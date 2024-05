DAS INVESTMENT: Herr Stapels, wie sind Sie Cyber-Experte geworden?



Nikolaus Stapels: Wir sind ein Zusammenschluss von mehreren Leuten, die sich für das Thema Cybersicherheit und IT-Sicherheit interessieren. Die Gruppe entstand in den 90er-Jahren. Wir haben angefangen in dem Bereich zu experimentieren, uns seitdem stetig weiterentwickelt und treffen uns auch heute noch regelmäßig. So entwickelte sich aus einem Hobby schließlich ein Beruf. Dabei ist es wichtig, zwischen Hackern und Crackern zu unterscheiden. Hacker, im positiven Sinne, sind jene, die aktiv Sicherheitslücken aufspüren, um Unternehmen auf potenzielle Cybergefahren hinzuweisen und ihnen zu ermöglichen, diese zu schließen. Dies ist auch ein Teil meiner Arbeit, insbesondere wenn ich Vorträge halte. Wir führen sogenannte Ethical Hacking-Aktivitäten durch, bei denen wir nach dem Zufallsprinzip Firmen untersuchen, die uns nicht bekannt sind. Das darf man in Deutschland unter bestimmten Voraussetzungen. Nach solch einer Untersuchung kontaktieren wir das betroffene Unternehmen, um auf die entdeckte Sicherheitslücke hinzuweisen und bitten darum, diese zu schließen – und das unentgeltlich. Unser Ziel ist es lediglich, auf das Sicherheitsrisiko aufmerksam zu machen. Wir würden dabei ein Unternehmen nicht öffentlich an den Pranger stellen.

Und womit verdienen Sie Geld im Cyber-Geschäft?



Stapels: Wir machen die Schadenbearbeitung von derzeit ungefähr 50.000 Unternehmen hierzulande, die eine Cyberversicherung haben. Wir sind Partner für öffentliche Versicherer, Sparkassen und Raiffeisenbanken in Deutschland. Unser Ansatz zielt darauf ab, nicht nur reaktiv, sondern auch präventiv zu agieren. Unternehmen wenden sich an uns, damit wir prüfen, ob man in ihre Systeme eindringen kann. Deshalb führen wir präventive Pen-Testings und Sicherheitsanalysen durch.

Die Abdeckung im Markt mit Cyberversicherungen ist aber weiterhin unzureichend, oder?



Stapels: Es gibt es eine Vielzahl an Statistiken. Die Zahlen schwanken zwischen 8 und 25 Prozent, manche sagen, dass sogar 50 Prozent der Unternehmen eine Cyberversicherung haben. Was jedoch besonders interessant ist: Wenn man das Thema mit einem Makler bespricht oder einen Versicherer zu seinem Portfolio befragt, wie viel Cyberversicherungen er bei seinen Gewerbekunden im Bestand hat, dann kommt meistens unter 10 Prozent dabei raus. Während große Unternehmen teilweise keine Cyberversicherung mehr bekommen, obwohl sie wollen, sehen die kleineren Unternehmen manchmal den Bedarf noch nicht. Oft sind die Geschäftsführer selber noch das Problem. Sie können sich nicht vorstellen, dass sie Opfer eines Hackerangriffs werden und was dann genau passiert. Aktuell beschäftigen viele Unternehmen vor allem rechtliche Themen, der Fachkräftemangel oder die Energiekosten. Cyber ist dann ein Thema, was eher beiläufig betrachtet wird, so sinngemäß: IT kostet Geld, aber bringt mir nichts, was natürlich falsch ist.

Warum sind die Gesellschaften produktseitig so zurückhaltend. Ist es ein Problem, wie immer öfters verlautbart wird, dass mit der Sparte kein Geld verdient wird?



