Print

agcs.momentum

Immer ein Gewinn: der Cyber Risikodialog.

Jeder Cyberversicherung geht, natürlich, eine Risikoprüfung voraus. Im Idealfall erwächst daraus ein fruchtbarer Dialog zwischen dem Versicherer und dem Kunden bzw. Unternehmen. Letzterer profitiert zum Beispiel von den Erkenntnissen, die der Versicherer aus einem branchenübergreifenden Blickwinkel weitergibt – was vielleicht auch den eher versicherungsskeptischen IT-Verantwortlichen überzeugt. Gordan Stanojević, Underwriter für Cyberrisiken bei der AGCS in Deutschland, gibt hier seine Erfahrungen aus Cyber Risikodialogen wieder.

> Diesen Artikel können Sie als pdf-Dokument downloaden.

Einhergehend mit der Einführung der Cyber Versicherung als neuem Produkt vor etwa drei Jahren begann auch eine völlig neue Form der Risikoprüfung – so könnte man meinen. Eine sehr technische und IT-basierte Form der Risikobetrachtung wird, nicht zu Unrecht, erwartet. Tatsächlich ist es so, dass wesentliche Elemente, die zur Einschätzung eines Cyber Risikos dienen, bereits an anderer Stelle im Hause des Versicherers vorhanden sind. Die große Kunst ist es dabei, das zur Verfügung stehende Know-how zu greifen, neu zu bündeln und an dem Produkt entsprechend auszurichten.

Die AGCS hat sich dazu entschieden, die Cyber Versicherung im Bereich Financial Lines und damit unter den VH-Produkten anzusiedeln. Aus einer D&O-Sichtweise kommend sind die Zahlen und Solvabilität des Kunden eine ganz entscheidende Größe. Branche und Betriebscharakter kommen meist erst danach in der Betrachtung und die gesamte Risikoprüfung kann, fallweise nach Aktenlage vorgenommen werden.

Die Cyber Risikoprüfung verläuft anders.

Ganz wesentliches Kriterium in der Beurteilung eines Cyber Risikos ist, ein Unternehmen so weit wie möglich zu verstehen. Das bedeutet im Einzelnen zu erkennen,

- woher das Unternehmen seine Haupteinnahmen bezieht, wie es das tut und was seine Stärken sind,

- wie es im Hinblick auf prozessuale Abläufe entlang der Wertschöpfungskette aufgestellt ist und wo mögliche Flaschenhälse liegen können, insbesondere bezüglich Kernbereichen wie Produktion und Logistik,

- welches Dateninformations-Sicherheitsbewusstsein im Unternehmen vorherrscht,

- wie der IT-Betrieb gesteuert wird, welche Güte die vorhandene IT(-Struktur) hat und an welchen neuralgischen Stellen sie kritische (Steuerungs-)Funktionen übernimmt.


Idealerweise herrscht ein Dateninformations-Sicherheitsbewusstsein im ganzen Unternehmen vor. Der motivierte und problembewusste Leiter einer IT-Abteilung ist eine gute Voraussetzung, um viele Herausforderungen im Hinblick auf die Dateninformationssicherheit und Integrität einer IT-Infrastruktur zu meistern. Noch besser ist es, wenn er Unterstützung aus der Unternehmensleitung bekommt, wo erkannt wurde, dass Cyber ein viel komplexeres Thema als der banale Hackerangriff ist. Wenn die Dateninformationssicherheit als hohes Gut identifiziert wurde und dies inhaltlich durchs gesamte Unternehmen gesteuert wird – mit Unterstützung der IT, - dann trifft man bei jedem Versicherer den Risikoappetit.

Um herauszufinden, welche Risiken möglichst nah an die Wunschvorstellung eines Versicherers herankommen, gibt es verschiedene Wege. Der Fragebogen bildet dabei die Grundlage. In Verbindung mit eigenen Recherchen (Internet, Geschäftsberichte, anderweitige Versicherungen im Haus, etc.) sollen die dort gestellten Fragen dem Underwriter Rückschlüsse auf die vier vorgenannten Aspekte ermöglichen.

