«Cy­ber Insu­rance Sum­mit Switz­er­land» 2024: ge­mein­sam für mehr Cy­ber­si­cher­heit

«Würde jedes Mal ein Alarm ertönen, wenn beim Bundesamt für Cybersicherheit eine Meldung eingeht, würden wir ziemlich oft bei der Arbeit gestört werden», sagte Urs Arbter, Direktor des Schweizerischen Versicherungsverbandes, in seiner Begrüssungsrede. Die jüngste Meldung des BACS, dass im Durchschnitt alle 8,5 Minuten ein Cybervorfall gemeldet wird, ist für die Versicherungsbranche nur einer von vielen Indikatoren, dass die Bedrohung aus dem Cyberspace weiter und schnell wächst. Aus diesem Grund hatte der SVV zum ersten «Cyber Insurance Summit Switzerland» im Kunsthaus Zürich eingeladen. Über 150 Teilnehmende aus IT, Versicherungswirtschaft, Consulting und Behörden trafen sich dort, um über das Cyberrisiko und den Umgang, den die Schweiz damit finden muss, zu sprechen. Arbter betonte bereits zu Beginn, welch grossen Stellenwert diese Zusammenarbeit beim Cyberrisiko hat.

Marc Henauer, Verantwortlicher für politische und internationale Geschäfte im Direktionsstab des Bundesamts für Cybersicherheit (BACS), nahm den Faden von Urs Arbter auf: Auch bei der Umsetzung der nationalen Cyberstrategie sei das BACS auf Mithilfe angewiesen. Die Rolle der Versicherungswirtschaft sieht Henauer einerseits im Risikomanagement und in der Risikokalkulation, andererseits auch in der Prävention. Und er gab den teilnehmenden Versicherern Stoff zum Nachdenken: Während die Behörden aufgrund von langen Vernehmlassungsprozessen kaum in der Lage seien, verbindliche und aktuelle Mindeststandards im Bereich Cybersicherheit innerhalb der notwendigen Zeitspanne durchzusetzen, könne genau die Versicherungsbranche diese Lücke in kurzer Zeit schliessen. Durch das Einfordern von Sicherheitsstandards von ihren Kundinnen und Kunden habe die Branche grosses Potenzial, zur Cyberresilienz beizutragen.

Dass die Finanzbrache nicht nur bei der Bewältigung von Cyberrisiken im Fokus steht, sondern auch als potenzielles Ziel ins Visier von Cyberkriminellen geraten kann, führte auch Alexandra Arni, Geschäftsführerin Swiss FS-CSC und Leiterin ICT bei der Schweizerische Bankiervereinigung (SBVg), aus. Um diesen Risiken zu begegnen, sei eine enge Kooperation notwendig. Der Verein Swiss FS-CSC hat die Aufgabe, die Zusammenarbeit zwischen Finanzinstituten und Behörden im Rahmen einer Public-private-Partnership bei der Prävention und im Hinblick auf die Bewältigung eines potenziellen systemischen Angriffs zu fördern. Zu diesem Zweck hat der Verein unlängst eine Krisenkoordinationszelle aufgebaut, die in einer Cyberkrise die Koordination und Kommunikation übernehmen kann. «Dem Cyberrisiko und vor allem einer systemischen Cyberkrise kann man nur mit vereinten Kräften begegnen», so Arni. Daher ermutigte sie Finanzinstitute, eine Mitgliedschaft beim Swiss FS-CSC, das seit der Gründung von 55 auf über 160 Mitglieder angewachsen ist, zu prüfen.

Maya Bundt, die als Präsidentin des Steuerungsausschusses der Nationalen Cyberstrategie die anschliessende Podiumsdiskussion verstärkte, bezog sich mit ihrem breiten Hintergrund in der Versicherungsbranche auf die These von Marc Henauer, dass die Versicherer über das Festlegen von Mindeststandards einen grossen Hebel in der Cybersicherheit haben. «Im Moment funktioniert das ganz gut, und zahlreiche KMUs verbessern ihre Cyber-Maturität, weil sie an einer Versicherungspolice interessiert sind.» Sie wies aber auch auf die Grenzen hin: «Von 99 relevanten Fragen zur Cybersicherheit konnte man vor einigen Jahren einem KMU in der Realität etwa fünf stellen. Da spielt auch immer noch der Markt mit.», sagte sie. Urs Arbter ergänzte, dass auch über die Preisgestaltung einen Anreiz für mehr Sicherheit gesetzt werden könne, indem derjenige, der ein höheres Risiko hat, auch mehr bezahlt. 

