Der Schweizerische Versicherungsverband (SVV) stellte in Zusammenarbeit mit Moody’s RMS eine neue Risikomodellierung für Cyberrisiken vor. Im Gespräch mit HZ Insurance zeigt Martin Jara, CEO Helvetia Schweiz und SVV-Vorstandsmitglied, die aktuelle Gefahrenlage und mögliche Lösungsansätze auf.
Wie wichtig ist eine gute Datengrundlage für die Versicherungswirtschaft?
Die grossen Hebel um die Versicherbarkeit von Risiken zu verbessern sind die bessere Quantifizierbarkeit der Risiken sowie die Reduktion der Gesamtrisiken durch eine verbesserte Prävention. Die nun vorliegende Datenerhebung und die Risikomodellierung von Moody's RMS sind ein wichtiger Schritt um diese Quantifizierbarkeit für Cyberrisiken sicherzustellen und die entsprechenden Lösungen im Markt bereitzustellen.
Martin Jara ist seit 2020 CEO der Helvetia Schweiz und Mitglied der Konzernleitung. Zudem ist er Mitglied des 14köpfigen Vorstands des Schweizerischen Versicherungsverbandes (SVV).
Nur etwa 7 Prozent der Unternehmen in der Schweiz haben eine Cyberversicherung. Wie erklären Sie sich diese Zurückhaltung?
Der Markt mit Cyberversicherungen ist eine verhältnismässig junge Sparte, die sich noch im Aufbau befindet. Doch das Bewusstsein und die Sensibilisierung für die Sicherheitsrisiken im digitalen Umfeld steigen. Es ist in meinen Augen ein individueller aber auch volkswirtschaftlicher Fehler, sich erst dann mit dem Thema auseinanderzusetzen, wenn man direkt betroffen ist. Lassen Sie es mich klar ausdrücken: Je mehr Unternehmen sich gegen Cyberattacken versichern und die notwendigen präventiven Massnahmen treffen, desto kleiner wird nicht nur der individuelle, sondern auch ein potentieller kumulativer Schaden im Falle eines koordinierten Angriffs auf systemrelevante Einrichtungen oder Infrastrukturen. Das ist wichtig, denn Cyberkriminalität droht immer mehr, unsere Wirtschaft und damit auch unsere Gesellschaft in Geiselhaft zu nehmen. Cyberkriminalität wird zu einem der dominierenden Grossrisiken.
Dringenden Handlungsbedarf sehe ich vor allem im KMU-Sektor.
Martin Jara
Hat sich die Gefahrenlage für Unternehmen verändert, sind sie mittlerweile besser gegen Cyberattacken gewappnet?
Die Zahl der beim Nationalen Zentrum für Cybersicherheit NCSC gemeldeten Fälle in der Schweiz hat sich im Laufe des letzten Jahres mehr als verdoppelt, so gesehen hat sich die Gefahr eines Cyberangriffes für den Einzelnen tatsächlich erhöht. Parallel hat sich vor allem bei grossen und speziell exponierten Branchen auch die Achtsamkeit gegenüber dem Thema verschärft. Entsprechend sind sie auch besser gesichert und versichert. Dringenden Handlungsbedarf sehe ich vor allem im KMU-Sektor, wo vielerorts immer noch die Auffassung gilt, sie seien für die meist international agierenden Kriminellen nicht interessant genug. Hier müssen wir auch seitens der Versicherungswirtschaft den Hebel ansetzen, das heisst, die Gefahren aufzeigen und verstärkte Aufklärungsarbeit leisten.
In der Vergangenheit herrschte bei Cyberversicherungen Goldgräberstimmung. Heute sind die Versicherer in ihrer Zeichnungspolitik deutlich zurückhaltender. Wohin entwickelt sich der Markt?
Je besser wir die möglichen Szenarien und damit auch die Quantifizierbarkeit von Cyberbedrohungen kennen, desto besser können wir mögliche Schadenfälle modellieren und deren Versicherbarkeit sicherstellen. So gesehen hat sich in den letzten Jahren schon viel getan. Heute können wir gegenüber den Kundinnen und Kunden eine faire und transparente Prämienpolitik auf der Basis des Solidaritätsmodells garantieren. Somit verfügen wir über eine solide Basis, um den Markt intensiv weiterzuentwickeln und die immer noch beträchtliche Versicherungslücke in den kommenden Jahren zu verkleinern.
