Print

agcs.momentum

„Wir müssen noch viel Aufklärungsarbeit leisten“

Jens Krickhahn ist seit Anfang 2014 bei AGCS Germany & CE Produktmanager für Cyberversicherungen. Vor seinem Wechsel zur AGCS war er beim Spezialversicherer Hiscox für den Bereich Technology, Media and Telecommunication tätig. Er entwickelte eine der ersten spartenübergreifenden Versicherungslösung für Cyber- und Datenrisiken für den deutschen Markt, und ist bei AGCS für die Versicherungslösung "Allianz Cyber Protect" verantwortlich, die im letzten Jahr gelauncht wurde. 

In „agcs.momentum“ spricht Krickhahn über die Vorteile des 360-Grad-Ansatzes für IT-Risikomanagement und erklärt, warum Unternehmen in Sachen IT-Risiken nach wie vor aufklärungsbedürftig sind.

Diesen Artikel finden Sie hier als PDF-Dokument zum Download.

Herr Krickhahn, auf der CeBIT, die Anfang März in Hannover stattgefunden hat, haben Sie mit vielen Kunden aus unterschiedlichen Industriebranchen über IT-Risiken und Cyberversicherungen diskutiert. Was beschäftigt die Unternehmen dabei momentan am meisten?

Jens Krickhahn: Einer der Schwerpunkte der CeBIT in diesem Jahr war ja IT-Sicherheit. Der hohe Publikumsverkehr an den Infoständen, die ihren Fokus auf dieses Thema gelegt hatten, zeigt ganz klar einen Wandel in den Unternehmen. Das heißt, es gibt eine wachsende Sensibilisierung für IT-Risiken. Gemeinsam mit meinen Kollegen habe ich mit vielen Vertretern aus der Wirtschaft gesprochen. Die beschäftigen sich aktuell sehr intensiv mit der technischen Absicherung ihrer IT-Systeme, aber auch mit einem möglichen Risikotransfer in Form von Versicherungslösungen.

Man hat mittlerweile erkannt, dass man zwar die Technik aufrüsten kann, aber gegenüber gewissen Faktoren machtlos bleibt. Das kann ein Hacker sein, der die letzte, winzige Sicherheitslücke im System findet, oder auch der eigene Mitarbeiter, der beispielsweise durch Unachtsamkeit einen Datenschutzvorfall verursacht.  Laut der aktuellen VDMA Studie „Status Quo der Security in Produktion und Automation” sind im vergangenen Jahr bei 29 % der befragten Unternehmen Betriebsunterbrechungsschäden durch Security Vorfälle eingetreten. Daher hat unser auf der CeBIT vorgestellte 360 Grad Ansatz für das IT-Risikomanagement viele positive Rückmeldungen erhalten.

Wie sieht dieser Ansatz aus?

Unser Ziel ist es, im engen Dialog mit dem Kunden seine IT-Infrastruktur und Prozesse zu analysieren und potentielle Risikofelder zu identifizieren, im Sinne eines holistischen Assessments. Das passiert in Form von gemeinsamen Workshops. Basierend auf dieser Analyse werden dann zum einen mit dem IT-Dienstleister des Unternehmens technische Maßnahmen zur Schließung der Sicherheitslücken erarbeitet, und zum zweiten ein individuelles Versicherungskonzept für den Kunden entwickelt. Natürlich kann sich der Kunde auch dafür entscheiden, nur einen dieser beiden Lösungswege zu wählen.

/assets/Global%20offices%20assets/Germany/agcs.momentum/Ausgabe%20Mai%202014/PC_471x160.jpg

"In Sachen IT-Sicherheit findet zur Zeit ein Wandel in den Unternehmen statt", sagt Cyber-Experte Jens Krickhahn. (Bild: Shutterstock)

Experten warnen davor, dass Unternehmen Cyberversicherungen abschließen, ohne sich um die Optimierung ihrer internen IT-Sicherheitsvorkehrungen zu kümmern. Ist dies Ihrer Erfahrung nach in der Praxis ein verbreitetes Problem? 

