Spezialrisiko Cyber und damit verbundene „Haftungsfalle“ für Berater:innen – Teil 2

Cyberkriminelle wählen ihre Opfer aber meist danach aus, dass sie mit geringem Aufwand eindringen können. Die Professionalität im Bereich Cybercrime schreitet voran und erreicht, auch durch KI, immer neue Höhepunkte. Für Organisationen aller Größen ist es daher höchste Zeit, in ihre Sicherheit zu investieren, was wiederum im Beratungsprozess für die Versicherungslösung aufgegriffen werden müsste, denn im Sinne einer holistischen Kundenberatung mit einer „angemessenen Risikoanalyse“ ist es unumgänglich, Cyber-Risiken genau zu betrachten.

Anforderungen an Versicherungsmakler

Die beruflichen Anforderungen für Versicherungsmakler:innen nehmen damit massiv zu, denn eine wesentliche Grundvoraussetzung, um überhaupt Versicherungsprodukte vermitteln zu dürfen, ist neben den regelmäßigen Weiterbildungen auch über angemessene Kenntnisse zu verfügen, die mit der Tätigkeit einhergehen. (siehe Art. 10 RL (EU) 2016/97 „Berufliche und organisatorische Anforderungen“ und Anhang I „Mindestanfoderungen an berufliche Kenntnisse und Fähigkeiten“)

In den Zweigen der Nichtlebensversicherung muss man zumindest den Kundenbedarf für das Deckungskonzept erheben können. Das gilt damit auch für die Cyber-Versicherung. Fällt das Thema unter den Tisch oder wird gar als unwichtig abgetan, ergeben sich massive Haftungspotenziale für die Beraterin und den Berater.

Das Wissen, welches Versicherungsunternehmen welchen Deckungsumfang anbietet und welche rechtlichen Rahmenbedingungen für die jeweiligen Kund:innen relevant sind, ist essentiell für ein solides Konzept.

Um umfassend beraten zu können, und damit §28 Zi.1 MaklerG zu entsprechen, ist ein Mindestmaß an Know-how rund um die Cyber-Thematik unumgänglich, da sonst kaum im Interesse der Kund:innen gehandelt werden kann.

„Die Versicherungswirtschaft entwickelt sich laufend und insbesondere bei Themenfeldern wie der Cyber-Versicherung lohnt es sich, vorausschauend zu agieren und Kompetenz aufzubauen.“

Vertriebspotenzial der Cyber-Versicherung

Gerade, wenn man sich frisch mit einem Thema auseinandersetzt, kann ein offener Austausch mit unabhängigen Partner:innen gute initiale Impulse setzen und durch den Zugriff auf Expert:innenwissen weitet sich die eigene Sichtweise aus.

Die Cyber-Versicherung bietet aktuell noch ein enormes Vertriebspotenzial, da sie eben noch kaum und wenn, dann sehr zurückhaltend, angesprochen wird. Es muss aber kein neuer Bildungsweg als IT-Profi eingeschlagen werden.

Für den Anfang ist ein sich auseinandersetzen mit dem Thema ein guter Anfang, um es in der Beratung ansprechen zu können. Unterstützung bieten auch die jeweiligen Versicherungsanbieter und Internetrecherchen. Gerade für die Erklärung von IT-Fachbegriffen gibt es im Internet unterschiedliche Informationsquellen, wie bspw. www.cyberwiki.at mit einfachen Erklärungen für Cyber-relevante Begriffe. Es handelt sich dabei um eine Themenseite des VersicherungsWiki, die mit Unterstützung der Cogitanda laufend mit Informationen und neuen Begriffen gefüttert wird. Damit stehen einfache Erklärungen für Begriffe wie Ransomware, CEO-Fraud, Port, Databreach, Penetration-Test udgl. für alle leicht zugänglich zur Verfügung.

Neben dem „Was“, also fachlichen Inhalten, ist eine durchdachte Strategie gefragt, da sich das grundlegende Tätigkeitsfeld in der Versicherungsvermittlung in den vergangenen Jahren kaum verändert hat. Der Fokus liegt nach wie vor auf dem Verkauf von Versicherungsprodukten auf Basis einer Erhebung, die aber häufig ausschließlich klassische Risiken berücksichtigt.Risikomanagement ist in der Geschäftswelt ein zentrales Element der Unternehmensführung. Dieser Zugang lässt sich für die Thematik Cyber und die damit verbundene Risikoanalyse nutzen.

