Face - Cyber - 2019 Ausgabe 2 - Chubb

Die Seite wird erstellt Kenneth Lindner
 
WEITER LESEN
Face - Cyber - 2019 Ausgabe 2 - Chubb
2019 Ausgabe 2

Face

Cyber
Aktiv zu mehr IT-Sicherheit

Vielfältiges „Cyber Space Germany“

Cyber InsurTechs –
Konkurrenz oder Unterstützung?

                                     chubb.com/de                    1
Face - Cyber - 2019 Ausgabe 2 - Chubb
Willkommen
                                                                 Das Titelthema dieser Ausgabe ist Cyber und der
                                                              Zeitpunkt hätte nicht besser gewählt werden können,
                                                              da wir vor allem im Konzernkundengeschäft dieses
                                                              Jahr einige „First-Time-Buyer“ haben und die Zahl der
                                                              Unternehmen, vor allem im Mittelstand, die sich ernsthaft
                                                              mit einem Abschluss einer Cyberpolice beschäftigen,
                                                              stetig steigt. Wir wollen aber in dieser Ausgabe nicht
                                                              nur das Produkt Cyber etwas genauer unter die Lupe
                                                              nehmen, sondern auch die Schadenszenarien und die
                                                              Schadenabwicklung mit ihren Assistanceleistungen
                                                              vorstellen. Gleichzeitig stellen wir Ihnen im Interview
                                                              unsere Cyber-Speziallösung für den deutschen
                                                              Maschinenbau vor.
                                                                 Besonders freut es mich, dass wir Ihnen in
                                                              dieser Ausgabe auch eine weitere neue Sparte für
                                                              Chubb in Deutschland, Österreich und der Schweiz
                                                              vorstellen zu können. Seit Juni bieten wir Kunst- und

    L
                                                              Wertsachenversicherungslösungen für Privatkunden,
           iebe Leserin, lieber Leser, ich begrüße sie ganz   Stiftungen und anderen Institutionen an und füllen
           herzlich zu unserer zweiten Ausgabe der Face in    damit eine wichtige Lücke in unserem Produktangebot.
           2019 – nach der Sommerpause, aber rechtzeitig      In unserer News-Rubrik finden Sie die dazugehörige
    genug, um Ihnen für die spannende Renewal-Phase ein       Personalie – weitere detailliertere Informationen hierzu
    paar wichtige Informationen mit auf den Weg geben zu      erhalten Sie von uns in Kürze.
    können.
      In unserer ersten Ausgabe der Face hatte ich bereits    Und jetzt viel Spaß beim Lesen unserer zweiten Ausgabe
    den sich abzeichnenden, unruhigen deutschen               der Face in 2019.
    Versicherungsmarkt angesprochen, und die letzten
    Monate haben diese Entwicklung bestätigt, so dass wir     Herzlichst Ihr
    auch für den Rest des Jahres weiter mit viel Bewegung
    am Markt rechnen. Speziell in der Sachsparte zeigt sich
    eine Marktverhärtung, mit der manche so nicht gerechnet
    haben.
      Wir fühlen uns nicht nur aufgrund der sehr guten        Andreas Wania
    Geschäftsentwicklung im ersten Halbjahr, sondern auch     Country President, Deutschland und Österreich,
    durch unsere neu geschaffene Geschäftsstruktur optimal    Chubb
    für die anstehenden Renewals gewappnet. Durch unsere
    Segmentierung in KMU, Mittelstands- und Konzerngeschäft
    haben wir unsere Unternehmensstruktur an die aktuellen
    Marktverhältnisse angepasst und ermöglichen Ihnen,
    unseren Kunden und Maklern, somit einen verbesserten
    Zugang zu spezialisierten Teams von Underwritern, die
    nicht nur das spartentechnische Underwriting Know-
    how mitbringen, sondern auch die ganz individuellen
    versicherungstechnischen Bedürfnisse in den jeweiligen
    Kundensegmenten kennen.