Ein solcher Ansatz kann sich als sehr gefährlich herausstellen. Im schlimmsten Fall könnte das ja bedeuten, dass die IT-Sicherheit gänzlich vernachlässigt würde und Datenschutz- oder Security-Vorfälle nur eine Frage der Zeit wären. Wer könnte ein solches Unternehmen noch versichern? Ich würde ja auch nicht in ein Auto einsteigen und auf Tempo 250 km/h beschleunigen, wenn ich weiß, dass in 500 m Entfernung ein Abgrund ist und das Auto keine Bremsen hat.

Um der aktuellen Situation gerecht zu werden, muss eine Gesamtbetrachtung des Risikos erfolgen. Bei Unternehmen mit hohen IT-Abhängigkeiten sollte die IT-Sicherheit und der Risikotransfer im engen Dialog individuell erörtert werden. Der beschriebene 360-Grad-Ansatz bietet dafür die optimale Basis.


Mit einer Versicherungssumme von 50 Millionen Euro ist die neue Cyberversicherung der AGCS, „Allianz Cyber Protect,“ momentan führend am deutschen Markt. Trotzdem bewerten viele Experten diese Summe als deutlich zu niedrig, auch angesichts der hohen Prämien. Ist dieser Vorwurf Ihrer Meinung nach berechtigt? 

Die Summe von 50 Mio. Euro mag für manche Unternehmen nicht ausreichen. Man sollte aber die individuelle Risikosituation betrachten und prüfen, wo in der Wertschöpfungskette sich das zu versichernde Unternehmen mit seinen Produkten, Dienstleistungen und Prozessen befindet. Dann gilt es zu klären, was in einer Worst Case-Betrachtung nach dem Ausfall der betroffenen Einheit die Folge sein kann: Hat der Sicherheitsvorfall Auswirkungen auf ganze Produktionsstandorte, sind nur einzelne Abteilungen betroffen, können alle Kundendaten zeitgleich betroffen sein? Basierend auf dieser Analyse sollte die benötigte Versicherungssumme ermittelt werden und hier sind Kapazitäten bis zu 50 Mio. Euro ein mehr als solides Fundament, auf dem im Bedarfsfall mit Versicherungskonsortien aufgebaut werden kann.

Was den Preis betrifft, hat sich in unserem vergleichsweise jungen Markt schon viel im Sinne des Käufers getan. Die AGCS stellt drei unterschiedliche Varianten unserer Cyberversicherung zur Verfügung: „Allianz Cyber Protect“ bietet umfänglichen Versicherungsschutz bis zu 10 Mio. Euro Kapazität. Diese Deckung ist einfach zu beziehen, es genügt, dass der Kunde einen unkomplizierten Fragebogen beantwortet. In unserer Deckung „Allianz Cyber Protect Premium“ stehen dann wie bereits erwähnt bis zu 50 Mio. Euro Kapazität zur Verfügung. Diese Lösung beinhaltet auch branchenspezifische Bestandteile, wie zum Beispiel eine vollumfängliche Betriebsunterbrechungsdeckung für produzierende Unternehmen, die auch bei Fehlfunktionen greift. Auch kann eine sogenannte „Errors and Omissions“-Deckung, also eine vollumfängliche Vermögensschadenversicherung für IT- und Telekom-Unternehmen, eingeschlossen werden.

An der Spitze steht unsere „Allianz Cyber Protect Premium Plus“-Deckung. Diese Lösung kann um Rückwirkungsschäden oder andere Elemente erweitert und ganz nach dem individuellen Bedarf des Kunden zugeschnitten werden. Betrachtet man das Preis-Leistungs-Verhältnis sind wir der Auffassung, dass die Prämien bedarfsgerecht sind.

„Allianz Cyber Protect“ wurde mittlerweile in mehreren Ländern eingeführt, darunter Großbritannien, Frankreich, Spanien, aber auch im Asiatisch-Pazifischen Raum und demnächst in Kanada. Gibt es dabei länderspezifische Unterschiede in der Deckung?

