Schutzlücken mit der Cyberversicherung schliessen
Jesús Pampín, Leiter Underwriting Sachversicherung bei der Vaudoise, unterstützt Kundinnen und Kunden dabei, sich gegen die Gefahren der digitalen Welt zu wappnen. Im Interview erklärt er, wo auch die Versicherer noch dazulernen können und weshalb sie trotzdem schon jetzt bei Cyberangriffen eine begleitende und beratende Rolle einnehmen können.
Jesús Pampín, eine Erhebung des SVV zeigt, dass heute nur gerade 8,7 Prozent der Unternehmen gegen Cyberrisiken versichert sind. Ist das Bewusstsein für solche Risiken einfach noch zu gering?
Das Bewusstsein hat in den letzten Jahren sicher zugenommen. Als wir 2017 die Cyberversicherung bei der Vaudoise einführten, wussten nur wenige KMU, dass Versicherungslösungen in diesem Bereich bestehen. Seither ist Cybersicherheit vielerorts zu einem wichtigen Thema für die Unternehmenschefs geworden. Das Problem ist: Auch wenn viele die Bedrohung kennen, weiss kaum jemand, wie man sich richtig schützt und wo man Unterstützung findet. Dazu kommt, dass viele gar nicht erst wissen, wie eine Versicherung gegen Cyberrisiken aussieht.
Gibt es da den «typischen» Cyberversicherungskunden? Oder eine Branche, die besonders sensibilisiert ist?
An einer bestimmten Branche würde ich das nicht festmachen. Im Bereich der KMU zählen wir vom Anwalt über die Arztpraxis bis hin zum Handwerksbetrieb alle zu unseren Kunden. Es ist aber sicher so, dass grosse Firmen eher die Kapazitäten haben, sich mit diesem Thema zu befassen. Sie haben ein umfassendes Risikomanagement und IT-Abteilungen, die sich um Cybersicherheit kümmern.
Hat eine Pionierrolle in der Cyberversicherung eingenommen: Jesús Pampín.
In welcher Situation befinden sich Unternehmen, die eine Cyberversicherung abschliessen wollen?
Es ist nach wie vor selten, dass Unternehmen bei uns gezielt nach einer Cyberversicherung verlangen. Die meisten Unternehmen kennen dieses Angebot gar nicht. Es ist unsere Aufgabe, sie proaktiv auf diese Schutzlücke hinzuweisen und ihnen genau zu erklären, was eine Cyberversicherung umfasst. Hier sind wir als Versicherungen gefordert: Auch für uns ist das Risiko eher neu und es ist unsere Aufgabe, das Knowhow im Vertrieb aufzubauen und eine hohe Beratungsqualität zu erreichen – sowohl beim Versicherungsabschluss als auch bei einem Schadenereignis. Auch wir Versicherer müssen einen gewissen Reifeprozess durchlaufen. Dazu kommt, dass ein Unternehmen ein gewisses Minimum an Schutzmassnahmen mitbringen muss, um überhaupt eine Versicherung abschliessen zu können. Man könnte dies auch als «IT-Hygiene» bezeichnen.
Welche Schutzmassnahmen sind das?
Wir haben mit unseren internen IT-Spezialisten und mit externen Partnern gewisse Mindeststandards entwickelt, die wir von den KMU erwarten. Sie sind als Obliegenheiten in den Policen festgehalten. Dazu gehören Dinge wie regelmässige Updates, die Installation von Virenschutzprogrammen, das regelmässige Ändern von Passwörtern und natürlich die Datensicherung. Ohne diese Basismassnahmen wird es für ein KMU sehr schwer, einen Versicherer zu finden.
«Cyber Insurance Summit Switzerland» 2024
Am 11. Dezember 2024 findet in Zürich der «Cyber Insurance Summit Switzerland» statt. Zentrale Akteure aus den Bereichen Cyberversicherung und Cybersicherheit tauschen sich über die Resilienz der Schweiz und die aktuellen Entwicklungen im Versicherungsumfeld aus. Der Anlass richtet sich an interessierte Personen aus IT und Versicherungswirtschaft und steht auch Nichtmitgliedern offen.
Es gibt verschiedene Bestrebungen, Standards oder Labels für Cybersicherheit einzuführen (z. B. Cyber Safe). Erachten Sie solche Labels als sinnvoll?
Ja, ein solches Label würde helfen. Wichtig wäre aber, dass man sich auf ein einheitliches Label einigen kann, das dann schweiz- oder europaweit Anwendung findet. Im Moment sind verschiedene Labels im Umlauf, die schlecht vergleichbar sind. Für grosse Firmen gibt es die ISO-Zertifizierung, die jedoch für KMU nicht funktioniert und viel zu teuer wäre. Ein Cyberlabel müsste funktionieren wie ein Nutriscore, der für Endkonsumenten verständlich ist.
Nach dem die Preise für Cyberversicherungen in den letzten Jahren angestiegen sind, scheinen sich diese nun zu stabilisieren. Ist das von Dauer?
Für «schlechte Risiken», also Kunden, die wenig in ihre IT-Sicherheit investieren, bleiben die Preise hoch oder sie finden gar keinen Versicherer, der bereit wäre, sie zu versichern. «Gute Risiken», also Kunden mit umfassenden Präventionsmassnahmen, können ihre Policen derzeit teilweise zu günstigeren Konditionen erneuern. Die Preise sind aber sehr volatil.