Dass die Cyberversicherung ein Wachstumsmarkt ist, wurde spätestens mit der Präsentation von Gabor Jaimes, Cyberversicherungsexperte des SVV, klar. Vom SVV erhobene Zahlen zeigen, dass das Prämienvolumen gegenüber dem Vorjahr um 18,5 Prozent angestiegen ist. Dies sei nicht etwa auf Preiserhöhungen zurückzuführen, sondern darauf, dass sich immer mehr Unternehmen gegen Cyberrisiken versichern lassen. Jaimes führte aus, dass die Durchdringung mit 8,7 Prozent aber nach wie vor sehr tief sei. Gerade bei KMU gehe es noch darum, sie für das Risiko zu sensibilisieren. In diese Richtung zielt auch die Cyber-Roadmap des SVV ab, die Gabor Jaimes dem Publikum näherbrachte. Wie sich das globale Wachstum dieser noch jungen Versicherungssparte in den nächsten Jahren entwickeln wird, darüber gehen die Schätzungen auseinander. Die Swiss Re rechnet mit einem globalen Prämienwachstum um nur mehr 30 Prozent von 2023 bis 2027, die Munich Re prognostiziert für den gleichen Zeitraum ein Wachstum von 106 Prozent. «Wie sich das Wachstum lokal in den einzelnen Märkten entwickeln wird, liegt auch in unserer eigenen Hand», sagte Gabor Jaimes.

Dies unterstrich René Buff, Präsident Arbeitsgruppe Cyber (SVV), Group Underwriting Helvetia, in der Podiumsdiskussion. Es gelte, den Kundinnen und Kunden das Angebot der Cyberversicherung näherzubringen und ihnen zu erklären, dass die Versicherung nicht nur eine finanzielle Abdeckung anbietet, sondern auch Serviceleistungen einschliesst. Daniel Tobler, Global Head Cyber Reinsurance Swiss Re, und Ursula Barnett, Sales Manager EMEA Moody’s (RMS), gingen auf die Schwierigkeiten in der Modellierung des hochdynamischen Cyberrisikos ein. Diese kommerziellen Modelle sind jedoch für eine funktionierende Wertschöpfungskette in der Branche von hoher Relevanz.

Etwas technischer ging der Anlass nach der Mittagspause weiter: Ernesto Hartmann, Chief Cyber Defence Officer der InfoGuard AG, brachte den Teilnehmenden die Sichtweise eines Incident Responder näher. Auch er hob hervor, dass KMU aktuell eine besonders gefährdete Zielgruppe seien. Da grosse Unternehmen in Sachen Cybersicherheit aufgerüstet haben, konzentrieren sich Cyberkriminelle nun vermehrt auf KMU. Er gab einen spannenden und gleichzeitig erschreckenden Einblick ins «Geschäftsmodell» von Cyberkriminellen und die Lieferketten, in denen diese professionell organisiert sind. 

In einem Referat zum Secure Swiss Health Network (SSHN) berichtete Urs Fischer, Leiter Business Development & Innovation Health Info Net (HIN), von der Suche nach dem «Next Level Internet», dem heiligen Gral der Cybersicherheit. Das SSHN, das auf der SCION-Technologie basiert, bringt den beteiligten Akteuren im Gesundheitswesen Vorteile wie Widerstandsfähigkeit, Ausfallsicherheit, Kontrolle, Vertrauen, Interoperabilität und Datenschutz. Fischer schloss seinen Vortrag mit einer Frage ans Publikum: Braucht die Versicherungswirtschaft künftig ein Swiss Secure Insurance Network?

In der Podiumsdiskussion zu diesen technologischen Aspekten gesellte sich die Stimme der Versicherungswirtschaft in der Person von Andreas Schmitt, Global Cyber Underwriting Manager Zurich Insurance Company, dazu, der seine Einschätzungen zu den Grenzen der Versicherbarkeit beisteuerte. 
 

Ein Blick über die Grenzen ermöglichte Tom Clementi, CEO Pool Re, der passend zum Anlass digital zugeschaltet wurde. Die Pool Re wurde in Grossbritannien gegründet mit dem Ziel, Terrorismusrisiken versicherbar zu machen. Sie gilt als Musterlösung für eine Public-private-Partnership mit dem Ziel, ein Risiko zu versichern, dass keine der Parteien allein managen kann. Die Pool Re existiert somit, um Marktversagen zu korrigieren. Dank diesem Engagement gelingt es, dass Versicherungsgesellschaften in Grossbritannien Terrorrisiken wieder in ihre Policen einschliessen können. 

Mit einer interaktiven Fragerunde, bei das Publikum einmal mehr die Möglichkeit erhielt, Fragen an die Referentinnen und Referenten auf der Bühne zu stellen, ging der erste «Cyber Insurance Summit» zu Ende. Aufgrund des Gewichts, welches das Thema aktuell in der Branche hat, dürfte es nicht der letzte gewesen sein.

Zu den Fotos