Viele offene Fragen und wenige Antworten: EU-DSGVO und Cyber-Versicherung

Nach Ansicht von Dawn Illing hält der Markt für Cyber-Versicherungen beides bereit – Chancen und Risiken

[datensicherheit.de, 19.11.2017] Der Markt für Cyber-Versicherungen ist ein relativ junger Markt, in den ständig neue Anbieter und Angebote drängen. Es herrscht dementsprechend viel Bewegung und die Preisdynamik heizt das Segment zusätzlich an. Aber es gibt es immer noch wesentliche Bereiche, die Makler, Versicherungsträger und Regulierer, aber auch potenzielle Kunden gleichermaßen verwirrt zurücklassen. Nicht zuletzt im Hinblick auf die EU-Datenschutz-Grundverordnung (EU-DSGVO) gibt es noch viele Fragezeichen im Hinblick auf das, was Versicherer, Makler und Regulierer in Betracht ziehen müssen.

Versicherungswirtschaft muss Geschäftsmodelle kontinuierlich überdenken und anpassen!

Versicherer werden in Zukunft noch anpassungsfähiger und flexibler sein müssen, wenn es gilt sich den wechselnden Bedingungen im Umfeld für Cyber-Sicherheit anzupassen.
Das gilt nicht nur für kurzfristige Trends, sondern auch für Entwicklungen, die den Markt und die gesamte Branche langfristig beeinflussen und grundlegend verändern werden.
Für die Versicherungswirtschaft bedeutet das, ihre Geschäftsmodelle kontinuierlich überdenken und anpassen zu müssen, wenn sie einem deutlich anders als bisher funktionierenden Wettbewerbsumfeld bestehen wollen.

Sicherheitsrisiken vorausschauend adressieren!

Nach Ansicht von Dawn Illing hält der Markt für Cyber-Versicherungen trotzdem beides bereit: Chancen und Risiken. Denn inzwischen zeichne sich in der Haltung vieler Firmen zum Thema „Cyber Security“ so etwas wie eine Trendwende ab:
Statt der bisherigen eher reaktiven Herangehensweise, versuche man Sicherheitsrisiken vorausschauend zu adressieren. Dazu trage nicht zuletzt die im Mai 2018 endgültig in Kraft tretende EU-DSGVO bei.

EU-DSGVO: Derzeit noch mehr Fragen als Antworten…

„Es ist nicht ganz einfach schlüssige Prognosen zu treffen, wie sich die Vorgaben der DSGVO konkret auf die Entwicklung von Cyber-Versicherungen auswirken werden“, sagt Illing.
Aber manchmal helfe es schon, die richtigen Fragen zu stellen, beziehungsweise auf existierende Diskrepanzen aufmerksam zu machen. Da seien zum einen die immensen Strafen, mit denen Unternehmen im Falle einer Datenschutzverletzung unter Nichteinhaltung der DSGVO zu rechnen haben. Eine gesetzliche Vorschrift diese zu versichern werde es aller Wahrscheinlichkeit nach nicht geben.
Illing: „Dazu kommt, dass die bisher höchste Versicherungssumme in Europa überhaupt ein Limit von in diesem Fall 400 Millionen Pfund Sterling hat. Keine ganz kleine Summe, gewiss.“ Man müsse sie allerdings in Relation setzen zu den weltweiten Umsatzsummen eines multinationalen Konzerns, von denen zwei bis vier Prozent des global erzielten Jahresumsatzes bei einer Strafe zugrundegelegt werden könnten.

Cyber-Policen genauer unter die Lupe nehmen!

