Cyberangriffe: Manuel Pachlatko, Practice Leader Cyberversicherung bei Kessler.
In einem Interview am Stephanstag mit der Financial Times sagte Mario Greco, CEO der Zurich Insurance, die Unversicherbarkeit von Cyberangriffen voraus. Wie schätzt Manuel Pachlatko, Practice Leader Cyberversicherung bei Kessler, die Lage ein.
Im Interview mit thebroker.ch gibt der Cyberspezialist Auskunft über die derzeitige Lage.
Herr Pachlatko, vor gut einem Jahr haben Sie thebroker.ch bereits Auskunft darüber gegeben, ob neue Cyberversicherungen benötigt werden. Was hat sich in der Zwischenzeit verändert?
Das «Cyber-Universum» dreht sich mit enormer Geschwindigkeit, weshalb auch der Reifegrad der Cyberversicherung inzwischen spürbar zugenommen hat. Durch die voranschreitende Digitalisierung als gesellschaftliche Entwicklung und die nach wie vor hohe Medienpräsenz von schweren Cyber-Vorfällen ist auch das Thema Risikotransfer endgültig auf der Managementebene angekommen. Eine Vielzahl von Unternehmen hat sich folglich für eine Cyberversicherung entschieden. Heute gilt eine Cyberversicherung bei Grossunternehmen als Gütesiegel, da etwa 20-30 Prozent der Anfragen durch die Versicherer abgelehnt werden. Was für uns als Broker auf den ersten Blick ernüchternd erscheint, hat auch seine positiven Seiten. So ist die Versicherung dank strenger Underwritingvorgaben definitiv kein Substitut mehr für ein eigenes ausgereiftes Cyber-Risikomanagement. Mit der damit verbesserten Cybersicherheit sehen wir eine deutlich geringere Anzahl von hohen versicherten Cyberschäden.
Damals habe ich auch gefragt, ob der unachtsame Umgang von Mitarbeitenden mit Emails und Internet nach wie vor zu den grössten Cyber-Risiken gehören. Ist dem noch immer so?
Das ist definitiv der Fall, wobei Risiken in der Verbindung mit Sicherheitslücken, fehlenden Mehrfach-Authentifizierungsmethoden oder Angriffen auf die Lieferkette zweifelsohne im Vormarsch sind. Mitarbeiterschulungen bleiben grundlegend relevant, doch es ist schwierig, mit dem rasanten Tempo der digitalen Welt Schritt zu halten. Daher sind technische Vorkehrungen erforderlich, mit denen bereits viele Problembereiche vermieden werden können.
Erst kürzlich äusserte Mario Greco gegenüber der Financial Times, dass Cyberangriffe in Zukunft nicht mehr versicherbar sein werden. Teilen Sie seine Meinung?
Wenn über das Thema «Cyber» geschrieben wird, geschieht dies meist auf eine sehr pauschale Weise. Das kann problematisch sein, weil der Begriff auf sehr unterschiedliche Weise verstanden wird. Es gibt tatsächlich bestimmte Kumulationsszenarien, bei denen es eher unwahrscheinlich ist, dass die Versicherbarkeit gewährleistet werden kann, weil die Quantifizierbarkeit sehr schwierig ist. So wie es zum Beispiel nicht möglich ist, einen Krieg zu versichern, gibt es auch beim Thema «Cyber» mittelfristig gewisse Grenzen. Dabei versagt das Solidaritätsprinzip, weil «alle» betroffen sind. Eine Versicherung ist nicht das geeignete Instrument zum Schutz vor solchen Risiken. Verstehen wir den Begriff jedoch punktueller, kann das verbleibende finanzielle Restrisiko durch eine Versicherung abgedeckt werden, sofern ansonsten ein angemessenes Risikomanagement betrieben wird. Im Moment sehe ich somit keine Anzeichen dafür, dass punktuelle Informationssicherheitsverletzungen in absehbarer Zeit nicht versicherbar sein sollten. Die Versicherer haben ihre Hausaufgaben gemacht und erwirtschaften mit diesem Produkt wieder Gewinne.
Mario Greco stellt die Frage, was passiert, wenn jemand die Kontrolle über wichtige Teile unserer Infrastruktur übernehmen würde.