2                            Face 2019 Ausgabe 2
Face - Cyber - 2019 Ausgabe 2 - Chubb
2    Editorial

4    News

8    Drei Fragen an…

10   Aktiv zu mehr IT-Sicherheit                  10

14   Das erste Jahr DSGVO in der Praxis

15 Vielfältiges „Cyber Space Germany“

18	
   Viele Wege führen zum Cyberschaden

20	Cyber InsurTechs –
     Konkurrenz oder Unterstützung?
                                                  15
22 Interview

   Kontaktübersicht
25	

27 Impressum

                                                  18

                                                  20

                                   chubb.com/de        3
Face - Cyber - 2019 Ausgabe 2 - Chubb
News
Neuer Line Manager                                  Chubb etabliert                                   Neue Leitung bei
Terrorismus &                                       neue Sparte                                       Kautionsversicherung
Politische Gewalt                                   Kunstversicherungen

Markus Keller ist neuer Line Manager für die        Dr. Thomas Steinruck ist neuer Fine Art &         Dirk Gmeiner übernimmt die Position des
Sparte Terrorismus & Politische Gewalt in           Specie Manager bei Chubb für die Länder           Managers für Kautionsversicherungen (Surety)
Deutschland und Österreich. In dieser neuen         Deutschland, Österreich und die Schweiz.          für Deutschland, Österreich und die Schweiz
Position wird er für das weitere Wachstum           In dieser neu geschaffenen Position wird          und wird hierbei für die Weiter­entwicklung
sowie die Entwicklung des Segments                  er für die Produkteinführung der Monoline         sowie das Wachstum des Bereiches der
verantwortlich sein. Um der wachsenden              verantwortlich sein, die unter anderem            Kautionsversicherungen in drei Ländern
Bedeutung des Bereichs Terrorismus &                weltweite Deckungen sowie Restaurierungen         verantwortlich sein. Gmeiner verfügt über
Politische Gewalt gerecht zu werden, hat            und den Ausgleich bei Wertverlust umfasst –       zehn Jahre Erfahrung im Underwriting von
Chubb diesen zudem aus der Sparte Property          für Privatkunden wie auch für Stiftungen          Kautions-, Kredit- und politischen Risiken. In
(Sach) herausgelöst und nun als eigenständige       und Unternehmenssammlungen. Dr. Steinruck         seiner vorherigen Position war der Volljurist
Einheit aufgestellt. Keller, bisher Senior          verfügt über zehn Jahre Erfahrung im Under-       als Syndikus­anwalt und Senior Underwriter
Underwriter Property in Frankfurt, wird             ­writing von Kunst- und Musik­instrumenten­­      für Risiken im Bereich Financial Lines und
weiterhin von seinem aktuellen Dienstsitz in         versicherungen, jeweils in der Schweiz,          Cyber tätig. Von seinem Dienstsitz in Frankfurt
Frankfurt aus tätig sein und an Andreas              Deutschland und Liechtenstein. Von seinem        aus wird Dirk Gmeiner an Andreas Faden,
Faden, P&C Director bei Chubb in Frankfurt,          Dienstsitz in Zürich aus wird er an Florian      P&C Director bei Chubb für Deutschland und
berichten. Der Versicherungsbetriebswirt ist         Eisele, CEO der Chubb in der Schweiz, sowie      Österreich, berichten.
bereits seit 2017 im Unternehmen tätig und           an Andreas Wania, Country President und
verfügt über fast 30 Jahre Erfahrungen im            Hauptbevollmächtigter bei Chubb für
Versicherungsgeschäft, speziell im Bereich           Deutschland und Österreich, berichten.
der Sachversicherungen.

    Finanzdaten für das zweite Quartal 2019
    Chubb Limited (Chubb) hat für das zweite Quartal 2019 ein Bruttoprämienvolumen von 10,4 Milliarden US-Dollar verbucht und übersteigt damit
    das Vorjahresergebnis, das bei 9,9 Milliarden US-Dollar lag. Der Betriebsgewinn beläuft sich für diesen Zeitraum auf 1,2 Milliarden US-Dollar,
    während dieser im zweiten Quartal 2018 1,3 Milliarden US-Dollar betrug. Die kombinierte Schaden-Kosten-Quote (combined ratio) liegt für 2019
    bei 90,1 Prozent (88,4 Prozent in Q2/2018).
    Weitere Finanzdaten finden Sie in unserem Unternehmensprofil im Newsroom auf chubb.com/de

4                                                  Face 2019 Ausgabe 2
Face - Cyber - 2019 Ausgabe 2 - Chubb
Kurznachrichten

