Wie in unserem letzten Beitrag zum Thema Cyber angekündigt, beschäftigen wir uns heute mit den Fragebögen, die üblicherweise zur Einschätzung von Cyberrisiken verwendet werden.

Viele Versicherungsunternehmen können bei der Zeichnung einer Cyber-Police insbesondere für KMUs nur mit Hilfe der Fragebögen eine Risikoeinschätzung ermitteln. Darum haben wir die Fragebögen der größten deutschen Cyberversicherer auf Strukturen, Gemeinsamkeiten und Unterschiede analysiert.

Der Fragebogen zur Cyber-Police hat für das Versicherungsunternehmen das Ziel, sowohl das maximale Risiko als auch die Eintrittswahrscheinlichkeit eines Versicherungsfalls einzuschätzen zu können. Daneben werden meist noch Fragen zum Unternehmen und zum angestrebten Versicherungsschutz gestellt. Der Versicherer befindet sich hier in einer Zwickmühle: zum einen ist er an möglichst vielen Informationen zur Verbesserung der Risikoeinschätzung interessiert, zum anderen darf der Fragebogen für den Versicherungsnehmer nicht zu unübersichtlich werden. In der Praxis beinhalten die Fragebögen meist ungefähr 100 Fragen.

Die Höhe des gezeichneten Risikos steht im Vordergrund und wird mit einer großen Anzahl an Fragen bedacht. Zur Einschätzung werden hier insbesondere die vom Versicherungsnehmer verwalteten Daten abgefragt. Personenbezogene Daten wie Kreditkartendaten und medizinische Daten der Kunden des VN erhöhen das zu zeichnende Risiko erheblich und werden meist gesondert betrachtet. Weitere wesentliche Faktoren sind die Anzahl der Anwender, die Größe der IT-Infrastruktur und deren Aufbau. Auch das Outsourcing von IT-Dienstleistungen wird häufig betrachtet, da ein komplexeres Risikomanagement und eine mögliche Kumulbildung das Risiko negativ beeinflussen.

Die Einschätzung der Eintrittswahrscheinlichkeit eines Versicherungsfalls wird in den Fragebögen meist nur nachrangig betrachtet. Dies ist auch nicht verwunderlich, denn im Vergleich zur Risikohöhe sind diese Daten wesentlich schwieriger in einem Fragebogen zu erfassen. Wirkungsvolle Hilfsmittel bei der Einschätzung sind meist sehr kostspielig: neben IT-Audits bietet eine Zertifizierung nach ISO 27001 eine Möglichkeit zur Einschätzung der Risikosituation des Versicherungsnehmers. Beide Varianten rechnen sich im Falle von KMUs meist jedoch weder für das VU noch den VN. In den Fragebögen wird deshalb der Fokus auf die verschiedenen Sicherheits- und Notfallprozesse sowie die angewandten Sicherheitsmaßnahmen gelegt. Die Einschätzung erfolgt aus dem Eigenbild des Versicherungsnehmers.

Aus unserer Sicht stellen die Fragebögen zur Risikoeinschätzung bei KMUs ein grundsätzlich wirksames Mittel dar. Mit zunehmender Unternehmensgröße ist ein VU mit einem Fragebogen alleine jedoch nicht mehr in der Lage, eine adäquate Risikobewertung vorzunehmen. Dies deckt sich mit der im Zuge der GDV Cyber Security Konferenz dargestellten Musterbedingungen für das Zeichnen einer Cyber-Police. Diese Musterbedingungen zielen auf Unternehmen mit einer Mitarbeiterzahl von maximal 250 Mitarbeitern und einem Jahresumsatz von bis zu 50 Mio. € ab. Die Anzahl der Fragen orientiert sich am Umsatz der Unternehmen.

5-10 Fragen werden bei Unternehmen mit bis zu 2 Mio. € Umsatz angewandt, 25 Fragen bei Unternehmen mit 2-5 Mio. € Umsatz und bis zu 50 Fragen bei Unternehmen mit einem Umsatz von bis zu 10 Mio. €. Bei Unternehmen mit einem Umsatz von 10 – 50 Mio. € wird ein individuelles Underwriting empfohlen. Für einen Quickcheck bietet der VDS einen Fragebogen mit 39 Fragen an, der kostenlos durchgeführt werden kann. Es wird jedoch betont, dass die Ergebnisse der Fragebögen nach unten relativiert werden müssen, da die Beantwortung der Fragen auf Selbstauskunft der Unternehmen basiert.

Die Einschätzung der Systeme, Daten und Risikoprozesse des VN durch Fragebögen ist auch für größere Unternehmen ein relevantes Instrument. Die Sicherheitseinschätzung aus einer Außenperspektive erweitert den Informationsgehalt auf die Risikosituation und wird mit zunehmender Risikohöhe umso wichtiger. Bei großen Unternehmen kann der Fragebogen daher durch die Abfrage von Zertifikaten und der Durchführung eines IT-Audits ergänzt werden. Durch die hohen Kosten dieser Maßnahmen entsteht jedoch eine Lücke für kleine und mittelgroße Unternehmen, für die der Fragebogen nicht mehr angemessen ist, das Audit oder eine Zertifizierung jedoch noch zu teuer ist. Die Themengebiete adäquate Risikobewertung und zur Nachfrage passende Deckungskonzepte werden für das Wachstum und die Weiterentwicklung des Cyber-Versicherungsmarktes eine entscheidende Rolle spielen. Wir sind gespannt, welche Lösungen hier entwickelt werden.

Viele Grüße
Jonas Schwade und Felix Fiedler

Jonas Schwade ist Diplom-Kaufmann und arbeitet bei PPI als Consultant im Bereich Versicherungen. Seine Schwerpunkte liegen im Bereich der Kommunalversicherungen sowie in allen gesundheitlich relevanten Fragen rund um das Thema Versicherung.

Felix Fiedler wird diesen Blog ab sofort und regelmäßg mit Beiträgen rund um das Thema “Cyber” versorgen. Er ist Stammautor unseres Blogs und zeigt die Kehrseite und die Schwachstellen zunehmender Digitalisierung auf.

#Versicherungen #Cyber #Cyberrisiken #Cyberkriminalität#Fragebogen #Audits

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

  +  8  =  11

Verwandte Artikel