Was zeichnet eine Versicherung aus Sicht der Kunden aus, mal abgesehen von den Beiträgen und den Policen? Diese Frage stand im Zentrum der Podiumsdiskussion auf der diesjährigen DKM. Thorsten Uhlig, CEO der Signal Iduna, brachte es in seinem Beitrag auf den Punkt: Versicherer managen und tragen das Risiko ihrer Kunden in einer unglaublich komplexen Welt.

Anzeige

Immer häufiger geht es dabei auch um Risiken in der virtuellen Welt. Diese aber betreffen nicht nur die Kunden, sondern auch die Versicherer selbst. Wie alle Unternehmen des Finanzwesens sind sie immer häufiger Ziel von Angriffen und unterliegen konsequenterweise mit DORA hohen Resilienzanforderungen.

Doch sind die Versicherer in der Lage, die eigenen Cyberrisiken ebenso gut zu managen, wie sie dies bei ihren Kunden einfordern? Diese Frage haben wir in der aktuellen Studie „Digitale Resilienz im Realitätscheck“ der PPI AG gestellt. Dafür haben wir über 100 Entscheider aus Banken und Versicherungen in Deutschland befragt.

Die Studie zeigt: Ebenso wie bei Banken gehören Cyberrisiken auch für die Entscheider von Versicherungen zu den Top-Herausforderungen bis 2030 – noch vor klassischen Finanzthemen wie Zinsrisiken und Regulatorik. Allerdings zeigt sich auch, dass der Reifegrad der Prävention und Erkennung von Cyberangriffen bei den Banken insgesamt höher ist als bei den Versicherungen. Das ist sicherlich nicht zuletzt dadurch bedingt, dass der Prüfungsschwerpunkt der Aufsicht bei diesen Themen in der Vergangenheit eher auf der Bankenwelt lag. Mit dem neuen, breiteren Fokus der Aufsicht ergibt sich nunmehr aber ein potenzielles Prüfungsrisiko auch für Versicherungen.

Das deckt sich mit den Erfahrungen, die unsere IKT-Experten bei Kundenprojekten machen. Genau wie ein weiteres Ergebnis der Studie: In vielen Versicherungshäusern fehlt die Einbindung von Cybersicherheitsaspekten in das übergeordnete IKT-Risikomanagement – obwohl die DORA-Verordnung genau diese Integration von Cyber-Risiken in ein untenehmensweites, risikobasiertes IKT-Framework fordert.

Denn Cyber Risk geht über ein reines IT-Thema hinaus: Cyber ist ein operationales, vernetztes Risiko. Ein Vorfall trifft Prozesse, Partner, Kunden und Reputation zugleich. Das heißt für Versicherer: Cyber muss dort ankommen, wo Entscheidungen getroffen werden – auf C-Level-Ebene.

Klare Zuständigkeiten sind hier die Voraussetzung – und die Aufsicht erwartet ebenfalls eine wirksame Steuerung durch das Leitungsorgan. Dies ist auch der Hebel, damit Budget, Prioritäten und Entscheidungswege sichtbar werden.
Nicht zu unterschätzen ist die Schulung aller Mitarbeitenden bezüglich Cyber-Fraud. Die Menschen sind nach wie vor das schwächste Glied der Fraud-Präventionskette. Laut PPI-Studie gibt jeder zweite Entscheider aus Versicherungen an, dass es Ihnen schwerfällt, bei den Mitarbeitenden ein ausreichendes Bewusstsein für Cyberrisken zu schaffen. Gleichzeitig steigen die Betrugsversuche, insbesondere im Social Engineering – auch das zeigt die PPI-Studie.

Klar ist: Die Zahl der Cyberangriffe wird weiterhin zunehmen, sowohl von kriminellen als auch staatlichen Akteuren. Digitale Resilienz wird damit zum strategischen Wettbewerbsfaktor und entscheidet darüber, ob Versicherer ihr Leistungsversprechen auch im Krisenfall einhalten können. Wer Governance, IKS und Automatisierung konsequent ausbaut, schützt nicht nur Daten und Prozesse, sondern auch das Vertrauen von Kunden und Aufsicht. Und wird damit seiner gesellschaftlichen Bedeutung als Risikomanager gerecht.