LinkedIn DAS INVESTMENT
Suche
Aktualisiert am in InterviewsLesedauer: 10 Minuten

Interview mit Nikolaus Stapels „Mitarbeiter sind bei Cyber-Gefahren die stärkste Verteidigungslinie“

Nikolaus Staples
Nikolaus Stapels bei der Komposit-Messe des Maklerpools Aruna Anfang Mai in Berlin. Nach seinem Vortrag sprach er mit DAS INVESTMENT. | Foto: Jörg Zinke

DAS INVESTMENT: Herr Stapels, wie sind Sie Cyber-Experte geworden?

Nikolaus Stapels:
Wir sind ein Zusammenschluss von mehreren Leuten, die sich für das Thema Cyber-Sicherheit und IT-Sicherheit interessieren. Die Gruppe entstand in den 90er-Jahren. Wir haben angefangen in dem Bereich zu experimentieren, uns seitdem stetig weiterentwickelt und treffen uns auch heute noch regelmäßig. So entwickelte sich aus einem Hobby schließlich ein Beruf. Dabei ist es wichtig, zwischen Hackern und Crackern zu unterscheiden. Hacker, im positiven Sinne, sind jene, die aktiv Sicherheitslücken aufspüren, um Unternehmen auf potenzielle Cyber-Gefahren hinzuweisen und ihnen zu ermöglichen, diese zu schließen. Dies ist auch ein Teil meiner Arbeit, insbesondere wenn ich Vorträge halte. Wir führen sogenannte Ethical Hacking-Aktivitäten durch, bei denen wir nach dem Zufallsprinzip Firmen untersuchen, die uns nicht bekannt sind. Das darf man in Deutschland unter bestimmten Voraussetzungen. Nach solch einer Untersuchung kontaktieren wir das betroffene Unternehmen, um auf die entdeckte Sicherheitslücke hinzuweisen und bitten darum, diese zu schließen – und das unentgeltlich. Unser Ziel ist es lediglich, auf das Sicherheitsrisiko aufmerksam zu machen. Wir würden dabei ein Unternehmen nicht öffentlich an den Pranger stellen.

Und womit verdienen Sie Geld im Cyber-Geschäft?

Stapels: Wir machen die Schadenbearbeitung von derzeit ungefähr 50.000 Unternehmen hierzulande, die eine Cyber-Versicherung haben. Wir sind Partner für öffentliche Versicherer, Sparkassen und Raiffeisenbanken in Deutschland. Unser Ansatz zielt darauf ab, nicht nur reaktiv, sondern auch präventiv zu agieren. Unternehmen wenden sich an uns, damit wir prüfen, ob man in ihre Systeme eindringen kann. Deshalb führen wir präventive Pen-Testings und Sicherheitsanalysen durch.

Die Abdeckung im Markt mit Cyber-Versicherungen ist aber weiterhin unzureichend, oder?

Stapels:
Es gibt es eine Vielzahl an Statistiken. Die Zahlen schwanken zwischen 8 und 25 Prozent, manche sagen, dass sogar 50 Prozent der Unternehmen eine Cyberversicherung haben. Was jedoch besonders interessant ist: Wenn man das Thema mit einem Makler bespricht oder einen Versicherer zu seinem Portfolio befragt, wie viel Cyberversicherungen er bei seinen Gewerbekunden im Bestand hat, dann kommt meistens unter 10 Prozent dabei raus. Während große Unternehmen teilweise keine Cyber-Versicherung mehr bekommen, obwohl sie wollen, sehen die kleineren Unternehmen manchmal den Bedarf noch nicht. Oft sind die Geschäftsführer selber noch das Problem. Sie können sich nicht vorstellen, dass sie Opfer eines Hackerangriffs werden und was dann genau passiert. Aktuell beschäftigen viele Unternehmen vor allem rechtliche Themen, der Fachkräftemangel oder die Energiekosten. Cyber ist dann ein Thema, was eher beiläufig betrachtet wird, so sinngemäß: IT kostet Geld, aber bringt mir nichts, was natürlich falsch ist.
 

Warum sind die Gesellschaften produktseitig so zurückhaltend. Ist es ein Problem, wie immer öfters verlautbart wird, dass mit der Sparte kein Geld verdient wird?

Stapels:
Das gilt nicht für alle. Ich kenne auch Versicherer, die damit gute Gewinne machen, die beim Einkauf konservativ waren. Ansonsten sind die Gründe für diese Entwicklung vielfältig, angefangen bei Kapazitätsproblemen und Fachkräftemangel. Möglicherweise ist auch der Risikoappetit bei einigen Marktteilnehmern gesunken. Es gibt Versicherungsgesellschaften, die unter günstigen Konditionen am Markt alles eingekauft haben, was da war. Nun treten vermehrt Schäden auf, was wir bei einem Vergleich mit dem Vorjahresmonat deutlich erkennen können. Es gibt bei unserer Schadenbearbeitung eine Steigerung um 50 Prozent. Teilweise wurden Großrisiken eingekauft und sich wenig Gedanken darüber gemacht, sprich die Sicherheit wurde nicht abgefragt. Das führt dazu, dass diese Unternehmen jetzt vorsichtiger agieren müssen.