Neue Direktorin                                    Intensiver Austausch beim fünften Risk Meeting
bei A&H                                            Klassisch im Vorfeld des GVNW in München veranstaltete Chubb auch dieses Mal wieder das
                                                   Risk Meeting für weibliche Führungskräfte der Industrieversicherung. Die Fachveranstaltung
                                                   in ihrer inzwischen fünften Auflage bot am 4. September 2019 auch in diesem Jahr wieder
                                                   eine große Bandbreite an aktuellen Themen, den Start hierzu gab Tina Lakickas, Head of
                                                   Major Accounts Division bei Chubb in Paris, mit ihrem Vortrag zum Thema Industriekunden
                                                   in Europa und auf globaler Ebene. Daraufhin zeigte Angelika Trotta, Vice President, Chief
                                                   Underwriter – International Global Property Facultative bei General Reinsurance AG in Köln,
                                                   in ihrem Gastbeitrag das steigende Risiko durch Naturkatastrophen aus der Sicht eines Rück­­
                                                   versicherers auf – eine Thematik, die die Teilnehmerinnen bewegte und zu einer lebhafte
                                                   Diskussion führte. Intensiv erörtert wurde das Thema dann auch im anschließenden Power­talk
                                                   mit Uta Stobbe, Risikoingenieurin bei Chubb in Frankfurt, und Clarissa Hasse, Underwriter
                                                   Property bei Chubb in München. Moderiert von Kerstin Hartung Alexandre, Head of Marketing &
                                                   Communications D/A/CH (ebenfalls Chubb in Frankfurt), kam es hierbei zum regen
                                                   Austausch, welche Auswirkungen, unter anderem, Natur­katastrophen auf die Sachversicherung
                                                   haben. Komplettiert
                                                   wurde das Risk Meeting
Silke Rusch ist neue Direktorin für den Bereich    schließlich durch die
Personen­versicherungen (A&H) bei Chubb            Beiträge von Natalie Kress-
für Deutschland und Österreich. In ihrer           Happel, Line Manager
neuen Position wird sie für die weitere Ent-       Cyber, und Silke Rusch,
­wicklung sowie das Wachstum der A&H-Sparte        A&H Direktorin für die
 in den beiden Ländern verantwortlich sein,        Länder Deutschland und
 zusätzlich dazu unterstützt sie ebenfalls die     Österreich, die zusammen
 Direkt Marketing-Aktivitäten in der Schweiz.      mit den Risk Managerinnen
 Rusch, die bereits seit 2012 im Unternehmen ist   und Maklerinnen auf die
 und dort zuletzt als Underwriting Manager A&H     neuesten Trends im
 Germanic tätig war, verfügt über 24 Jahre         Bereich Cyber beziehungs­
 Erfahrung in der Versicherungsbranche, speziell   weise das Neueste aus der
 im Bereich der Unfall- und Kranken­versicher­     Personenversicherung
ungen sowie im dazugehörigen Underwriting.         eingingen. Brigitte Vorrath, Global Client Executive Continential Europe (alle bei Chubb in
Von ihrem Dienstsitz in Frankfurt aus wird Silke   Frankfurt), resümierte nach der abwechslungsreichen Veranstaltung: „Auch in diesem Jahr
Rusch an Andreas Wania, Country President          war es wieder eine rundum gelungene Veranstaltung, bei der wir für die aktive, rege
und Hauptbevollmächtigter bei Chubb für            Teilnahme, das konstruktive Feedback und den wertvollen Input unserer Kundinnen
Deutschland und Österreich, berichten.             dankbar sind.“

Chubb beim GVNW Symposium 2019
Mit dem alljährlichen Symposium des Gesamtverbandes der versicherungs­nehmenden Wirtschaft e.V. (GVNW) fand vom 4. bis 6. September 2019
in München wieder der größte Industrie­versicherungskongress in Deutschland statt. Mehr als 600 Risk Manager, Versicherer und Makler diskutierten
über aktuelle Trends und Entwicklungen der Branche. Wie schon in den Vor­jahren war Chubb mit eigenem Stand vor Ort, der zur Anlaufstelle
für zahlreiche „Meet & Greets“ zwischen Kunden, Brokern und Chubb- Experten wurde. „Wie immer ist das GVNW eine sehr gute Plattform, um
sich mit Großkunden und wichtigen Maklerpartnern auszutauschen und zu vernetzen. Gerade das Timing der Veranstaltung ist perfekt, um über
anstehende Renewals und neue Geschäftsmöglichkeiten zu sprechen“, erklärt Andreas Wania, Country President und Hauptbevollmächtigter
der Chubb in Deutschland. Dies bestätigt auch Christian Kruppa, Director Sales & Distribution Germany bei Chubb in Düsseldorf: „Wir hatten
mehrere produktive Makler- und Kunden-Meetings und auch in den Pausen und während der Abend­veranstaltungen konnten wir einige gute
Gespräche mit den Risk Managern unserer großen Industriekunden sowie mit Maklern führen.“