Mit Vorliegen eines ausgefüllten und unterzeichneten Fragebogens ist man als Versicherer im Stande, ein verbindliches Angebot abzugeben. Üblicherweise liegt dieses, je nach Einzelfall, bei einem Limit von bis zu € 25 Mio. Ab dieser Größe genügt ein Fragebogen alleine nicht mehr. Spätestens hier ist die Einschaltung von Risikoingenieuren erforderlich, um der Prüfung eine deutlich größere Tiefe zu geben und den Technikern im Hause des Kunden auf Augenhöhe zu begegnen.

Der Risikodialog - Vorbereitung

Die AGCS verfügt mit ihrem ARC-Team (Allianz Risk Consulting) über ein bewährtes Team an Risikoingenieuren, das für Fälle der vertieften Risikoprüfung zur Verfügung steht.

José Fidalgo (Head of Risk Consulting Liability Central & Eastern Europe) und seine Kollegen sind vielen Kunden bereits aus den Bereichen Liability, Property oder Engineering bekannt, wo eine Zusammenarbeit zwischen Kunde und Versicherer auf technischer Ebene längst etabliert ist. Dabei werden vor allem die fachliche Expertise, das branchenübergreifende Know-how sowie der konstruktive technische Austausch seitens der Kunden geschätzt. Dieser Mehrwert wird bei der AGCS auch für die Cyber Versicherung genutzt.      

Der Risikodialog versteht sich dabei nicht als reines Informationsbeschaffungs-mittel für den Versicherer. Der Name sagt bereits aus, dass es zu einem Austausch zwischen den Beteiligten kommt und speziell in der Cyber Versicherung ist der Kundenwunsch nach einem Risikofeedback von externer Seite bei nahezu allen Interessenten vorhanden.

Gemeinsam mit Vertretern des Unternehmens sowie ggf. des Maklers findet der Dialog im Hause des Kunden statt. Die Informationen, die in diesem Gespräch übermittelt werden, bilden die Basis für die spätere Risikobeurteilung. Von Seiten der AGCS wird kein Risikoingenieur mit dem Klemmbrett bewaffnet durch die Fertigungshallen des Kunden gehen und seine Prüfungen vornehmen.  

Grundlage für einen für beide Seiten erfolgreichen und Mehrwert bringenden Risikodialog sind die angemessene Vorbereitung auf den Termin sowie ein offener Informationsaustausch. Um dies zu gewährleisten, sind zunächst vier bis fünf Kundenvertreter aus folgenden Bereichen erforderlich:

1. CIO

2. CFO

3. Risk Manager bzw. Verantwortlicher für Versicherungen

4. CISO / ISO

5. Procurement (Vertragsgestaltung mit Dienstleistern),

6. Legal (Vertrags- und Haftungsfragen),

7. Verantwortlicher für das Business Continuity Management. 

Diese Funktionen sind in vergleichbarer oder auch anderer Form in allen Unternehmen vorhanden.


Wichtig ist dabei, dass alle Beteiligten wissen, was Sinn und Zweck des Treffens ist und dass sie ihre Aufgabe dabei kennen. Es sollte klar kommuniziert sein, dass es sich nicht um eine Versicherungsverkaufsveranstaltung handelt und wenn im Vorhinein Unklarheiten bestehen, bspw. bzgl. Ablauf, Teilnehmer, Inhalte, Vertraulichkeit der Informationen etc. empfiehlt sich eine kurze vorbereitende Telefonkonferenz (max. 30 Min.), um diese Punkte zu klären. Die von allen Beteiligten in den Dialog investierte Zeit ist zu kostbar, als dass man sie durch eine uneinheitliche Erwartungshaltung der Beteiligten uneffektiv gestalten sollte.