Stapels: Das gilt nicht für alle. Ich kenne auch Versicherer, die damit gute Gewinne machen, die beim Einkauf konservativ waren. Ansonsten sind die Gründe für diese Entwicklung vielfältig, angefangen bei Kapazitätsproblemen und Fachkräftemangel. Möglicherweise ist auch der Risikoappetit bei einigen Marktteilnehmern gesunken. Es gibt Versicherungsgesellschaften, die unter günstigen Konditionen am Markt alles eingekauft haben, was da war. Nun treten vermehrt Schäden auf, was wir bei einem Vergleich mit dem Vorjahresmonat deutlich erkennen können. Es gibt bei unserer Schadenbearbeitung eine Steigerung um 50 Prozent. Teilweise wurden Großrisiken eingekauft und sich wenig Gedanken darüber gemacht, sprich die Sicherheit wurde nicht abgefragt. Das führt dazu, dass diese Unternehmen jetzt vorsichtiger agieren müssen.

Kundenseitig werden aber Prämienhöhen und fehlende Zeichnungskapazitäten beklagt. Ist das berechtigt?



Stapels: Bei kleinen Unternehmen geht es noch, bei Großunternehmen wird es zunehmend schwieriger. Das fängt schon bei den Versicherungssummen an. Eine Deckung von über fünf Millionen Euro zu erhalten, ist heutzutage eine Herausforderung. Oftmals müssen wir für die Unternehmen regelrechte Bewerbungen bei den Versicherern einreichen. In einem Fall bestand die Bewerbung aus einer Komplettanalyse des Unternehmens mit einer Auswertung von 28 Seiten. Das Bewerbungsschreiben musste von der Geschäftsleitung unterschrieben und an den Makler weitergereicht werden, damit dieser überhaupt zum Versicherer gehen konnte. Es hilft den Anbietern nachzuvollziehen, wie die Unternehmen aufgestellt sind, wenn die sagen, welche Summen sie haben wollen, wofür sie diese benötigen und worauf sie verzichten können. Wir haben die Erfahrung gemacht, dass zumindest einige Versicherer offener sind, wenn man ihnen aktiv begegnet.

Täuscht der Eindruck, dass die Sparte nur noch wenig Innovationspotenzial hat?



Stapels: Die Produktsparte ist immer noch relativ neu, es fehlen teilweise die Ressourcen und für viele Anbieter ist es im Vergleich vom Umsatz und der Schadensummer her ein kleines Feld, sodass Änderungen auch länger brauchen. Die Ideen sind da, nur die Umsetzung dauert. Zurzeit wird beispielsweise übergreifend von vielen Versicherern ein „Cyber-Risk-Rating“ entwickelt. Da wird von außen einmal geguckt, wie die IT-Infrastruktur von Unternehmen aussieht und es wird die Webseite getestet. Diese externen Prüfungen sollen ab dem nächsten Jahr über einen Zusammenschluss mehrerer Versicherer erweitert werden, indem nun auch die interne IT-Infrastruktur gescannt und eine technisch organisatorische Abfrage nach DIN27076 durchgeführt wird. Zudem wird auch eine Kumulschaden-Prävention durch KI implementiert. Versicherer bemühen sich derzeit, Risiken zu minimieren und mehr einzukaufen. Produkte wie „Ransomware-Reaction“ werden jetzt zum Beispiel bei der Provinzial oder der Öffentlichen Versicherung Braunschweig eingeführt. Wer dort Cyberversicherungen abschließt, kann eine Schutzsoftware gegen Ransomware bekommen. Es geht also darum, Lösungen anzubieten, die Schäden begrenzen, und das nicht nur mittels traditioneller Fragebögen und Awareness, wie wir es kennen, sondern auch durch Softwarelösungen.



Die Produktgeber betonen bei Cybergefahren selbst stark den Präventionsgedanken und weniger den Leistungsfall. Was ist davon zu halten?



