Das Geschäft mit Cyber-Security-Policen wird massiv an Relevanz gewinnen. Dieser festen Überzeugung ist fast jeder zweite Versicherungsentscheider laut einer aktuellen Studie der Sopra Steria Consulting. Zurückhaltender ist hingegen der Vertrieb. Lediglich 30 Prozent glauben daran, dass die IT-Sicherheitsversicherungen zu einem Aufschwung führen. Der Grund? Laut Studie sind die Produkte zu neu, komplex und erklärungsbedürftig. Außerdem seien die Hürden bei der Bedarfsermittlung zu hoch.

Wir haben mit Sven Ratzke, Versicherungsmakler bei der Ratzke & Ratzke Versicherungsmakler GmbH und Geschäftsführer der for broker GmbH, gesprochen. Der Vertriebsspezialist spricht im Interview über sein Erfolgsrezept und gibt wertvolle Tipps für die Beratung zu Cyber-Policen.

Herr Ratzke, wie erklären Sie sich die in der Studie von Sopra Steria Consulting beschriebene Diskrepanz zwischen Versicherungsentscheidern und dem Vertrieb? Warum tun sich die Vermittler schwer?

Sven Ratzke: Die Manager in den Versicherungsunternehmen sehen natürlich die nun endlich anziehende Wachstumsrate des neuen Produktes Cyber. Während die anderen Versicherungsprodukte einem harten Verdrängungswettbewerb unterliegen, ist „Cyber“ das Feld, in welchem unterjährig noch mit Prämienwachstum gerechnet werden kann. Viele Makler haben jedoch Angst davor, bei der Vermittlung von Cyber-Produkten wegen zu geringer Expertise bei Kundenanfragen hilflos zu sein.

Sie sind mit der Komplexität sowohl des Risikos als auch der Produkte konfrontiert. Kein Risiko gleicht dem anderen. Die Produkte der Versicherer sind überhaupt nicht mehr vergleichbar.

Man kann verstehen, dass der Vermittler in dieser ungewohnten neuen Sparte und im Tarif- und Bedingungsdschungel der Anbieter die Übersicht und die Lust am Verkauf verliert. Hier muss Komplexität reduziert werden.

Sie sagen, Makler haben Angst wegen zu geringer Expertise hilflos zu sein. Haben also nur Cyber-Experten gute Chancen im Gewerbeversicherungsmarkt?

Sven Ratzke: Ja und nein: Cyber-Experten können und müssen die angesprochene Komplexität entflechten, beispielsweise mit vorher abgestimmten Annahmekriterien und Versicherungskonzepten. Der Versicherungsvermittler für Gewerbekunden kann auf diese der Komplexität „entzauberten“ Cyberversicherungskonzepte zugreifen und vermitteln. Bei Beratungsbedarf kann er sich an den externen Cyber-Experten wenden. Er muss also keinen eigenen Experten bereitstellen, um erfolgreich Cyber zu vermitteln und bekommt eine „on-demand“ Lösung.

Welche Daten und Fakten zur Cyber-Kriminalität sollten Vermittler kennen?

Sven Ratzke: „Fachidiot schlägt Kunden tot.“ Der Vermittler muss nicht alles wissen und lesen was in den Medien über Cyber-Kriminalität zu finden ist. Der Hessische Rundfunk hat eine Sendereihe „Cybercrime“ aufgelegt, die als Podcast abrufbar ist.

Das alles nachzuverfolgen, wäre übertrieben. Aber ein paar bekannte Fälle wie der Bundestaghack, „WannaCry“ und „Petya“ sollte man sich vertraut machen, allein schon um eine Vorstellung zu bekommen, was möglich ist. Auch die Homepage des BSI (Bundesamt für Sicherheit in der Informationstechnik) informiert umfangreich.

Bevor man den Kunden trifft, ist es auch gut, sich dessen Geschäftsmodell im Hinblick auf die Abhängigkeiten von Netzwerken und IT-gestützten Ablaufsteuerungen anzuschauen. Mit Glück findet man dann in einer Medienrecherche Cyberattacken auf ein dem Kunden ähnliches Unternehmen. Damit kann der Vermittler das Risikobewusstsein der Unternehmer wecken und schärfen.

Wie identifizieren, analysieren und bewerten Vermittler Cyberrisiken?