Wie sieht diesbezüglich die Strategie der Helvetia aus?
Wir haben bereits früh erkannt, dass die wichtigsten Elemente bei der Bereitstellung von Cyberversicherungen eine wirkungsvolle Prävention und eine profunde Datensicherheit bei Unternehmen sind. Gewisse organisatorische und technische Massnahmen wie beispielsweise Awareness-Schulungen von Mitarbeitenden, die Umsetzung eines durchdachten Back-up-Konzepts, moderne technische Schutzmassnahmen oder das regelmässige Einspielen von Updates und Patches sollte jedes Unternehmen umgesetzt haben, um sich vor Cyberrisiken zu schützen. Dies wird als Grundhygiene der IT angesehen und wird deshalb vermehrt als Obliegenheit in Cyber-Versicherungspolicen festgehalten.
Bei Helvetia verzeichnen wir aktuell alle zwei Jahre eine Verdoppelung der gezeichneten Policen.
Martin Jara
Wie entwickelt sich bei der Helvetia die Nachfrage nach Cyberversicherungen ?
Bei Helvetia verzeichnen wir aktuell alle zwei Jahre eine Verdoppelung der gezeichneten Policen. Eine Tendenz, die auch durch die nun vorliegenden Branchenzahlen bestätigt und in den nächsten Jahren anhalten wird. Getrieben wird diese Entwicklung einerseits durch den grossen «Cyber Protection Gap» und die Ambition vieler Organisationen, resilienter zu werden. Anderseits hat sicherlich auch die unaufhaltsame Digitalisierung der Gesellschaft einen wesentlichen Anteil an dieser Entwicklung.
Gleichzeitig steigt das Gefahrenpotential, die Schadenfälle nehmen zu. Welche Auswirkungen hat das auf die Prämien und die Deckungssummen?
Eine zeitgemässe IT-Sicherheit reduziert zwar die Gefahr, Opfer von Cyberangriffen zu werden, sie kann aber nie einen 100 Prozent-Schutz bieten. Die Cyberversicherung dient damit der Absicherung der Restrisiken, falls die Sicherheitsmassnahmen doch einmal versagen sollten. Auch wenn heute die Grosszahl der kriminellen Angriffe im Netz mittels bekannter Methoden wie Phishing-Attacken, Ransomware-Angriffe, CEO Fraud und falschen Rechnungsstellungen erfolgt, so müssen wir uns doch auf immer neue und vor allem professionellere und subtilere Methoden einstellen. Um diesbezüglich mit den Kriminellen Schritt halten zu können, müssen wir uns laufend weiterentwickeln, was durchaus Auswirkungen auf die Prämien und die Deckungssummen haben kann.
Die Cyberversicherung dient der Absicherung der Restrisiken, falls die Sicherheitsmassnahmen doch einmal versagen sollten.
Martin Jara
Welche Anforderungen stellt Helvetia an Unternehmen, damit diese Cyberversicherungen abschliessen können?
Wir haben in den letzten Jahren die Kalkulationskriterien zur Vergabe von Cyberpolicen laufend angepasst. So teilen wir heute die interessierten Unternehmen in verschiedene Kategorien ein, welche die Grundlage für die Ausgestaltung des Leistungs- und Prämienkatasters beeinflussen. Zu den ausschlaggebenden Kriterien gehören etwa das allgemeine Gefährdungspotential, die Grösse, aber auch das Risikomanagement und die betriebsintern angewandten Präventionsmassnahmen.
Welche Dienstleistungen bieten Sie versicherten Unternehmungen im Rahmen einer Cyberpolice an?
