Herr Haefeli, wie beurteilen Sie als spezialisierter Broker die Entwicklungen im Bereich der Cyber-Versicherungen?
Als wir vor mehr als zehn Jahren in der Schweiz die ersten Cyber-Versicherungen besprochen haben, war die allgemeine Verunsicherung gross. Die Cyber-Versicherung hat sich wie auch das zugrundeliegende Cyber-Risiko in den letzten Jahren stark verändert und entwickelt.
Was meinen Sie damit?
Die involvierten Underwriter überzeugen zunehmend durch Fachkenntnisse und praktische Erfahrung. Während die Risikoanalyse seitens der Versicherer zu Beginn den Generalisten abverlangt wurde, findet der Risikodialog nun zunehmend mit Spezialisten und qualifizierten Risikoingenieuren statt. Zudem sind die Unternehmen heute im Allgemeinen besser auf Cyberangriffe vorbereitet.
Der Underwriting-Prozess ist umfassend und anspruchsvoll geworden. Unter Einbindung von Experten auf Seiten aller beteiligter Parteien wurde der Austausch gleichzeitig aber auch relevant und schafft Mehrwert. Regelmässig werden denn auch Impulse aus den Gesprächen aufgenommen und umgesetzt.
Der Interviewpartner
Markus Haefeli ist Managing Partner und Gründer des auf Vermögensschaden-Versicherungen spezialisierten Versicherungsbrokers Haefeli & Schroeder Financial Lines AG (HSFL). Der studierte Jurist und Ökonom hatte zuvor unterschiedliche Managementrollen in führenden Versicherungsgesellschaften inne, zuletzt als Head Financial Lines bei der Zürich Versicherungsgesellschaft. Zudem ist er Präsident des Financial Lines Forums. Die führende Fachkonferenz der Schweiz im Bereich Cyber- und D&O-Risiko & -Versicherung findet dieses Jahr am 20. Juni in Zürich statt. Tickets gibt es hier.
Welche Auswirkungen hatte das auf die Produkte?
Wir unterscheiden beim Cyber-Versicherungsprodukt drei Kernbereiche: Krisenmanagement, Eigenschaden sowie Haftpflichtansprüche. Die Versicherungsprodukte bieten relevanten und grundsätzlich umfassenden Schutz. In den letzten drei Jahren hat der Markt eine Konsolidierung erlebt: Dazu gehörten auch vereinzelt Einschränkungen und zusätzliche Auflagen.
Wie schätzen Sie den aktuellen Cyber-Versicherungsmarkt ein?
Nach mehreren Jahren drastischer Verhärtung mit reduzierter Kapazität, steigenden Selbstbehalten, Deckungseinschränkungen und zugleich steigenden Prämien zeigt der Markt erstmals wieder Zeichen einer Stabilisierung, wenn auch auf hohem Niveau..
Der Markt für Cyber-Versicherungen funktioniert grundsätzlich, wobei nicht für jede Gesellschaft eine Cyber-Versicherung verfügbar ist. Die Risikoselektion der Versicherer hat zum Ziel, zwischen reifen und weniger reifen Gesellschaften zu unterscheiden.
Die Nachfrage nach Versicherungsschutz ist hoch und steigend.
Cyber-Attacken haben exponentiell zugenommen mit immer differenzierterem Muster und entsprechendem Schadenausmass. Hat die Cyber-Versicherung eine Zukunft?
Die von Ihnen genannten Entwicklungen unterstreichen gerade die Relevanz der Cyber-Versicherung. Die Nachfrage im Markt nach Versicherungsschutz ist denn auch hoch und steigend. Persönlich attestiere ich den Versicherungsprodukten eine grosse Zukunft – vorausgesetzt, dass es der Versicherungswirtschaft gelingt, sich auf die Entwicklungen des Cyber-Risikos einzulassen und die Deckung entsprechend mit Augenmass weiterzuentwickeln.
Es braucht eine gesunde Balance zwischen Übernahme von Cyber-Risiko durch den Versicherer und kontinuierliche Verbesserung des Cyber-Sicherheitsdispositivs durch die Unternehmen.
Inwiefern bzw. wann lohnt sich aus Ihrer Sicht der Abschluss einer Cyber-Versicherung?
Die Cyber-Versicherung ist eine wichtige und wertvolle Ergänzung zum Cyber-Risikomanagement und den getroffenen technischen und personellen Sicherheitsmassnahmen von Unternehmen. Eine Versicherung ersetzt die zu treffenden Sicherheitsmassnahmen keinesfalls – ganz im Gegenteil: Sie setzt diese voraus.
Durch die Sensibilisierung wird die Resilienz gesteigert.