Sven Ratzke: Die Vermittler müssen das Risikobewusstsein beim Management wecken. Es ist die Aufgabe des Managements die Risiken zu identifizieren und zu bewerten. Der Vermittler kann mit der Auswahl eines geeigneten Versicherers, welcher hier unterstützen kann, behilflich sein. Alle gemeinsam sollten dann im Gespräch klären, welche Risiken transferiert werden sollen.

Wie gewinnen Vermittler neue Gewerbekunden über das Thema Cyber?

Sven Ratzke: Die Digitalisierung ist nicht mehr aufzuhalten, schon jetzt basieren selbst konservative Geschäftsmodelle auf Vernetzung und IT-gesteuerten Produktions-, Einsatz- oder Dienstleistungsprozessen. Und es wird durch die entsprechenden Berichte in den Medien immer deutlicher, dass auch der kleine und mittlere Betrieb Ziel und Opfer einer Cyberattacke werden kann. Diese Betriebe sind aufgrund des oft schlecht entwickelten Risikobewusstseins bevorzugte Ziele von Cyberattacken geworden. Besonders gefährdet sind nach unserer Erfahrung Ärzte. Diese Zielgruppe speichert viele Daten, hat jedoch häufig nur wenig Sicherheitsmaßnahmen getroffen.

Die ab Mai gültige EU-Datenschutzgrundverordnung droht mit Geldbußen von 20 Millionen Euro oder vier Prozent des Jahresumsatzes, je nachdem was höher liegt. Und sie trifft nicht die großen Konzerne alleine, sondern jeden einzelnen Gewerbetreibenden!

Der Gewerbekunde hat also tatsächlich zwei existenzielle Risiken nach einer Cyberattacke: Der Betrieb steht auf unbestimmte Zeit still und personenbezogene Daten sind abgegriffen worden. Beides führt zu erheblichem finanziellem Zusatzaufwand. Dieses Risikobewusstsein müssen wir bei unseren Kunden schaffen.

Welches IT-Fachwissen benötigen Vermittler, um Bestandskunden das Cyber-Risiko aufzuzeigen und sie lösungsorientiert beraten zu können?

Sven Ratzke: Gar keins! Das mühselige Debattieren mit den Administratoren oder IT-Techniker um die technische Sicherheit und Möglichkeiten ist zum Glück zu Ende. Software hat ja im Namen, dass sie weich ist. Es gibt also immer ein Einfallstor für den Hacker, er kennt es nur noch nicht.

Das Cyber-Risiko ist eines, welches in die operationelle Risikosteuerung gehört. Die BaFin hält bei den Banken schon Cyberaudits ab, um das operationelle Risikomanagement der Bank zu testen. Es geht also um Informations-Sicherheits-Management-Systeme (ISMS) und somit letztlich nur um klassisches Risikomanagement in einem etwas veränderten Umfeld. Es ist also eine Aufgabe, welche auf die Geschäftsführerebene gehört. Der Vermittler muss nur dieses Bewusstsein klarmachen und, wie bisher, seine Dienstleistung erbringen.

Welche Software unterstützt den Beratungsprozess?

Sven Ratzke: Wie bisher auch: Klassische Risikoanalysesoftware. Soweit ein Unternehmen beispielsweise schon Software zur Analyse des Betriebsunterbrechungsrisiko einsetzt, müssen die Grundannahmen und -fragen nur auf Cyberspezifika umformuliert werden.

Welche Vorteile und Leistungen bieten Cyber-Versicherungen?

Sven Ratzke: Die Cyber-Versicherung ist die Sach-Betriebsunterbrechungsversicherung der Zukunft. Es wird der Betriebsunterbrechungsschaden ersetzt, obwohl es keinen Sachsubstanzschaden gibt! Zusätzlich werden Schadenersatzansprüche abgewehrt oder, wenn berechtigt, bezahlt und der Versicherte erhält begleitende Unterstützung bei behördlichen Ermittlungen. Der richtig gewählte Versicherer bietet zudem verschiedene Assistance-Leistungen an, wie beispielsweise einen Penetration-Test im Bereich Social Engineering.

Wie ermitteln Vermittler die risikogerechte Versicherungssumme bei Cyber-Policen?

Sven Ratzke: Man sollte sich hier an der BU orientieren. Wie lange kann der Betrieb nach einer Cyberattacke still stehen? Ab wann wird es existenzbedrohend? Und ich muss die Deckungssumme mit dem Cyberhaftpflichteil teilen. Also ausreichend Puffer einbauen!

Vielen Dank für das ausführliche Gespräch!

Titelbild: © Sven Ratzke