Die potenziell zu erwartenden Strafen sollten aber ohnehin nicht der Treiber sein, wenn Firmen sich im Angesicht der dräuenden DSGVO für eine Cyber-Versicherung entscheiden.
„Wie gesagt, dass es eine entsprechende Gesetzgebung oder gar Deckung geben wird, ist zum jetzigen Zeitpunkt äußerst unwahrscheinlich“, so Illing. Die weitaus meisten Policen enthielten sowieso Provisionen für Krisenmanagement und Aufwendungen dafür, wie ein Sicherheitsvorfall gehandhabt wird, für Analysen, Nachforschungen und Wiederherstellung sowie die Haftungsbestimmungen bei Datenklau und Netzwerkbeeinträchtigungen.
„Was die Haftungsverpflichtungen angeht ist zukünftig jeder, der einen materiellen oder immateriellen Schaden aufgrund eines Datenschutzvorfalls erleidet, gegenüber dem betreffenden Unternehmen anspruchsberechtigt“, warnt Illing. Eine Cyber-Police würde die Kosten für die notwendigen Verteidigungsmaßnahmen übernehmen sowie die Haftungsansprüche, die sich aus einer Datenschutzverletzung etwa bei vertraulichen Informationen ergeben.
„Unternehmen tun also gut daran, Policen genauer unter die Lupe zu nehmen – vor allem was Obergrenzen bei potenziellen Schadenersatzübernahmen anbelangt. Warum? Weil aufgrund der strikteren Datenschutzvorgaben und Regularien die finanziellen Folgen einer Datenschutzverletzung die Kosten für den Datenschutz, den eine Firma im Rahmen des Risikomanagements beziffert hat, bei weitem übersteigen werden“, erläutert Illing.

Fragenkatalog für Versicherer und Makler:

Es gebe also eine Reihe von Fragen, die Versicherer und Makler in Betracht ziehen müssten. Dazu gehören laut Illing etwa die folgenden:

• Sind diese in der Lage zu entscheiden, ob ein Kunde die notwendigen Sicherheitsmaßnahmen beispielsweise im Hinblick auf seine Website umgesetzt hat oder nicht? Umso mehr, wenn der betreffenden Kunde Zahlungen von seinen eigenen Kunden entgegennimmt. Was tun Versicherer und Makler, wenn der Kunde keine ausreichenden Sicherheitsmaßnahmen implementiert hat (und wie können sie überhaupt ihrerseits sicherstellen, dass sie davon genaue Kenntnis haben)? Und werden sie den betreffenden Kunden dann weiter versichern oder nicht?
• Denken Versicherer und Makler darüber nach, entsprechende Prozesse zur Überprüfung einzuführen?
• Welche Methoden sind geeignet herauszufinden, ob ein Versicherungsnehmer tatsächlich Sicherheitsmaßnahmen umgesetzt hat, die geltenden Best-Practices-Empfehlungen für den Schutz von sensiblen Kundendaten entsprechen?
• Und wenn es möglich ist solche Prozesse einzuziehen, würden Versicherer und Makler ihre Versicherungsnehmer dahingehend kontrollieren, beispielsweise in unregelmäßigen Abständen nach dem Zufallsprinzip?
• Und noch einen Schritt weiter gedacht: Würde es sich auf die Preisgestaltung eines Anbieters oder Maklers auswirken, wenn der Kunde tatsächlich Sicherheitsmaßnahmen zum Schutz seiner Website und der Daten von Kunden getroffen hat?

Man dürfe getrost davon ausgehen, dass zum aktuellen Zeitpunkt kein Versicherer oder Makler alle diese Fragen zufriedenstellend beantworten könne.

In Zukunft noch anpassungsfähiger und flexibler sein!

Illing nimmt dazu Stellung, was sich für die Versicherungswirtschaft ändert und was Versicherer tun können:
Versicherer würden in Zukunft noch anpassungsfähiger und flexibler sein müssen, wenn es gilt sich den wechselnden Bedingungen im Umfeld für Cyber-Sicherheit anzupassen. Das gelte nicht nur für kurzfristige Trends, sondern auch für Entwicklungen, die den Markt und die gesamte Branche langfristig beeinflussen und grundlegend verändern würden.
Illing: „Für die Versicherungswirtschaft bedeutet das, ihre Geschäftsmodelle kontinuierlich überdenken und anpassen zu müssen, wenn sie in einem deutlich anders als bisher funktionierenden Wettbewerbsumfeld bestehen wollen.“

Einige der wichtigsten Schritte und Erfordernisse laut Illing:

• Versicherer seien gezwungen neue Produkte zu entwickeln, die den Deckungsansprüchen in einer veränderten digitalen Wirtschaft entsprechen.
• Ein erweitertes Risikomanagement im Bereich Cyber-Sersicherungen sei zwingend erforderlich. „Eines, das der sich stetig wandelnden Bedrohungslandschaft ebenso entspricht, wie den neuen gesetzlichen Regularien“, so Illing.
• Versicherer würden nach neuen Distributionskanälen Ausschau halten und bestehende ausweiten.
• Versicherer würden zusätzliches Wissen in den Bereichen Cyber-Sicherheit, Sicherheitsanforderungen und Sicherheitsmaßnahmen für Webseiten, Verschlüsselung und so weiter erwerben (müssen) sowie die notwendigen passenden Versicherungstools entwickeln und anwenden.
• Dieses Wissen müssten Versicherer an Versicherungsberater weitergeben.
• Stichwort: „E-Versicherungen“ – der gesamte Prozess werde vermutlich elektronisch abgewickelt werden; der physische Ort als solcher spiele schon jetzt kaum noch eine Rolle, digitale und elektronische Signaturen seien inzwischen Standard. Versicherer und Broker sollten also definitiv über Basis-Know-how im Bereich „Public Key Infrastructure“ verfügen.
• Und auch die Anforderungen an die Belegschaft würden sich verändern beziehungsweise hätten das schon getan; zum einen seien neue Fähigkeiten gefragt, zum anderen würden sich neue Berufsbilder wie etwa das des „Data Scientist“ auch in der Versicherungswirtschaft etablieren.
• Kundenorientierung und Kundenbindung seien zentrale Faktoren, denn die einstmals branchentypische Markentreue sei zusehends aufgeweicht worden.

Was entsprechend vorgebildete Makler angeht, würden diese sich Anbieter aussuchen, die dem veränderten Anforderungsprofil der digitalen Versicherungswirtschaft und der Cyber-Versicherungen im Besonderen entsprechen. Dazu kämen Kriterien wie ein passendes Geschäftsmodell und die Möglichkeit einer flexiblen Preisgestaltung.

Rasante Portfolio-Veränderungen

„Betrachtet man diese Fragenkomplexe als Ganzes, dominieren Datenschutz-Policen zumindest aus Sicht der Versicherer den Markt. Und sie beinhalten das, was ein Versicherer abdeckt: Den Verlust großer Mengen von Daten, üblicherweise den von Kundendaten“, führt Illing aus.
Bleibe noch zu bedenken, dass freie Makler und Großmakler dazu tendierten, nur die Versicherungsanbieter in ihr Portfolio zu nehmen, welche genau ihrem eigenen Geschäftsmodell entsprechen. Das führe potenziell dazu, dass sich das Portfolio gegebenenfalls schnell ändere, dass aber im Umkehrschluss Versicherungsanbieter sehr wohl die Möglichkeit hätten, die Auswahl eines Maklers für sich positiv zu beeinflussen. Ein enges Zusammenspiel und eine vergleichsweise zügige Schadensbearbeitung wirkten sich zusätzlich positiv auf die Kundenbindung aus.

Weitere Informationen zum Thema:

datensicherheit.de, 18.11.2017
EU-DSGVO: Palo Alto Networks untersuchte Kommunikationsprobleme in Unternehmen

datensicherheit.de, 13.08.2017
EU-Datenschutz-Grundverordnung: Tenable Inc. stellt drei essentielle Schritte vor

datensicherheit.de, 13.06.2017
Spiel mit dem Feuer: Nichtbeachtung der EU-Datenschutz-Grundverordnung

datensicherheit.de, 30.05.2017
Höhere Anforderungen an Datenschutz: Im Mai 2018 tritt die EU-DSGVO in Kraft

datensicherheit.de, 30.05.2017
EU-DSGVO-Studie: Vier von fünf deutschen Unternehmen liegen noch zurück

datensicherheit.de, 03.04.2017
EU-DSGVO: Geschäftsführern und Mitarbeitern drohen Bußgelder in Millionenhöhe