstand! Nicht nur Großkonzerne sind von Angriffen betroffen, mittelständische Betriebe stehen immer häufiger im Fokus von Cyber-Kriminellen. So weit – so gut. Aber schauen wir doch einmal in die Praxis und kommen zu ein paar Dilemmasituationen, die eine fach- und sachgerechte Beratung erschweren:
- Unternehmer haben mittlerweile ein echtes Risikobewusstsein bei dem Thema entwickelt. Sie stehen jedoch häufig vor der Frage „Wie gehe ich das an?“ Der eigene IT´ler oder Dienstleister ist oftmals gar nicht auf IT-Sicherheitsthemen eingestellt. Reicht es aus, diese Versicherung abzuschließen oder sollte er zusätzlich in externe Spezialisten investieren?
- Ein mittelständischer Unternehmer im Handel kann durchaus zehn Mio. Euro Umsatz machen. Unglücklich nur, dass die Standardprodukte der unterschiedlichen Versicherer oftmals nur für Unternehmen bis zu einem Umsatz von fünf Mio. Euro konzipiert sind
- Fragebögen sind auf das eigene Risikomanagement des jeweiligen Versicherers zugeschnitten. Es reicht nicht, wenn der Versicherungsmakler einen Fragebogen eines Versicherers (der ggf. noch mehr Risikoinformationen beinhaltet) aufnimmt. Nein, um sachgerechte Vergleichsangebote einzuholen, soll er fünf oder mehr Fragebögen ausfüllen?
- Fachlichkeit: Auf Versicherer-Seite gibt es durchaus Spezialisten. Der klassische Maklerbetreuer ist jedoch oftmals bei ersten detaillierten Rückfragen zum angebotenen Produkt „ausgezählt“. Der fachliche Support ist also aktuell noch ausbaufähig.
- Wie geht man als Vermittler vor, wenn offensichtliche Schwachstellen identifiziert werden? Schließlich kann der Versicherungsmakler keinen IT-Berater ersetzen.
- Wie sieht es bei den sich aktuell sehr schnellen Entwicklungen im IT-Sec-Sektor aus? Dass eine neue EU-Norm für den Bereich Automotive entwickelt wurde (ISO-SAE 2143), die Security-Themen beinhaltet und die auch für Zulieferer oder Elektrotechniker gelten, kann wohl kaum ein Vermittler beurteilen. Darüber informieren Versicherer eher nicht, könnte aber für eine Cyberversicherung große Relevanz haben.
Diese und weitere Fallstricke sehen wir in der Beratung tagtäglich. Wenn es dann zum Schadenfall kommt, ist der Kunde der „Dumme“, der auf seinem Schaden sitzen bleibt. Aus diesem Grund ist es ein großer Trugschluss der Versicherer, die Cyberversicherung als reine Verkaufssparte zu sehen und den Verkauf trivial über Schadenbeispiele, die die Vermittler beim Kunden präsentieren, anzukurbeln.
Auflösung des Dilemmas
Es ist doch Aufgabe des Versicherungsmaklers, Risiken zu identifizieren und dem Kunden zu helfen, Schwachstellen zu beheben. Erst im letzten Schritt ist der Abschluss einer Versicherungslösung anzuraten. Nur dann haben Kunde und Versicherer einen echten, beiderseitigen Mehrwert geschaffen: Der Kunde hat in seine eigene Sicherheit investiert, erfüllt etwaige Obliegenheiten im Schadenfall und der Versicherer zeichnet ein gutes Risiko und steht seinem Kunden im Worst Case finanziell sowie organisatorisch zur Seite. Die Beratung zum Thema Cyberversicherung muss also deutlich über den trivialen Versicherungsverkauf hinaus gehen. Es muss idealerweise eine „Win-Win-Situation“ geschaffen werden.
Fachkundige Beratung
Das Thema Cyber und die damit zu identifizierenden Risiken sind für den Vermittler, der vielleicht sogar einen Schwerpunkt in den Komposit-Sparten hat, neu und die Auswirkungen im Schadenfall schwer zu greifen. Unser Anspruch ist es, dem Interessenten erst einmal ein Gefühl für das Risiko zu geben, die unternehmerische Entscheidung, welche Maßnahmen präventiv zu ergreifen sind, zu moderieren und erst dann den etwaigen Abschluss einer Versicherungslösung zu begleiten.
Aus diesem Grund ist der Einbezug eines IT-Sicherheitsspezialisten unabdingbar. Ein Versicherungsmakler muss aus unserer Sicht erkennen, dass er diese komplexe Materie nicht vollumfänglich bedienen kann. Dass Windows-7-Rechner nicht mehr eingesetzt werden dürfen, hat sich bestimmt herumgesprochen. Aber kann ein Versicherungsmakler selbst beurteilen, welche Servergeneration die aktuelle ist oder ob das System noch mit Updates versorgt wird? Kennt er die neuesten Entwicklungen rund um Citrix-Umgebungen und deren Schwachstellen – gerade vor dem Hintergrund der aktuellen Home-Office-Lösungen? Die Fragebögen der Versicherer erfassen diese Aspekte oftmals nicht. Im Zweifelsfall und vor dem Hintergrund steigender Angriffe und Schadenzahlungen werden Versicherer auch nicht über derartige Schwachstellen hinwegsehen. Unser Partner in diesem Umfeld, Bernhard Altschäffel, IDVS (www.idvs.eu), hat uns hierzu einige Fragen beantwortet.
Lesen Sie das Interview sowie den vollständigen Beitrag in der aktuellen Dezember-Ausgabe der Versicherungswirtschaft.
Autoren: Heiko Rüskamp, Geschäftsführer expert Versicherungs-Service GmbH & VGV Versicherungsmakler für Gewerbliche Verbundgruppen GmbH. Bernhard Altschäffel, IT Security Spezialist bei Altschäffel
Versicherungsvermittlung e.K.