Hallo, Herr Kaiser!

Das ist schon ein paar Tage her. Mit unserem Newsletter „DAS INVESTMENT Versicherungen“ bleiben Sie auf dem neuesten Stand! Zweimal die Woche versorgen wir Sie mit News, Personalien und Trends aus der Assekuranz. Kostenlos und direkt in Ihr Postfach.

 

Kundenseitig werden aber Prämienhöhen und fehlende Zeichnungskapazitäten beklagt. Ist das berechtigt?

Stapels:
Bei kleinen Unternehmen geht es noch, bei Großunternehmen wird es zunehmend schwieriger. Das fängt schon bei den Versicherungssummen an. Eine Deckung von über fünf Millionen Euro zu erhalten, ist heutzutage eine Herausforderung. Oftmals müssen wir für die Unternehmen regelrechte Bewerbungen bei den Versicherern einreichen. In einem Fall bestand die Bewerbung aus einer Komplettanalyse des Unternehmens mit einer Auswertung von 28 Seiten. Das Bewerbungsschreiben musste von der Geschäftsleitung unterschrieben und an den Makler weitergereicht werden, damit dieser überhaupt zum Versicherer gehen konnte. Es hilft den Anbietern nachzuvollziehen, wie die Unternehmen aufgestellt sind, wenn die sagen, welche Summen sie haben wollen, wofür sie diese benötigen und worauf sie verzichten können. Wir haben die Erfahrung gemacht, dass zumindest einige Versicherer offener sind, wenn man ihnen aktiv begegnet.  

Täuscht der Eindruck, dass die Sparte nur noch wenig Innovationspotenzial hat?

Stapels:
Die Produktsparte ist immer noch relativ neu, es fehlen teilweise die Ressourcen und für viele Anbieter ist es im Vergleich vom Umsatz und der Schadensummer her ein kleines Feld, sodass Änderungen auch länger brauchen. Die Ideen sind da, nur die Umsetzung dauert. Zurzeit wird beispielsweise übergreifend von vielen Versicherern ein „Cyber-Risk-Rating“ entwickelt. Da wird von außen einmal geguckt, wie die IT-Infrastruktur von Unternehmen aussieht und es wird die Webseite getestet. Diese externen Prüfungen sollen ab dem nächsten Jahr über einen Zusammenschluss mehrerer Versicherer erweitert werden, indem nun auch die interne IT-Infrastruktur gescannt und eine technisch organisatorische Abfrage nach DIN27076 durchgeführt wird. Zudem wird auch eine Kumulschaden-Prävention durch KI implementiert. Versicherer bemühen sich derzeit, Risiken zu minimieren und mehr einzukaufen. Produkte wie „Ransomware-Reaction“ werden jetzt zum Beispiel bei der Provinzial oder der Öffentlichen Versicherung Braunschweig eingeführt. Wer dort Cyber-Versicherungen abschließt, kann eine Schutzsoftware gegen Ransomware bekommen. Es geht also darum, Lösungen anzubieten, die Schäden begrenzen, und das nicht nur mittels traditioneller Fragebögen und Awareness, wie wir es kennen, sondern auch durch Softwarelösungen.

Die Produktgeber betonen bei Cyber-Gefahren selbst stark den Präventionsgedanken und weniger den Leistungsfall. Was ist davon zu halten?

Stapels:
Es ist auf jeden Fall der richtige Weg, dass man nicht nur ein Produkt anbietet. Zusatzleistungen kennt man auch aus der Betriebshaftpflichtversicherung oder der gewerblichen Kfz-Versicherung. Wenn neue Mitarbeiter zum Beispiel einen Firmenwagen bekommen, prüft der Arbeitgeber den Führerschein. Aber niemand muss seinen Cyber-Führerschein zeigen. Es ist in Verbindung mit einer Cyber-Versicherung sinnvoll, die Mitarbeiter zu schulen und zu sensibilisieren. Dafür gibt es viele Formate am Markt. Viele Cyberschäden entstehen, weil Mitarbeiter allzu sorglos sind und auf irgendetwas klicken, von dem sie denken, dass nichts weiter passiert. Aber obwohl Mitarbeiter oft als großes Sicherheitsrisiko gesehen werden, stellen sie auch die stärkste Verteidigungslinie dar. Durch gezielte Schulungen und Sensibilisierungsmaßnahmen können sie effektiv in die Cyber-Abwehr eingebunden werden. Darüber hinaus überlegen die Versicherer immer mehr, welche Softwarelösungen sie Kunden neben Awareness-Schulungen und Kampagnen an die Hand geben können, um die Schäden zu reduzieren und mehr Risiken zeichnen zu können. 

Tipps der Redaktion