Cybercrime: Damoklesschwert über Makler – als Berater und als gefährdeter Unternehmer

Die besprochenen – für Versicherungsmakler essenziellen – Themen werden auch beim AssCompact Gewerbesymposium am 17. März in der Pyramide Wien/Vösendorf behandelt. Sichern Sie sich jetzt noch Ihre Teilnahme!

Hier geht’s zur Anmeldung und zum Programm des AssCompact Gewerbesymposiums …

Beim Roundtable (Fotorückblick am Ende des Artikels) startete die Diskussionsrunde nach der einleitenden Studienpräsentation von AssCompact Herausgeber Franz Waghubinger (AssCompact berichtete…) und einem Impulsvortrag von Dr. Edith Huber (AssCompact berichtete…). Moderator Dr. Helmut Tenschert eröffnete mit der Frage nach der aktuellen Bedrohungssituation für Unternehmer.

KMU wiegen sich in Sachen Cybercrime oft in falscher Sicherheit

Dr. Christoph Zauner von der Generali hielt fest, dass Großunternehmen risikobewusst sind und die Gefahren von Cyberkriminalität kennen. Die Bedrohung verschiebe sich aber jetzt auch immer mehr zu Kleinunternehmen, da hier die Gefahr nicht in dem Maße erkannt werde und diese durch geringere Absicherung ein leichteres Ziel seien.

Rechtsanwalt Mag. Philipp Summereder meinte aus seiner Erfahrung heraus, dass das System verschlüsselnde Ransomware-Attacken bei Unternehmen die gängigste Variante von Cybercrime sind. „Bei mittelständischen Unternehmen fordern die Erpresser nicht so hohe Summen – in der Regel geht es um 20.000 bis 40.000 Euro. Die werden dann vom Unternehmer auch lieber überwiesen, bevor er die IT neu aufstellen muss bzw. jemanden dafür engagiert“, so Summereder.

Mag. Natascha Jäger von COGITANDA bestätigte die Einschätzungen: „Wir hören aus den Gesprächen mit den Kunden sehr oft heraus, dass sie denken, für Cyberkriminelle zu ‚klein‘ zu sein. Kunden unterschätzen die Situation. Durch die Medienberichterstattung erhalten viele den Eindruck, dass es ohnehin nur große Unternehmen sind, bei denen sich eine Cyber-Attacke lohnt. Aber eigentlich sollte man denken, es trifft SOGAR die Großen, die eigentlich die Sicherheitsbudgets haben, um etwas dagegen zu tun.“

„Katastrophen-Risiko“ Cyber kein Thema, das man ans Jahresgespräch anhängen kann

Die Diskutanten waren sich einig, dass Cyber-Security kein Thema ist, das man an das Jahresgespräch anhängen kann. Das müsse separat stattfinden und nicht nebenbei. Für ein Gespräch zum Thema Cybersicherheit sollte man sich Zeit nehmen, mehrere Leute aus dem Unternehmen und auch deren IT-Spezialisten bzw. externe Dienstleister dazu einladen.

Mag. Joe Kaltschmid (INFINCO): „Vor allem bei Vorhandensein eines externen Dienstleisters ist es wichtig, diesen mit an Bord zu holen, denn dieser wird auch der Erste sein, der erfährt, wenn ein Angriff stattgefunden hat. Er muss informiert sein, wenn es eine Cyber-Versicherung gibt. So hat der Dienstleister die Möglichkeit, sich mit den IT-Experten der Versicherung kurzzuschließen.“ Der Cyber-Experte hielt fest, dass hier von einem regelrechten Katastrophen-Risiko die Rede ist. „Es ist wichtig, dass wir uns hier von der österreichischen Mentalität verabschieden, dass das Wichtigste eine geringe Versicherungssumme mit geringem Selbstbehalt ist. Wir benötigen in diesem Bereich ordentliche Versicherungssummen, also eine hohe Absicherung“, so Kaltschmid.