Mehrfach hatten wir die Situation, dass im Risikodialog zwischen Kunden und Versicherer Mindestanforderungen definiert wurden, um den Abschluss einer Cyber-Versicherung erst zu ermöglichen. Durch die Sensibilisierung und aktive Verbesserung der konkreten Cyber-Sicherheit wird die Resilienz gesteigert.
Wovon wird das Cyber-Risiko der Unternehmen besonders getrieben?
Die zunehmende Vernetzung und Digitalisierung hat Unternehmen für Cyber-Angriffe anfälliger gemacht. Cloud Computing hat Unternehmen die Möglichkeit eröffnet, ihre IT-Infrastruktur und Daten ohne eigene Infrastruktur zu verwalten und zu skalieren.
Fortschritte in der Technologie haben aber auch dazu geführt, dass Cyber-Angreifer immer ausgefeiltere Methoden entwickeln können, die von Sicherheitssystemen nicht oder zu spät erkannt werden. Cyber-Kriminelle nutzen fortschrittliche Technologien, um Unternehmen anzugreifen, auszuspionieren und zu erpressen und leben schliesslich nach wie vor von fehlender Sensibilisierung und menschlichen Fehlern, zum Beispiel Öffnen von Phishing-E-Mails oder Verwenden von unsicheren Passwörtern.
Cyber-Erpressungen sind eine Bedrohung und oft zitiert. Sollen diese versichert sein?
Das ist eine vielschichtige Frage, die von verschiedenen Faktoren abhängt und kontrovers diskutiert wird. Auf der einen Seite können Cyber-Erpressungen ein erhebliches finanzielles Risiko für Unternehmen darstellen und zu grossen Verlusten bis hin zu Konkursen führen. Eine Versicherung könnte daher als Absicherung gegen diese Art von Angriffen dienen und Unternehmen eine gewisse finanzielle Unterstützung bieten, um mit den Folgen einer Erpressung umzugehen.
Auf der anderen Seite könnte die Versicherung Cyber-Kriminelle zusätzlich ermutigen, solche Angriffe durchzuführen und somit das Risiko für Unternehmen noch erhöhen. Man überlege sich zudem, was passiert, wenn die Bezahlung von Erpressungsgeldern gesetzlich verboten würde – eine Diskussion, die verschiedentlich und rege geführt wird…
Was beinhaltet denn nun für die Erpressungsdeckung?
Die Versicherer leisten bei Cyber-Erpressungen über spezialisierte Dienstleister in der Abwehr und Behandlung der Vorfälle einen wertvollen Beitrag. Die Haltungen der Versicherer sind dabei unterschiedlich. Der aktive Umgang mit Ransomware und entsprechende in Unternehmen getroffene Vorkehrungen beeinflussen die Anfälligkeit gegenüber Cyber-Erpressung.
Aktuell ist es so, dass die Deckung bei einigen Anbietern abgestuft angeboten wird: Von voller Deckung bei entsprechend gut aufgestellten Risiken bis zu einem erhöhten Eigenanteil des Kunden an dieser Risiko-Komponente bei weniger gut aufgestellten Risiken.
Der typische Cyber-Vorfall
Gemäss Markus Haefeli beginnt die Vorbereitung für den Schadensfall bereits mit dem Abschluss der Police. Es sei sehr wichtig, dass der Kunde versteht, wie bei einem konkreten Zwischenfall versicherungstechnisch vorzugehen ist. «Abhängig vom zugrundeliegenden Cyber-Versicherungsvertrag erstellen wir dazu Übersichten und besprechen diese mit den Verantwortlichen.» Die meisten der erlebten Cyber-Vorfälle passieren zur Unzeit, entweder ausserhalb der Bürozeit, am Wochenende oder an Festtagen. Wichtig ist es, den Schaden so schnell als möglich dem Versicherer zu melden.
Nach anfänglicher Aufnahme der Eckdaten zum Cyber-Vorfall findet in der im Cyber-Versicherungsvertrag definierten kurzen Zeit ein Erstkontakt mit dem zugewiesenen Krisenmanager statt – oft eine Wirtschaftsprüfungs- oder Anwaltsgesellschaft. Diese wiederum begleitet den Vorfall und koordiniert die benötigten Dienstleister, z.B. Forensiker, Rechtsberater, Kommunikationsberater. «Es geht dabei darum, die richtigen Initialmassnahmen schnell und korrekt zu treffen, um die Schadensursache sowie das Schadenausmass zu erfassen und möglichst zu limitieren.» Im Fokus stehe sodann die Behebung des Schadens, bspw. die Wiederherstellung von Computer-System und Daten. «Die Berechnung eines allfälligen finanziellen Schadens folgt mit einiger Verzögerung und kann je nach Komplexität anspruchsvoll sein.» (sec)