Im Vorlauf zum Termin wird ein umfassender(er) Fragebogen zur Verfügung gestellt, der alle wesentlichen Themen anspricht und für den Termin selbst als Gesprächsleitfaden fungiert. Auf diese Weise können sich die Beteiligten auf den Termin vorbereiten, um im Idealfall zu allen Punkten auskunftsfähig zu sein.

Der Fragebogen gliedert sich in die folgenden Bereiche:

1. Business IT (z.B. EPR)
2. Industrial IT (z.B. OT- / SCADA-Systeme)
3. Management Reporting (C-Level – IKS)
4. Contract Management (Provider & Customer)
5. Risk Management (Security – Availability – Compliance – Performance)
6. Business Continuity Management
7. Information Security Management
8. IT Security 
9. IT Service Management (ITIL)
10. Continuous Improvement: Measuring, Analysis, Improvement (See - Learn - Adapt - Act)

Innerhalb etwa eines halben Tages werden die Informationen zusammengetragen. Dieser Zeitraum soll dazu dienen, dass sich der Versicherer einen Überblick über das Unternehmen und die relevanten Risikobereiche verschaffen kann. Von den Bereichen, die beleuchtet werden, wird auf das restliche Unternehmen hochgerechnet und im Anschluss im Rahmen eines Berichts eine Einschätzung zum Cyber Risiko des Kunden abgegeben. Der Fragebogen mit Antworten sowie die genannte Auswertung werden im Nachgang zu dem Termin fertig- und dem Kunden zur Verfügung gestellt. Ein nachvollziehbares sowie klar kommuni-ziertes Ergebnis der Prüfung ist dabei oberstes Ziel des Risikoberichts.


Die Risikobewertung


Grundlage der Bewertung ist das dafür konzipierte „AGCS House of IT Quality“.

/assets/Global%20offices%20assets/Germany/agcs.momentum/Ausgabe%20Oktober%202016/Bilder/AGCS%20House%20of%20IT-Quality.png
Quelle: AGCS

Aus der linken Grafik lässt sich entnehmen, dass es sich bei der Prüfung nicht nur um eine isolierte IT-Sicherheitsbetrachtung handelt. Vertrags- sowie Lieferantenmanagement spielen ebenfalls eine wichtige Rolle, da sie für Haftungsfragen und die Aufrechterhaltung des Betriebs mitentscheidend sind. Die Betrachtung anwendbarer Industrienormen, Prozess-standards sowie spezifischer IT-Standards ist weiteres wesentliches Element des Risiko-dialogs. Im besten Fall sind diese Komponenten eingebettet in ein übergeordnetes Risiko-managementprogramm, das konzernweit für die Implementierung und Aufrechthaltung der Prozesse Sorge trägt. Dies verbunden mit einer kontinuierlichen Eigenprüfung und ständigen (Selbst)Verbesserungsprozessen stellt aus Versicherersicht das Optimum eines zu prüfenden Cyber Risikos dar.

Der Risikoingenieur nimmt eine Bewertung der einzelnen Teilbereiche vor und skizziert etwaiges Verbesserungspotenzial. Am Ende wird der IT-Reifegrad des Unternehmens bestimmt (s. Grafik). Ab einem Reifegrad von 3 kann die AGCS das Risiko zeichnen. Üblicherweise erfüllen die meisten Unternehmen diesen Anspruch. Wenn dies nicht der Fall ist, haben sich konstruktive Gespräche bewährt, in denen die Risikoeinschätzung dargelegt wird und mögliche Maßnahmen sowie deren Umsetzung zur Verbesserung des Reifegrads diskutiert werden.


Der Risikodialog - Ablauf

 
Auch wenn ein technischer Risikodialog in der Industrieversicherung keine Avantgarde darstellt, so spiegelt sich dennoch die Neuheit der Cyber Versicherung im Risikodialog wider,  auch für die Kunden. Dieser Aspekt ist nicht zu unterschätzen. Insbesondere die - vermeintlich neue - Hinzuziehung der IT zu Versicherungsfragen ist ein wesentlicher Punkt, der auch stimmungsmäßig zu berücksichtigen ist.