Generell ist es unser Ziel, in allen Märkten, in denen wir mit „Allianz Cyber Protect“ vertreten sind, den gleichen hohen Versicherungsstandard zu bieten. Daher sind die Konzepte nahezu identisch. Natürlich gibt es örtliche Besonderheiten, z.B. bedingt durch die lokale Gesetzgebung – denken Sie nur an die Unterschiede bezüglich der Informationspflichten innerhalb von Europa. Grundsätzlich ist aber der Versicherungsumfang derselbe. Wir konnten feststellen, dass unser Produkt im englischsprachigen Raum besser angenommen wird. Das ist aber einfach der Tatsache geschuldet, dass diese Märkte bei IT-Versicherungen schon viel weiter und entsprechende Produkte dort bereits seit vielen Jahren etabliert sind.


In den Medien kann man mittlerweile fast jeden Tag etwas über Cybervorfälle und –angriffe lesen. Gleichzeitig hat aber gerade der deutsche Markt Nachholbedarf hinsichtlich IT-Risiken, wie Sie gerade erwähnt haben. Tut die Versicherungsbranche Ihrer Meinung nach schon genug dafür, die Unternehmen für Cyberrisiken zu sensibilisieren?

Der Cybermarkt in Deutschland ist für alle Beteiligten noch ein junger Markt, das stimmt. Aber wie bereits erwähnt, ist das Interesse der Unternehmen an Informationen und Versicherungslösungen sehr hoch. Um unsere Kunden weiter zu sensibilisieren und zu informieren stehen wir mit ihnen im direkten Dialog, gleichzeitig sprechen wir aber auch mit unseren Maklern und mit Verbänden. 

Ein IT-Security Vorfall ist für die meisten Unternehmen nach wie vor kein „greifbares“ Risiko, wie beispielsweise Feuer. Wenn eine Fabrik brennt, dann sieht man danach das Ausmaß der Zerstörung. Ein Cybervorfall hingegen kann ganz unterschiedlich aussehen: Das reicht vom unabsichtlichen Versand von Kundendaten an den falschen Empfänger über Datendiebstahl durch Hacker bis hin zu hochkomplexen Betriebsunterbrechungsschäden. Daher variieren auch die Folgen aus solchen Ereignissen, genauso wie die (finanziellen) Konsequenzen für Unternehmen, etwa Schadenersatzforderungen der Dateninhaber oder der Kreditkartenindustrie, finanzielle Einbußen durch Betriebsunterbrechungen und, nicht zu vergessen, Reputationsschäden.

All das ist über unsere „Allianz Cyber Protect“ Lösung versicherbar, und es ist unsere Aufgabe als Versicherer, unseren Kunden aufzuzeigen, welche Risiken es gibt und wie sie sich vor diesen schützen können. Hier müssen wir auch weiterhin gemeinsam mit allen Beteiligten entsprechende Aufklärungsarbeit leisten.

/assets/Global%20offices%20assets/Germany/agcs.momentum/Ausgabe%20Mai%202014/Schloss_471x160.jpg

IT-Risiken sind für viele Unternehmensleiter keine "greifbaren" Bedrohungen. (Bild: Shutterstock)

Sie haben die drei aktuellen Varianten von „Allianz Cyber Protect“ bereits angesprochen. Welche Pläne haben Sie für die Weiterentwicklung der Lösung?

Wie alle anderen Versicherungsprodukte ist natürlich auch „Allianz Cyber Protect“ kein statisches Produkt. Durch die Veränderungen in der digitalen Welt werden unsere Kunden mit neuen Risikosituationen konfrontiert werden, und damit besteht für uns als Versicherer permanent Handlungsbedarf. Ich erwarte deshalb, dass sich unsere „Allianz Cyber Protect“ Lösung in den nächsten Jahren kontinuierlich verändern wird.

Da wir sehr eng mit IT-Experten aus der Industrie und mit Vertretern von Hochschulen und Verbänden im Austausch sind, ist sichergestellt, dass wir die veränderten Bedürfnisse unserer Kunden rechtzeitig erkennen und, soweit möglich, auch in „Allianz Cyber Protect“ einfließen lassen. Als Marktführer der Versicherungsbranche wollen wir auch im Bereich der Absicherung von IT-Risiken unserem Anspruch gerecht werden, unseren Kunden den bestmöglichen Versicherungsschutz zu bieten.

Unser Experte

Jens Krickhahn ist seit Anfang 2014 Practise Leader für den Bereich Cyber & Fidelity bei AGCS Financial Lines Germany & Central Europe.

e-Mail: jens.krickhahn@allianz.com