Finance IT


Bewertung einer Cyber-Versicherung

"Anders als bei Erdbeben"

Horst Ellermann ist Herausgeber des CIO-Magazins.
Maya Bundt leitet die Cybergruppe der Swiss Re. Der Rückversicherer versichert Anbieter, die gegen Cyber-Attacken versichern. Hier berichtet sie, was ihr bei der Risikobewertung wichtig ist – und warum eine Meldepflicht von Sicherheitsvorfällen hilfreich ist.
  • Sauberes Underwriting, gutes Risk Assessment und die abgedeckten Schäden sind entscheidend für eine gute Versicherung.
  • Die USA sind relativ weit und bilden den größten Markt für Cyber-Versicherungen.
  • Sobald eine Meldepflicht für Vorfälle besteht, wird viel stärker auf Risiken geachtet. Das hebt den Sicherheitsstandard.
  • In der Schweiz gibt es beispielsweise die Melde- und Analysestelle Informationssicherung "Melani"
Maya Bundt ist Leiterin Cyber & Digital Strategy beim Rückversicherer Swiss Re.
Maya Bundt ist Leiterin Cyber & Digital Strategy beim Rückversicherer Swiss Re.
Foto: Swiss Re

CIO.de: Wer versichert mich am besten gegen Cyber-Attacken?

Maya Bundt: Diese Frage macht mich gar nicht glücklich. Wo ich eine VersicherungVersicherung kaufe, sollte ich erst fragen, wenn ich weiß, wo meine Risiken liegen. Wenn ich meine Verletzbarkeit und Sicherheitslage kenne, kann ich genauer überlegen, ob ich einen Teil der Risiken an eine Versicherung abgeben möchte. Alles zu Finance IT auf CIO.de

CIO.de: Und wenn ich meine Sicherheitslage kenne?

Maya Bundt: Dann gucken Sie erst bei den Versicherern, bei denen sie sowieso schon Deckung kaufen. Wenn Sie dort nichts Passendes finden, beraten Broker, was am besten auf Ihre Sicherheitslage passt. Da es keine Standard-Angebote gibt, ist das nicht ganz trivial, sich bei den vielen Versicherern zurechtzufinden. Aber erst gucken: Was brauche ich? Sonst wird man von den vielen Angeboten erschlagen.

CIO.de: Was raten Sie einem CIO, wenn er einen Versicherer sucht?

Maya Bundt: Ich bin keine Juristin, aber da muss ich auch mal sagen: Kommt drauf an.

CIO.de: Worauf gucken Sie, wenn Sie einen Cyber-Versicherungsanbieter rückversichern?

Maya Bundt: Sauberes Underwriting. Gutes Risk Assessment. Und vor allem: Was wird genau gedeckt? Im Wochentakt kommen gerade neue Produkte auf den Markt. Der ganze Markt ist noch in der Entwicklung. Deckungsfragen sind zum Beispiel: Sind nur Attacken von außen gedeckt? Sind Insider-Attacken gedeckt? Sind Netzwerk-Unterbrüche gedeckt, die vielleicht so gar nichts mit SecuritySecurity zu tun haben, zum Beispiel durch einen Stromausfall hervorgerufen? Alles zu Security auf CIO.de

CIO.de: Das scheint alles schwer vergleichbar.

Maya Bundt: Als Rückversicherer versichern wir in erster Linie ganze Risikoportfolios. Da ist es uns wichtig, dass wir unsere Kunden gut kennen, wissen, wie sie die Risikobewertungen und das Underwriting machen, und dass sie die richtigen Leute an Bord haben, die dieses Geschäft verstehen.

CIO.de: Wie geht man denn ein Risiko Assessment am besten an?

Maya Bundt: Da gibt es verschiedene Methoden. Die reichen von Einschätzungen von außen über desk researches bis hin zu kleinen Audits. Da kommt es darauf an, wie groß und wie komplex die Firma ist, die eine Versicherung sucht, und wie groß das Versicherungsprogramm sein soll. Wichtig aus der Versicherungsperspektive ist, dass man genug Informationen bekommt, z.B. ISO Reports, PCI - ComplianceCompliance Reports, etc., um das Risiko adäquat beurteilen zu können. Alles zu Compliance auf CIO.de

CIO.de: Gibt es Länder, in denen Cyber-Versicherungen besonders verbreitet sind?

Maya Bundt: Die USA sind relativ weit und bilden den größten Markt. 2003 hat Kalifornien als erster Bundesstaat eine obligatorische Meldepflicht für data privacy breaches eingeführt, Mittlerweile haben 48 Bundesstaaten eine Meldepflicht. Seitdem sind die Unternehmen dort besonders bemüht, sich zumindest gegen einen Teil dieser Risiken zu versichern. Das hat den Markt natürlich belebt.

CIO.de: Kalifornien hat eine Meldepflicht, bei der ein Unternehmen an eine staatliche Stelle melden muss, wenn es angegriffen wurde. Halten Sie das für gut?