Per se sind sich IT und Versicherung nicht besonders nahe. Mit dem Cyber-Thema kommt es zu mehr und tieferen Berührungen zwischen den beiden. Nun soll, oft erstmals, eine IT-Versicherung abgeschlossen werden. Dieser Umstand wird mitunter von den Verantwort-lichen des IT-Bereichs hinterfragt. Schließlich mache man seine Arbeit sehr gut, es gäbe bislang keine Beschwerden und Beanstandungen und plötzlich soll eine Versicherung abgeschlossen werden. Das Geld könne man eigentlich viel besser nutzen, in dem man dem langgehegten Wunsch nach Aufstockung des IT-Budgets nachkommt und anstelle einer Versicherung die gesparte Prämie für Hard-, Software oder Personal bereitstellt.

Diese Sichtweise erscheint im ersten Moment, aus dem Blickwinkel eines IT-Verantwortlichen, nachvollziehbar. Besonders wichtig ist es daher, deutlich zu machen, dass der Abschluss einer Cyber Versicherung keineswegs als Misstrauen gegenüber der firmen-eigenen IT zu verstehen ist. Im Gegenteil, wäre deren Qualität nicht angemessen, würde ein Versicherer kaum Deckungsschutz anbieten. Zudem stellt sich die Frage, ob ein fünf- oder sechsstelliger Zusatzbetrag im IT-Budget – in diesem Bereich bewegen sich die Prämien für Cyber Versicherungen üblicherweise – etwaige Millionenschäden verhindern oder dafür Entschädigung verhindern kann.

Für diese Auseinandersetzung ist der Risikodialog sehr geeignet, da man etwaige Unklarheiten offen besprechen kann und dies mit Hilfe der Risikoingenieure auf einem hohen technischen Niveau, auf dem sich die Spezialisten verstanden fühlen.

Kunden heben in ihren Rückmeldungen hervor, dass -dank des Risikodialogs- die Vertreter der genannten Bereiche zum ersten Mal in dieser Konstellation zusammentreffen und sich untereinander austauschen. Ein Zeichen dafür, dass mögliches Silodenken und -wissen abgebaut wird und eine, möglicherweise nicht immer vorhandene, bereichsübergreifende  Kommunikation zur Normalität wird.

Der Risikodialog versteht sich nicht als Halley’scher Komet unter den Kunden-kommunikationsmitteln, der ein einziges Mal im Lebenszyklus einer Police auftaucht und dann bis auf weiteres aus dem Kundenorbit verschwindet. Vielmehr begleitet er den Kunden und sein Risiko, um im Abstand von ein bis zwei Jahren wiederholt durchgeführt zu werden. Der Versicherer kann sich dabei ein genaueres Bild vom Risiko sowie dessen Entwicklung machen und dem Versicherungsnehmer spiegeln, ob er aus versicherungstechnischer Sicht den steigenden Anforderungen der Digitalisierung gerecht wird oder ob ggf. Optimierungs-potenzial besteht.

Schon nach relativ kurzer Zeit hat sich der Risikodialog auf breiter Front bewährt, sei es im Bereich der Festigung vertiefter Gespräche im Rahmen einer Cyberanbahnung, als vertrauensbildende Maßnahme zur Gewinnung entscheidender Risikoinformationen oder als Werkzeug, um das Kundenrisiko zu betreuen und Hilfestellung zur Schadenprävention sowie -reaktion zu bieten. Das Erkennen neuer Risikotrends ist dabei ein wesentlicher Mehrwert, um dem Kunden aus einem industrieübergreifenden Blickwinkel Rückmeldung geben zu können, damit er sich besser wappnen und den Veränderungen einer digitalen Welt angemessen begegnen kann.

Unser Experte

Gordan Stanojević ist Underwriter im Bereich Financial Lines bei AGCS Central & Eastern Europe. Die Versicherung von Cyberrisiken gehört zu den Schwerpunkten seiner Tätigkeit.

E-Mail: gordan.stanjoevic@allianz.com