Das Angebot von Helvetia beschränkt sich nicht nur auf die breit abgestützte Assistenz im Schadensfall, vielmehr beginnen wir mit unseren Beratungsleistungen bereits, bevor ein solcher überhaupt eintritt. Das Thema Prävention und eine möglichst umfangreiche Entwicklung von Resilienz sind mindestens ebenso wichtig wie die reine Schadensregelung. Um dies zu erreichen, bieten wir unseren KMU-Kunden diverse Leistungen als integrierter Bestandteil unseres Versicherungsangebotes an. Zu diesen Leistungen gehören beispielsweise ein Cyber-Alert, der zeitnah über IT-Sicherheitslücken informiert, Sicherheits-Trainings, um Risiken zu vermindern, ein Cyber Security-Check, um die aktuelle technische und organisatorische Aufstellung eines Unternehmens zu prüfen oder ein Ratgeber für die richtige Back-Up-Strategie. Zudem stellen wir unseren Kundinnen und Kunden eine 7/24-Cyber-Schadenhotline zur Verfügung. Kommt es trotz dieser Präventionsmassnahmen doch zu einem Schadenfall, dann unterstützt Helvetia ihre KMU-Kunden mit zielorientierten Zusatzleistungen. Dabei profitiert ein versichertes Unternehmen bei Helvetia auch von einem professionellen Partnernetzwerk, bestehend aus IT-Security-Experten, Juristen und PR-Spezialisten.
Sie haben in der Vergangenheit einen Schulterschluss von Staat und Privatwirtschaft gefordert, um Cyberrisiken im Rahmen einer Poollösung versicherbar zu machen. Wie war das Echo auf diese Forderung?
Für Ereignisse, die über Einzelangriffe hinausgehen und eine weitaus höhere Deckungskapazität erfordern, also grossflächige – systemische – Cyber-Attacken, besteht im Bereich der benötigten finanziellen Kapazitäten eine Lücke, sowohl in der Schweiz als auch weltweit. Angesichts des riesigen volkswirtschaftlichen Schadenpotenzials bei solchen systemischen Ereignissen stösst das Versicherungsprinzip des Ausgleichs in der grossen Zahl und aufgrund der volkswirtschaftlichen Dominoeffekte an seine Grenzen. Um Cybergrossrisiken wirkungsvoll zu begegnen, müssen wir in enger Partnerschaft von Versicherungswirtschaft, Staat, Wirtschaft und Wissenschaft Lösungen entwickeln. Wir müssen unsere Expertisen bündeln.
Um Cybergrossrisiken wirkungsvoll zu begegnen, müssen wir in enger Partnerschaft von Versicherungswirtschaft, Staat, Wirtschaft und Wissenschaft Lösungen entwickeln.
Martin Jara
Hand aufs Herz: Sind Cyberrisiken überhaupt versicherbar?
Die Versicherungsindustrie kann heute in der Schweiz Cyber-Einzelrisiken sehr gut decken. Die vorliegenden Angebote sind – entsprechende Investitionen der Unternehmen in Prävention und Datensicherheit vorausgesetzt – hierfür ausgezeichnet geeignet. Wichtig ist jetzt, dass wir den prozentualen Anteil der versicherten Unternehmen laufend und nachhaltig erhöhen. Denn je höher die Zahl der versicherten Unternehmen ist, desto besser ist zwangsläufig die Resilienz des Wirtschaftsstandortes Schweiz, und desto kleiner wird die Versicherungslücke im Falle eines systemischen Angriffes.
Ein Blick in die Glaskugel: Wo steht der Markt für Cyberversicherungen in fünf Jahren?
Angesichts der realen Bedrohung durch Cyberkriminelle wird die Nachfrage nach Cyberversicherungen und damit auch die Marktabdeckung weiter steigen. Gleichzeitig wird die Resilienz des Wirtschaftsstandortes Schweiz gestärkt, da sich zukünftig nur noch versichern kann, wer entsprechende Sicherheitsstandards garantiert. Durch diese Entwicklung wird sich die Versicherungslücke bei einem systemischen Angriff verringern. Dennoch bin ich nach wie vor überzeugt, dass im Hinblick auf einen durchaus möglichen systemischen Angriff die enge Zusammenarbeit zwischen Wirtschaft, Wissenschaft und Staat intensiviert werden muss.