«Das Cyberrisiko ist noch relativ neu und Versicherer verfügen über wenig Daten und Risikomodelle.»
Das heisst, ein grosser Cybervorfall in der Schweiz würde sich auf die Preise und Kapazitäten auswirken?
Ja, das würde man sicherlich spüren. Vorfälle wie die weltweite IT-Panne bei Crowdstrike treiben die Schadenkosten in die Höhe, was sich wiederum auf die Preise auswirkt, sowohl bei Versicherern als auch bei Rückversicherern. Ein anderes Beispiel sind die Angriffe auf Gemeindeverwaltungen, die dazu geführt haben, das sich gewisse Versicherer aus diesem Bereich zurückgezogen haben. Das Cyberrisiko ist noch relativ neu und Versicherer verfügen über wenig Daten und Risikomodelle. Deshalb wird es in diesem Markt weiterhin zu Preisschwankungen kommen.
Gibt es Risiken, die schwer versicherbar sind? Weshalb?
Das Cyberrisiko kann Dimensionen annehmen, die einer Pandemie ähneln. Wenn ein Cyberangriff die Infrastruktur eines ganzen Landes lahmlegt, können Schäden in dieser Grössenordnung – wie bei einer Pandemie – nicht mehr versichert werden. Die Versicherer können bei der Schadenabwicklung helfen und ihr Netzwerk zur Verfügung stellen. Der potenzielle Schaden würde aber die Kapazitäten der Versicherer übersteigen.
Bleiben wir auf der Schadenseite: Mit welchen Arten von Cyberschäden sind Ihre Kunden am meisten konfrontiert?
Phishing und Ransomware sind zwei grosse Bedrohungen. Gerade bei Ransomware geht oft vergessen, dass Schäden nicht nur über Angriffe auf die eigenen Systeme verursacht werden, sondern auch durch Angriffe auf Drittanbieter. Nehmen wir den Fall Winbiz: Nachdem der Softwareanbieter Opfer einer Cyberattacke geworden war, hatten tausende Kunden wochenlang keinen Zugriff auf ihre Buchhaltungssysteme. Gegen solche Abhängigkeiten helfen auch eigene Präventionsmassnahmen nicht.
«Eine gute IT-Sicherheit kann aber, ähnlich wie ein Immunsystem, viele Angriffe abwehren und so die Geschäftstätigkeit des Unternehmens schützen.»
Gibt es Unternehmen, die besonders gefährdet sind?
Grundsätzlich kann es jeden treffen. Eine gute IT-Sicherheit kann aber, ähnlich wie ein Immunsystem, viele Angriffe abwehren und so die Geschäftstätigkeit des Unternehmens schützen.
Die Schweiz ist bekannt für ihre Sicherheit. Gilt das auch in der digitalen Welt?
Die Schweiz hat ein sehr hohes Niveau, wenn es darum geht, uns vor Sachschäden zu schützen. Das müssen wir auch bei Cyber erreichen. Im Moment ist die Schweiz noch weit davon entfernt und muss diesen Rückstand noch aufholen. Wenn Firmen in der Schweiz kein gutes Sicherheitsniveau haben, ist das ein Standortnachteil für das gesamte Land. Firmen siedeln sich nicht in der Schweiz an, wenn sie befürchten müssen, dass Lieferanten und Partner schlecht gegen Cyberrisiken gewappnet sind.
Angenommen, ein Schadenfall tritt ein. Wie sollen Unternehmen vorgehen?
Bei einem Cyberangriff ist es wichtig, schnell zu handeln und mit einem auf Cybersicherheit spezialisierten IT-Dienstleister oder über die Versicherung die nötigen Massnahmen zu treffen. In akuten Notsituationen ist auch die Polizei eine Anlaufstelle. Deren Priorität ist es aber nicht, den Unterbruch zu beheben, sondern, die Täter zu finden. Die Versicherer haben in den letzten Jahren eine gewisse Erfahrung und Knowhow im Umgang mit Cyberangriffen aufgebaut und können auf ein Netzwerk von Spezialisten zurückgreifen. Unsere Branche kann und muss eine beratende und begleitende Rolle einnehmen, auch im Bereich der Prävention.
Über Jesús Pampín
Jesús Pampín begann im Jahr 1997 seine Karriere in der Schweizer Versicherungsbranche im Bereich Underwriting. Nach 13 Jahren Erfahrung in verschiedenen Versicherungsbereichen in der Schweiz verbrachte er mehrere Monate in London, wo er sich mit den europäischen Märkten vertraut machte und dort 2012 die Sparte Cyberversicherung für sich entdeckte. Nach seiner Rückkehr in die Schweiz wechselte er zu den Vaudoise Versicherungen, wo er wieder ins Underwriting einstieg und gleichzeitig eine Pionierrolle in der Cyberversicherung einnahm. Innerhalb des SVV ist Jesús Pampín Mitglied in der Kommission Sach und ist in der Arbeitsgruppe Cyber bereits seit deren Gründung aktiv.
Forum Assurances
Auch das diesjährige Forum Assurances, die jährliche Westschweizer Veranstaltung des SVV, die am Dienstag, 29. Oktober in Lausanne stattfindet, wird sich mit dem Thema Cyberrisiken aus Sicht der Politik, der Volkswirtschaft und der Versicherungsbranche auseinandersetzen.