Versicherungsmakler sollen beraten, haben aber selbst zum Großteil keine Cyber-Absicherung

Im Zuge der Diskussion wurde schnell klar, dass das Thema und auch die Bedrohungsszenarien bei den Versicherungsmaklern erst ankommen müssen, bevor diese dann beim Kunden Cyberrisiken beraten können. Christian Haimburger von der DONAU Versicherung meinte dazu: „Um den Vermittlern die Scheu vor einer Cyberberatung zu nehmen, muss man ihnen Ausbildung anbieten und Informationen geben – was ist der Job des Vermittlers und wo endet dieser? Das fehlt bisher noch.“

Helmut Tenschert hob plakativ hervor: „Jeder Versicherungsmakler ist Unternehmer. Wir werden kaum einen Makler finden, der sein Auto nicht Kasko versichert, doch bei der Cyber-Absicherung sieht das anders aus. Wenn das Thema bei denjenigen, die darüber ihre Kunden beraten sollen, noch nicht angekommen ist, dann kann man keine große Erwartungshaltung haben. Es muss gelingen, Cyber-Versicherung bei den Vermittlern selbst zu verankern.“

Ins selbe Horn stieß Mag. Joe Kaltschmid: „Das kann ich zu 100% unterschreiben. Es ist problematisch, dass – nach meiner Einschätzung – nicht mehr als 10% aller Versicherungsmakler eine Cyber-Versicherung haben. Und das, obwohl Makler viele heikle Daten gespeichert haben.“

Die Frage, warum viele unabhängige Vermittler der Meinung sind, keine eigene Cyber-Versicherung zu benötigen, beantwortet der Experte von INFINCO wie folgt: „Vermittler denken oft, dass sie keine Cyber-Versicherung benötigen, weil sie ihre Daten ohnehin einem Verwalter übertragen haben. Der IT-Dienstleister sollte ja der Verantwortliche sein. Ich denke, dass es wichtig ist, dass sich das Verständnis des Maklers ändern muss. Man muss sich auch nicht überall zu 100% auskennen. Wenn es um Cyber geht, kann man einen Spezialisten hinzuziehen.“

Mag. Heike Welten von der Wiener Städtischen Versicherung denkt ebenfalls, dass Hemmschwellen erst abgebaut werden müssen. „Mittlerweile verkaufen aber bereits Maklerpartner und Außendienstmitarbeiter Cyber-Versicherungen. Bei einem neuen Produkt muss man sich einmal intensiv einlesen. Wenn danach der erste Vertrag abgeschlossen wurde, ist auch meistens diese Hemmschwelle überwunden."

Unabhängige Vermittler entsprechend „abholen“

„Wir von COGITANDA möchten aus Versicherungsberatern keine IT-Experten machen. Im Endeffekt geht es darum, dass wir den Makler als Risikomanager stärken. Bei einer Cyberversicherung steht die Assistance im Vordergrund – also rasche Hilfe“, so Mag. Natascha Jäger. Die Vermittler müssen so weit gestärkt werden, dass sie das Thema ansprechen können und auch als kompetent bei ihren Kunden wahrgenommen werden.

ÖVM-Präsident Ing. Alexander Punzl sprach von der Kernkompetenz der Versicherungsmakler und warnte, etwa EDV-Sicherheitschecks anhand einer Liste beim Kunden durchzuführen. „Wir sind keine EDV-Spezialisten. Wir sind der Versicherungsexperte, wir kennen das Versicherungsprodukt, aber ob die EDV gut oder schlecht aufgestellt ist, da muss der Kunde seine Experten fragen bzw. wir holen einen externen Experten dazu. Das kann ja auch ein Haftungsthema sein“, so Punzl. Er ergänzte, dass im KMU Bereich das eigentliche Problem sei, dass man hier Eigentümer-geführte Unternehmen hat. Diese Eigentümer wären oft noch der Meinung, dass eine Cyberversicherung nicht nötig ist, wenn man eine D&O Versicherung hat. "Ein Irrglaube!", so Punzl.