Stapels: Es ist auf jeden Fall der richtige Weg, dass man nicht nur ein Produkt anbietet. Zusatzleistungen kennt man auch aus der Betriebshaftpflichtversicherung oder der gewerblichen Kfz-Versicherung. Wenn neue Mitarbeiter zum Beispiel einen Firmenwagen bekommen, prüft der Arbeitgeber den Führerschein. Aber niemand muss seinen Cyber-Führerschein zeigen. Es ist in Verbindung mit einer Cyberversicherung sinnvoll, die Mitarbeiter zu schulen und zu sensibilisieren. Dafür gibt es viele Formate am Markt. Viele Cyberschäden entstehen, weil Mitarbeiter allzu sorglos sind und auf irgendetwas klicken, von dem sie denken, dass nichts weiter passiert. Aber obwohl Mitarbeiter oft als großes Sicherheitsrisiko gesehen werden, stellen sie auch die stärkste Verteidigungslinie dar. Durch gezielte Schulungen und Sensibilisierungsmaßnahmen können sie effektiv in die Cyberabwehr eingebunden werden. Darüber hinaus überlegen die Versicherer immer mehr, welche Softwarelösungen sie Kunden neben Awareness-Schulungen und Kampagnen an die Hand geben können, um die Schäden zu reduzieren und mehr Risiken zeichnen zu können.

Und wie muss diese Prävention in den Arbeitsalltag integriert werden?



Stapels: Häufig ist es so, dass nach einer Cyber-Schulung die nächste erst wieder in zwölf Monaten stattfindet. In der Zeit dazwischen werden die Mitarbeiter häufig sich selbst überlassen. Bestenfalls gibt es mal eine Phishing-Simulation. Idealerweise sollte die Bildung in diesem Bereich schon in der Schule beginnen. Über die Gefahren auch durch Social Media werden sich viel zu wenig Gedanken gemacht. Innerhalb der Unternehmen müsste es eine ständige Begleitung sein. Es braucht regelmäßige Informationen und die Definition von Vorgehensweisen. Ansonsten verpufft das. Auch hierzu nutzen verschiedene Versicherer Lösungen wie beispielsweise den „Cyber-Fuchs“, welcher den Mitarbeiter das ganze Jahr über begleitet und immer wieder Informationen zur aktuellen Cyberkriminalität mitteilt.

Sie haben in Ihrem Vortrag beschrieben, dass schon Kleinigkeiten große Gefahren bergen, die ganz aktuell auch viele Makler betroffen. Erklären Sie das einmal bitte.



Stapels: Das Problem besteht darin, dass man relativ einfach Zugang zu WhatsApp-Konten anderer Personen erlangen kann. Wenn Nutzer die Zwei-Faktor-Authentifizierung nicht aktiviert haben, was sehr einfach möglich ist, kann der WhatsApp-Account übernommen werden und es dauert derzeit etwa drei bis fünf Wochen ihn zurückzubekommen. In dieser Zeit können Kriminelle über den WhatsApp-Account tun und lassen, was sie wollen, Freunde oder Verwandte anschreiben und so weiter. Um sich zu schützen, sind lediglich drei Klicks in den Einstellungen erforderlich. Es sind Kleinigkeiten, aber die können verhindern, dass ein Krimineller einen Makleraccount übernimmt und dann dessen Kunden allesamt anschreibt, zum Beispiel mit Versprechen, wie man aus 250 Euro eine Million macht. Aber selbst bei diesen kleinen Schritten, gibt es Defizite, weil man oft nicht die notwendigen Informationen bei Veranstaltungen und auf Plattformen bekommt und nach Standard-Schulungen dann alleingelassen wird.

Was sind denn Ihre Ratschläge an Makler, wie sie sich verhalten sollen?



Stapels: Zunächst geht es darum, was man selbst tun kann, um sich besser zu schützen. Eine Möglichkeit wäre beispielsweise, die Zwei-Faktor-Authentifizierung zu aktivieren, Firewall und Antivirensoftware auf den aktuellen Stand zu bringen. Dann sellt sich die Frage, wie man das Thema seinen Geschäftskunden gegenüber ansprechen kann, da mit denen gegenüber ja auch eine Verantwortung hat. Wenn man sich die Marktdurchdringung ansieht und feststellt, dass viele Makler das Thema einfach nicht ansprechen, stellt sich die Frage, ob dies der richtige Weg ist, falls dort etwas passiert, gerade jetzt, wo die Cyberangriffe in Deutschland wieder zunehmen. Natürlich kann ein kleines Unternehmen keine zigtausend Euro für IT-Sicherheit ausgeben, aber kleine Schritte können die Sicherheit schon massiv erhöhen.



