Wie schätzen Sie die aktuelle Marktsituation in Deutschland ein? Haben Firmen den Absicherungsbedarf erkannt — und wo gibt es noch Lücken?

Anzeige

Jörg Wälder: Schon heute haben wir in Deutschland Schäden durch Cybercrime von jährlich rund 65 Milliarden Euro, das sind immerhin rund 1,9 Prozent des Bruttoinlandsproduktes (BIP). Dem entgegen haben die Investitionen in entsprechende Risikominderungsmaßnahmen mit rund acht Milliarden Euro jährlich und in Versicherungslösungen mit bisher lediglich 0,1 Milliarden per annum noch deutliches Entwicklungspotential.

In dem Bereich der Risiko-Prävention scheint es schon eine gewisse Bereitschaft der Unternehmen zu geben, in die Sicherheit ihrer Systeme zu investieren. Dennoch: In der jüngst veröffentlichen 5. Auflage der Cybercrime Studie von KPMG (e-Crime in der deutschen Wirtschaft, 2019), gaben 33 Prozent der Unternehmen mit einem Jahresumsatz von 250 Millionen Euro bis drei Milliarden Euro an, jährlich lediglich zwischen 10.000 Euro und 50.000 Euro zur Bekämpfung von Cybercrime auszugeben. Das ist in Anbetracht der möglichen und heute bereits eintretenden Schäden bei Unternehmen dieser Größenordnungen eindeutig zu wenig, der nächste substanzielle Schaden ist fast schon nur noch eine Frage der Zeit.

Jörg Wälder, CEO der Cogitanda GroupWas sind die größten Kostentreiber, die Unternehmen bei Cyberschäden entstehen können? Können Sie Beispiele nennen?

Aus Sicht der Kunden sind die Folgen aus einem erfolgreichen Angriff mit Ransomware, das Thema Cyber-Betriebsunterbrechungen und insbesondere auch Datenschutzvorfälle regelmäßig wirtschaftlich kritisch. Eine Betriebsunterbrechung kann zum Beispiel zu durchaus substanziellen Schäden führen, wenn, wie bei Mondelez (Hersteller u.a. von Toblerone), im Zuge der Ransomware-Attacke notPetya Produktionsabläufe und Lieferketten für Wochen gestört werden.

Auch erleben wir zuletzt vermehrt den kombinierten Einsatz mehrerer Arten von Schadsoftware bei ein- und demselben Angriff. Software 1 spioniert das Zielobjekt in Ruhe aus, das kann über Wochen und Monate gehen. Ziel dieser Aktion ist es, den Wert des Unternehmens zu ermitteln, also was ist das Unternehmen bereit und in der Lage, im Erpressungsfall zu zahlen? Eher 5.000 oder 500.000 Euro? In der Praxis sind das dann natürlich 0,5 bzw. 50 Bitcoins. Software 2 löscht danach alle Backups, auch jene Backups, die bei einem externen Dienstleister liegen und vermeintlich sicher sind. Sie werden jetzt sagen, das geht doch gar nicht, genau deswegen liegen meine Backups ja in der Cloud. Glauben Sie uns, das geht. Software 1 hat nicht nur den „Wert des Unternehmens“ bestimmt, sie hat auch die Administratorenpasswörter im System gefunden und den Rest können sie sich vorstellen. Software Nr. 3 schließlich ist ein Erpressungstrojaner klassischen Zuschnitts, der das System des Unternehmens verschlüsselt und seine „Hilfe“ beim Entschlüsseln gegen eine angemessene „Gebühr“ anbietet, deren Höhe besagte Software 1 zu bestimmen geholfen hat.

Auf welcher Datenbasis beruhen denn die aktuellen Produkte?

Das Aktuariat setzt klassisch auf Vergangenheitswerte, die in der Sparte Cyber nicht in zufriedenstellendem Umfang zur Verfügung stehen. Wir mussten uns also etwas einfallen lassen. Zunächst haben wir die Kennziffern diverser US-Versicherer ausgewertet (zehntausende Datensätze aus einem Zeitraum von rund fünf Jahren). Der US-Cyber-Markt verfügt über deutlich mehr Prämie und ist auch sonst reifer, als jeder andere Markt in dem Bereich, den wir kennen. Diese Daten haben wir angereichert um entsprechenden Input aus anderen Märkten, insbesondere UK. Im letzten Schritt dann das, was Aktuare immer machen, wenn die Datengrundmenge nicht ausreicht - wir haben artfremde, aber für diese Übung geeignete Daten, hinzugezogen und qualifiziert.

Dieser Datenpool war die Grundlage für unsere ersten Berechnungen. Das war zu Beginn sicherlich mehr Kunst als Wissenschaft. Inzwischen ist unser Pricing-System aber hochentwickelt und dürfte die Granularität einer modernen Kfz-Versicherungs-Preismaschine haben. Seit wir mit unserem Angebot im Markt aktiv sind, speisen wir unsere zentrale Datenbank aus unserer laufenden Erfahrungen, insbesondere bei Schadenfällen, sowie aus externen Datenquellen. Product- und Pricing-Engine sowie das Schadensystem folgen einer einheitlich Datenstruktur, die nicht nur eine sinnvolle Erfassung von Daten ermöglicht, sondern auch jede nur vorstellbare Auswertung zulässt.

Anzeige

Während unser Ansatz im Kern quantitativ ist, haben wie natürlich auch diverse „qualitative Stellschrauben“ in unserer Pricing-Engine, die die Erfahrungen, das Know-How und die Einschätzungen unser Cyber-Security-Experten abbilden. Beispielsweise in Fällen, in denen neue Angriffsvektoren bekannt werden, die asymmetrische Auswirkungen auf verschiedene Wirtschaftszweige haben und dementsprechend nicht pauschal für alle Branchen gleich bepreist werden sollten.

Anzeige