Maya Bundt: Sobald eine Pflicht besteht, wird viel mehr Augenmerk auf die Risiken gelegt. Ich glaube, das hilft den Standard zu heben. Als Rückversicherer bin ich natürlich besonders interessiert an umfänglichen Daten. Das muss nicht nur Schadenserfahrung sein. Das können auch "Near Misses" sein, wo fast etwas passiert wäre. Auch die sind für uns von Wert, um Cyber-Risiken besser zu verstehen.

CIO.de: Ich kann mir mehrere Gründe vorstellen, warum Firmen eine Meldepflicht scheuen. Sie könnten befürchten, dass dabei Informationen an Angreifer durchsickern, oder der Melder obendrein als unsicher gebrandmarkt wird.

Maya Bundt: Den potenziellen Reputationsschaden sehe ich natürlich. Ich frage mich deshalb auch, ob wir nicht mehr freiwillige Anreize schaffen sollten. In der Schweiz gibt es zum Beispiel die Melde- und Analysestelle Informationssicherung "Melani", Da geht es eher darum, ich helfe dir, du hilfst mir.

CIO.de: Sie sind auch Mitglied des Future Councils for the Digital Economy and Society des World Economic Forums (WEF). Was genau macht das Weltwirtschaftsforum in Sachen Sicherheit?

Maya Bundt: Ich war gerade in San Francisco an einem Workshop über die vierte industrielle Revolution. Da wurden auch Cybercrime und Cyberresilience besprochen. Das ist ein großes Thema in diesem Zusammenhang. Es ist aber nicht nur das WEF, das das Thema umtreibt. Auch die OECD kümmert sich um Security - vor allem in kleinen und mittleren Betrieben. Der GDV (Gesamtverband der deutschen Versicherer, Anm. d. Red.) hat im März gerade Musterbedingungen für eine Cyber-Police vorgestellt. An unheimlich vielen Stellen kocht das Thema gerade. Ich selbst spreche im Juni auf der neuen Sicherheitskonferenz Sekop am Tegernsee.

CIO.de: Gibt es Branchen, die sie für hoch risikobehaftet halten?

Maya Bundt: Branchen, die rot leuchten, sind Finanzinstitute, Healthcare und Energie - ganz viel aber auch öffentliche Einrichtungen. Das heißt aber nicht, dass man diese Risiken nicht decken kann. Die besser geschützten und vorbereiteten Organisationen in den Hochrisikobranchen können für einen Versicherer viel attraktiver sein als schlecht geschützte und schlecht vorbereitete Firmen in scheinbar weniger risikoreichen Branchen.

CIO.de: Es gibt also keine Branchen, die sie generell meiden?

Maya Bundt: Als Rückversicherer achten wir auf ein ausgewogenes und gut diversifziertes Portfolio, das nicht nur aus Hochrisiken besteht.

CIO.de: CIOs beklagen die immer ausgefeilteren Phishing-Attacken. Wie gehen Sie damit um?

Maya Bundt: Klar, Phishing ist eines der Haupteinfallstore. Aber ich bin kein CIO und kein CISO und schon lange nicht mehr in der IT. Da gibt es wirklich Leute, die Ihnen das besser beantworten können. Bei mir geht es um VersicherungenVersicherungen. Ich kümmere mich um die Versicherbarkeit der Risiken und deren Akkumulation, die ganz anders aussieht als bei Erdbeben oder Wirbelstürmen. Top-Firmen der Branche Versicherungen

Das Gespräch führte CIO-Herausgeber Horst Ellermann.

Maya Bundt spricht auf der Sekop 2017

Maya Bundt, Leiterin Cyber & Digital Strategy der Reinsurance Swiss Re, hält am 17. Juni am Tegernsee auf der neuen Sicherheitskonferenz "Sekop" den Eröffnungsvortrag. Ihr Thema lautet: "Cyberversicherungen: Ein Baustein für die CISO Agenda 2018", mehr zur Sekop auf www.finaki.de

Zur Person | Maya Bundt

Maya Bundt leitet die Cybergruppe in Swiss Re's Reinsurance Business Unit und ist dort für die Entwicklung und Implementierung der globalen Cyber-Strategie verantwortlich. Außerdem beschäftigt Sie sich mit technologischen Entwicklungen und dem Einfluss der zunehmenden Digitalisierung auf Risiken für Individuen, die Wirtschaft, und die Gesellschaft.

Andere Stationen in Mayas Swiss Re Karriere waren Positionen in der IT Division als Head Functional Management, und in der Strategieabteilung der Swiss Re Gruppe, wo sie als Chief of Staff für das Konzernleitungsmitglied Strategie tätig war. Bevor Maya zur Swiss Re stieß, war sie für die Boston Consulting Group in einer Vielzahl von Industrien im Einsatz.

Maya promovierte an der ETH Zürich im Bereich Umweltwissenschaften. Maya ist Mitglied des Future Councils for the Digital Economy and Society des World Economic Forums.

Zur Startseite