Was ist ein typisches Cyber-Risiko in Unternehmen?



Stapels: In vielen Unternehmen gibt es keine Meldekette, kein Vier-Augen-Prinzip. Niemand weiß, was zu tun ist. Und dann bekommt man eine Mail, angeblich vom Chef von seinem privaten Mailaccount. Teilweise mit Urlaubsbildern, die aus Social Media geklaut wurden. Er verweist darauf, im Urlaub zu sein und schickt eine Rechnung als PDF von Geschäftsführerkollegen mit der Bitte um Zahlungsanweisung. Das Wissen, dass jemand im Urlaub ist, kommt schon daher, dass so viele eine entsprechende Abwesenheitsnotiz eingestellt haben. Um das herauszufinden, gehen gerade in der Urlaubszeit ganz viele Spammails raus. Das gab es jetzt gerade wieder verstärkt zu Ostern und es funktionierte. Das sind natürlich gezielte Angriffe, aber die Auswertung erfolgt monentan auch immer mehr über KI und darauf aufbauend werden dann Mails generiert.

Auch der Umgang mit Cloud-Diensten brigt Probleme. Welche sind das?



Stapels: Man muss eine Art Risk Management im Unternehmen vorhalten, wie es im Aktien- und GmbH-Gesetz geregelt ist und es gibt die Datenschutz-Grundverordnung. Ein kritisches Element ist dabei die Speicherung von Daten in der Cloud. Unternehmer veranlassen, Daten dort zu speichern, und sind somit der Auftraggeber, der Cloud-Dienstleister ist der Auftragnehmer. In dieser Rolle sind die Firmen zunächst verantwortlich für das, was mit den Daten in der Cloud geschieht und haften erst einmal, wenn Kunden Schadensersatz fordern. Ich bitte die Kunden auch immer sich einmal die Allgemeinen Geschäftsbedingungen der Cloud-Dienstleister durchzulesen. Dort kann man erfahren, für was diese nicht haften. Viele Kunden sind überrascht, was alles ausgeschlossen ist. Selbst ein großer Cloud-Dienstleister wie Datev hat in einem Schreiben empfohlen, eine Cyberversicherung abzuschließen. Wenn bei Datev etwas passieren sollte, stehen sie dafür selbstverständlich ein. Aber das meiste passiert, wenn Zugangsdaten gestohlen werden und man sich dann mit diesen berechtigten Zugangsdaten in die Unternehmen hackt. Die Cloud per se ist nicht schlecht und hat viele Vorteile. Aber der Glaube, man speichert Daten in die Cloud und ist damit sicher, ist halt falsch.

Inweiweit sollten Vermittler die Cyberversicherung denn eigentständig beraten oder eignet sie sich auch für einen ganzheitlichen Ansatz?



Stapels: Wenn wir die Cyberversicherung in die Mitte stellen, brauchen wir die Abgrenzung zur Betriebshaftpflicht, Inhaltsversicherung, Elektronikversicherung. D&O und Rechtsschutz. Wir kommen von dem Thema Cyber auch auf ganz viele andere Themen, weil es zu den genannten Bereichen Berührungspunkte gibt. Von daher ist das auch eine gute Möglichkeit einzusteigen und auf andere Themen überzuleiten. Es ist der Anfang und nicht das Ende der Beratung. Bestandskunden sollte man deutlich machen, wie wichtig einem das Thema Cyber ist und dass man sich darin auch weitergebildet hat. Dafür gibt es Produkt- und teilweise Vertriebsschulungen. Man sollte über Fälle von Kunden sprechen, die gehackt wurden. Viele Kunden sind gerade auch daran interessiert Beispiele aus der Umgebung zu hören. Insofern sollte man ihnen aufzeigen, was es für sie selbst bedeuten kann.