Das ist bereits Realität. Zum Beispiel konnten IT-Experten in Hannover Ampelanlagen manipulieren, die Bussen freie Fahrt gewähren. In diesem Jahr haben wir auch auf brutale Weise sehen können, wie hybride Kriegsführung aussehen kann.
Dieses Thema ist unter anderem auch ein Anlass dafür, dass der Bundesrat seine Botschaft über die Meldepflicht von Cyberangriffen auf kritische Infrastrukturen am 2. Dezember 2022 zuhanden des Parlaments verabschiedet hat. Die FINMA hat ihr Rundschreiben «Operationelle Risiken und Resilienz» angepasst. Ab Anfang 2024 gelten wesentlich strengere Vorschriften im Zusammenhang mit der Informations- und Kommunikationstechnologie. Denken wir aber auch an die Initiative «NIS2» zur Reform der bestehenden Vorschriften zur Netzwerk- und Informationssicherheit (NIS), die am 16. Januar 2023 für kritische Sektoren in der EU in Kraft treten wird. Führungskräfte der betroffenen Unternehmen werden in Zukunft für Verstösse gegen die Vorschriften haftbar sein.
Systemische Risiken wie Pandemie und Klimawandel gehörten in den letzten Jahren zu den wichtigsten Themen. Bereits zum zweiten Mal in Folge werden die Schäden im Zusammenhang mit Naturkatastrophen voraussichtlich 100 Milliarden US-Dollar übersteigen. Der Zurich-CEO nennt jedoch Cyber als Risiko, welches man unbedingt im Auge behalten müsse. Hat er recht?
Ich bin mit dieser Aussage einverstanden. Faktisch jedes Unternehmen ist in seinem Geschäftsbetrieb auf IT-Systeme angewiesen. Die Komplexität und Abhängigkeit der Informationssicherheit ist im Umbruch, und die damit verbundenen Risiken können nicht überschätzt werden. Ich frage meine Kunden stets, ob sie sich ihr Unternehmen drei Tage lang ohne digitale Hilfsmittel vorstellen können. In der Regel herrscht dann für ein paar Sekunden betretenes Schweigen.
Jüngste Angriffe galten Krankenhäusern, Pipelines wurden lahmgelegt und Regierungsbehörden ins Visier genommen. Ist ein Schutz überhaupt noch möglich?
Ein 100 prozentiger Schutz ist nicht möglich. Das gilt übrigens auch für viele andere Arten von Risiken. Inzwischen wissen wir aber immer besser, welche Zusammenhänge zwischen bestimmten technischen oder organisatorischen Massnahmen und dem entsprechendem Schadensausmass bestehen. Vorausgesetzt, dass die effektivsten Massnahmen gewissenhaft umgesetzt wurden, bin ich mir ziemlich sicher, dass viele Cyberangriffe abgewehrt werden können. Aber es gibt durchaus Grenzen und diese dürfen nicht einfach als quasi blinde Flecken im Risikomanagement abgetan werden.
Die steigenden Verluste im Cyber-Geschäft führten dazu, dass einige Versicherer die Preise angehoben und die Policen angepasst haben. Was hat Kessler unternommen?
Wir versuchen, mit guten Argumenten dagegenzuhalten. Wenn ein Versicherer die Deckung für Ransomware-Angriffe einschränkt, dann sollte sich dies auch in der Prämie widerspiegeln. Wir haben unter anderem unseren Kunden geraten, ihre Versicherungssumme bzw. den Selbstbehalt ihrem Anforderungsprofil anzupassen. Wir sind Berater und können unseren Kunden daher ganz konkrete Empfehlungen geben, wie welcher Parameter der Versicherung optimiert werden kann. Allerdings befinden wir uns derzeit in einem Versicherungsmarkt, in dem die Versicherer eine starke Position haben. Unserer Meinung nach wird sich das bald wieder ändern. Wir sehen schon jetzt viel mehr Wettbewerb als noch vor einem Jahr. In einigen Fällen hat dies sogar zu Prämienreduzierungen geführt.
Die Verträge enthalten immer mehr Ausschlüsse. Hat auch Kessler seine Verträge dahingehend abgeändert oder ergänzt?