Thema IT-Sicherheit müssen alle Mitarbeiter eines Unternehmens mittragen

Mag. Philipp Summereder rät jedem Unternehmer, das Thema Cyber-Security nicht nur der IT-Abteilung umzuhängen: „Jeder einzelne Mitarbeiter muss sich mit Prävention auseinandersetzen. Denn es nützt der teuerste Server nichts, wenn das Passwort dazu auf einem Post-it notiert am Bildschirm klebt. Wichtig ist, dass man das ganze Unternehmen mitnimmt und alle Mitarbeiter ein Risikobewusstsein entwickeln. Es schaut so aus, als ob immer zuerst etwas passieren muss, damit man für das Thema offen ist. Aber davor wird es meistens so richtig teuer. Es ist gar nicht wichtig, dem Kunden Begrifflichkeiten näher zu bringen, sondern viel mehr das Risiko, dass man im Falle eines Angriffs mit einem tagelangen Ausfall rechnen muss.“

Dass ein engagierter IT-Dienstleister immer Sicherheit bietet, widerlegte Gregor Frühbeiss von der R+V Versicherung: „Bei einem unserer Kunden, der einen IT-Experten beschäftigte und meinte, gut betreut zu sein, stellte sich heraus, dass keine Sicherheitsupdates eingespielt wurden. Es lief auch noch ein altes Betriebssystem. So war der Geschäftsführer nicht ‚ready for insurance‘. Er hätte aber gerne eine Cyber-Versicherung, weil er das Risiko erkannt hat.“

Aufgeschnappt!

„Die Bedrohung verschiebt sich immer mehr zu Kleinunternehmen, da diese durch geringere Absicherung ein leichteres Ziel sind.“ (Dr. Christoph Zauner)

„Cyber ist kein Thema, das man an das Jahresgespräch anhängen kann!“ (Ing. Alexander Punzl)

„Bei einer Cyberversicherung steht die Assistance im Vordergrund – also rasche Hilfe!“ (Mag. Natascha Jäger)

„Dieses Thema ist beim kleinen Kunden längst angekommen. Denn hier hat ein Hacker oft einen relativ geringen Aufwand, und das ist letztlich auch das, was Cyberkriminelle wollen.“ (Mag. Joe Kaltschmid)

„Ich denke, dass kleine Unternehmen mit wenig Mitarbeitern, aber viel Umsatz überdurchschnittlich gefährdet sind. Dort gibt es aber zumeist keinen IT-Fachmann.“ (Mag. Heike Welten)

„Jeder Versicherungsmakler ist Unternehmer. Wir werden kaum einen Makler finden, der sein Auto nicht Kasko versichert, doch bei der Cyber-Absicherung sieht das anders aus.“ (Dr. Helmut Tenschert)

„Wenn Kunden mit eigenen Augen sehen, welcher Schaden durch einige einfache Klicks angerichtet werden kann, sehen sie das Thema mit anderen Augen.“ (Gregor Frühbeiss)

„Es ist gar nicht wichtig, dem Kunden die Begrifflichkeiten näher zu bringen, sondern viel mehr das Risiko, dass man im Falle eines Angriffs mit einem tagelangen Ausfall rechnen muss.“ (Mag. Philipp Summereder)

„Wenn unsere Maklerbetreuer eine Ausschreibung erhalten, sind sie angehalten, immer zumindest das Cyberbündel dazunehmen. Doch dieses wird vor Abschluss zu 90% rausgestrichen.“ (Christian Haimburger)

Die Teilnehmer des AssCompact Roundtables (einschlägige Experten und Partner des AssCompact Gewerbeversicherungssymposiums 2022):

Moderator Helmut Tenschert

• Dr. Christoph Zauner (Leiter Retail und Corporate; Generali Versicherung AG)
• Christian Haimburger (Kundenbedarfsmanager; DONAU Versicherung AG Vienna Insurance Group)
• Mag. Heike Welten (Leitung Specialty Lines Servicegruppe Firmengeschäft; WIENER STÄDTISCHE Versicherung AG Vienna Insurance Group)
• Mag. Joe Kaltschmid (Geschäftsführender Gesellschafter; Infinco GmbH & Co KG)
• Gregor Frühbeiss (Underwriting Technische Versicherung; R+V Allgemeine Versicherung AG)
• Ing. Alexander Punzl (Präsident; ÖVM Österreichischer Versicherungsmaklerring)
• Mag. Natascha Jäger (CEO Austria; COGITANDA Dataprotect AG)
• Mag. Philipp Summereder (Rechtsanwalt; Summereder Pichler Wächter Rechtsanwälte GmbH)

Foto oben: Die Teilnehmer des AssCompact Roundtables „Risiko Cybercrime“