Ein Punkt, der hierbei aber ein wenig Ernüchterung bringt, ist das verfügbare Angebot an Versicherungsprodukten, die Grenzen der Leistungsumfänge und die Anforderungen an die technischen und organisatorischen Sicherungsmaßnahmen, die es einzuhalten gilt.

Umso wichtiger ist es, klar darstellen zu können, wie Cyber-Risiken in herkömmlichen Versicherungspolizzen abgedeckt werden und ab wann eine spezielle Cyber-Versicherung erforderlich ist.

Abhilfe kann eine auf Cyber-Risiken angepasste Risikomanagement-Struktur schaffen, welche die Grenzen der Versicherungslösungen berücksichtigt und mit geeigneten Maßnahmen Deckungslücken abschwächt. Ergänzend zu den Fragebögen der Versicherungsgesellschaften, die im Zuge der Antragserrichtung zur Anwendung kommen, kann so eine genauere und umfassendere Darstellung der Abweichungen zwischen SOLL- und IST-Situation nach den individuellen Unternehmens-Charakteristika erfolgen. Diese Vorgehensweise schafft zudem Sensibilisierung für das Thema bei Kund:innen.

Je nach Größe und Komplexität des zu analysierenden Betriebs lohnt es sich erfahrene Expert:innen hinzuzuziehen. Beispielsweise berücksichtigt das bei Risk Experts entwickelte Cyber-Risk Engineering eigene Bewertungskriterien mit rund 150 Risiko-Aspekten für die umfassende Bewertung der individuellen Situation des analysierten Unternehmens.

Die Herangehensweise ähnelt dabei jener, die auch im „traditionellen“ Risk Engineering angewandt wird. Durch Begehungen vor Ort, Datenerhebungen und Analyse-Gespräche mit Geschäftsführung und IT-Verantwortlichen, wird die aktuelle Situation sichtbar gemacht, bewertet und anschließend mit geeigneten Maßnahmen hinterlegt, welche eventuelle Schwächen verbessern sollen.

Das macht für Unternehmen aller Größen Sinn, wird aber von kleineren Unternehmen aufgrund des Umfangs nicht immer von Beginn an in Betracht gezogen. Alternativ kann für kleine Unternehmen ein eigener Fragenkatalog für die Analyse erarbeitet werden, der zur Anwendung kommt und die allgemein gehaltenen Fragebögen der Versicherer ergänzt.

Anders als bei einer Checkliste, empfiehlt sich die Dokumentation als Freitext zu schreiben. So werden die Eindrücke genauer festgehalten und die Antwortmöglichkeiten auf die gestellten Fragen werden, anders als bei Ja/Nein-Fragen, offen und tendenziell ehrlicher beantwortet.

Mit einer solchen Wissensbasis lassen sich die weitere Vorgehensweise und Notfallpläne gestalten.

Kundenbindungsinstrument: Cyber-Notfallplan

Ein wesentliches Standbein für die „gesunde“ IT-Landschaft eines Unternehmens ist der verschriftlichte Notfallplan. Dieser hält fest, wie auf Sicherheitsvorfälle und Cyberangriffe reagiert werden soll. Schadenfolgen können dadurch minimiert bzw. im besten Fall sogar verhindert werden. Zudem wird die Wiederherstellung beschleunigt und die Erfüllung von rechtlichen sowie regulatorischen Anforderungen gewährleistet.

Hexenwerk ist ein Cyber-Notfallplan keines. Der Nutzen als modernes Beratungsinstrument steht im Vordergrund. Es handelt sich um ein lebendiges Dokument, das regelmäßig überprüft und angepasst werden soll, um mit den sich entwickelnden Cyber-Bedrohungen und Geschäftsanforderungen Schritt zu halten. Somit für Beratende ein Garant für regelmäßige Touchpoints mit Geschäftskund:innen.

Die Cyber-Versicherung ist bereits bei manchen Vermittler:innen fixer Bestandteil im Beratungsgespräch; und das nicht nur im Großkundensegment. Dieses Thema bietet erfahrungsgemäß viele Möglichkeiten Brücken zu anderen Themenfeldern zu schlagen, um Kund:innen noch umfänglicher betreuen zu können.

Hier geht's zum ersten Teil des Beitrages ...

Den gesamten Beitrag lesen Sie in der AssCompact Oktober-Ausgabe!