Kessler arbeitet nur ungern mit Standardprodukten und optimiert auch die Ausschlüsse im Interesse seiner Kunden. Das gelingt uns immer noch recht gut.
Im September begrenzte Lloyd’s of London das systemische Risiko durch Cyberangriffe, indem es forderte, dass auf dem Markt ausgestellte Versicherungspolicen eine Ausnahmeregelung für staatlich unterstützte Angriffe haben. Was halten Sie davon?
Die Aufsichtsbehörden verlangen einen umsichtigen Umgang mit systemischen Risiken, daher ist diese Entwicklung nicht unerwartet. Lloyd’s möchte dies naturgemäss auf eine sehr versichererfreundliche Weise tun. Das wird der Sache jedoch nicht gerecht. Wir sehen regelmässig staatlich unterstützte Angriffe. Es ist aber nicht so, dass diese für gewöhnlich zu einem Blackout führen oder ganze Industriezweige lahmlegen. Deshalb ist es auch wichtig, in diesem Bereich keinen Aktionismus zu betreiben, sondern im Interesse aller – im Speziellen auch der Kunden – bestimmte Risiken zu identifizieren und in den Versicherungspolicen gezielt zu behandeln.
Gemäss Mario Greco gibt es keine Grenze dafür, wie viel der Privatsektor absorbieren kann, um alle Verluste durch Cyberangriffe zu übernehmen. Deshalb fordert er die Regierungen auf privat-öffentliche Systeme zur Bewältigung systemischer Cyberrisiken, ähnlich wie bei Erdbeben oder Terroranschlägen, einzurichten. Könnte dies die Lösung sein?
Wie erwähnt, fürchten die Versicherer nichts mehr als unkalkulierbare Risiken. In diesem Zusammenhang gibt es immer wieder Gedankenexperimente, dass staatliche und Pool-Lösungen eine holistische Absicherung komplettieren können. Ich glaube nicht, dass die Zeit dafür heute reif ist, aber ich bin ein Befürworter solcher Ansätze. Gegenwärtig habe ich den Eindruck, dass Regierung, Wissenschaft und der private Sektor – darunter auch die Versicherungswirtschaft als wichtiger Partner – nicht ausreichend zusammenarbeiten. Die «heisse Kartoffel» wird gerne herumgereicht. Das ist sehr bedauerlich und eine verpasste Gelegenheit. Eine systematische gemeinschaftliche Strategie sollte Teil der Gesamtlösung sein.
Der Zurich-CEO lobte die Schritte der US-Regierung zur Verhinderung von Lösegeldzahlungen, deren Eindämmung weniger Angriffe zur Folge hätte. Sollte auch die Schweiz diesen Weg wählen?
Eine schwierige Frage. Mit dem Postulat von Frau Edith Graf-Litscher «Massnahmen für einen besseren Schutz gegen Ransomware-Angriffe», das im Juni vom Nationalrat gutgeheissen wurde, gehen wir ähnliche Wege. Es handelt sich um eine Interessenabwägung, die auch ethische Fragen miteinschliesst. Wenn nicht gezahlt wird, kann dies einen unverhältnismässigen Kollateralschaden, wie Insolvenz von Unternehmen mit entsprechenden Entlassungen zur Folge haben. Klar ist, dass niemand die Zahlung von Erpressungsgeldern empfiehlt. Doch das einfach in ein Gesetz zu giessen, halte ich für übereilt. Gesetze sollten einen kollektiven Mehrwert bewirken und gleichzeitig die Einzelschicksale nicht ausser Acht lassen.
Bei seiner beruflichen Ausbildung hat Manuel Pachlatko den Fokus auf die Betriebswirtschaftslehren gelegt. Er studierte an der HWZ Betriebsökonomie im Bachelor mit der Vertiefung Banking & Finance und im Master mit Strategic Management. Beruflich hat es Manuel Pachlatko aber von Anfang an in die Versicherungsbranche verschlagen. Er hat erst bei Swiss Re und dann bei AIG im Underwriting gearbeitet. 2017 ist er bei Kessler als Fachspezialist Financial Lines eingetreten. Neben dieser Tätigkeit führt er seit 2021 das Cyber Team.
Die Fragen hat Binci Heeb gestellt.
Lesen Sie auch: Werden neue Cyber-Versicherungen benötigt?