                                                   chubb.com/de                                                                                 5
Face - Cyber - 2019 Ausgabe 2 - Chubb
News
Cyberrisiken zum Frühstück
22 Teilnehmerinnen und Teilnehmer aus diversen Maklerhäusern folgten am 14. Mai 2019 der Einladung von Chubb in Österreich und kamen
zum erstmals stattfindenden Cyber Business Breakfast in Wien zusammen. Natalie Kress-Happel, Cyber Line Manager für Deutschland
und Österreich bei Chubb in Frankfurt, erläuterte den Maklervertreterinnen und -vertretern dabei zunächst, was unter dem Begriff Cyber
überhaupt zu verstehen ist und was genau dies umfasst, bevor sie in ihrem Beitrag auf das Neueste zu der Risikoart sowie Aktuellem auf
dem Cyberversicherungsmarkt einging. Dabei stellte sich auch heraus, dass in Österreich ein sehr hohes Cybergefahrenpotential besteht,
die Alpenrepublik sogar quasi Weltmeister in Sachen Cyberangriffe ist. Welche Folgen solch ein Cyberangriff dann haben kann, erfuhren die
Maklerinnen und Makler anhand verschiedener Schaden­beispiele. Hierdurch erhielten sie gleichzeitig einen tieferen Einblick in den Ablauf eines
Cyberschadenfalls und inwiefern etwa die Schadenbegleitung durch das Incident Response System von Chubb Unternehmen im Cybernotfall
unterstützen kann. Die Teilnehmerinnen und Teilnehmer zeigten sich von der großen Bandbreite an Themen begeistert und bestätigten durch ihr
durchweg positives Feedback, dass das Cyber Business Breakfast ein voller Erfolg war.

Der Einfluss von                                                 Eine weitere Auflage in 2020
Naturkatastrophen                                                Am 12. Juni fand im Hilton Airport in Frankfurt die zweite deutsch-
15 Risk Managerinnen und Manager trafen sich am 27. Juni         österreichische Cornerstone Broker-Veranstaltung statt. Ziel hierbei ist es,
2019 in der Villa Rothschild in Königstein zum Gedanken­         einen offenen Dialog zwischen den Cornerstone Maklern und dem Chubb
austausch, zu Gesprächen und Diskussionen rund um das            Management zu ermöglichen. In diesem Jahr waren die Schwer­punktthemen
Thema Naturkatastrophen, Klimawandel und dazugehörige            zukünftige Risiken und deren Auswirkungen auf die Branche, Naturkatastrophen
Schadenszenarien sowie deren Auswirkungen auf die Sach­          und deren Einfluss auf die Sachversicherung, Non-Affirmative Cyber, Service
versicherung. Nach der Einführung durch Andreas Wania,           Levels, Digitalisierung von Schadensfällen sowie die neue A&H Chubb Travel
Haupt­bevollmächtigter der Chubb in Deutschland, referierte      Smart App. Zu allen Themen diskutierten die Teil­nehmerinnen und
der ARD-Wetterexperte Thomas Ranft zur Thematik und              Teilnehmer sowohl lebhaft als auch konstruktiv und das Feedback aller am
erläuterte dabei beispielsweise die Unterschiede zwischen        Ende der Veranstaltung deutet auf eine weitere Auflage in 2020 hin.
Wetter, Witterung und Klima. Anschließend veranschaulichte
Peter Albrecht, Segment Leader Middle Market und Claims
Manager bei Chubb in Frankfurt, die Auswirkungen von             Deutschsprachige Presseinformationen
Naturkatastrophen anhand diverser Schaden­szenarien.
Angestoßen durch die Fragerunde von Kerstin Hartung
                                                                 ab sofort abonnieren
Alexandre, Chefredakteurin der Face, mit Alf Mueller,            Ab sofort können Sie die deutschsprachigen Pressemitteilungen sowie
Property & Technical Lines Director Continental Europe           weiterführende Informationen der Chubb über das Presse­portal von
bei Chubb in Paris, diskutierten die Teilnehmerinnen und         „news aktuell“ abonnieren und so direkt bei Veröffentlichung die aktuellsten
Teilnehmer daraufhin lebhaft die entsprechenden Aus­             Nachrichten erhalten. Klicken Sie dazu einfach im Presseportal auf „Newsroom
wirkungen auf die Sachversicherung. Brigitte Vorrath, Global     abonnieren“ und geben Sie Ihre E-Mail-Adresse ein. Alternativ können Sie
Client Executive Continental Europe bei Chubb in Frankfurt,      diese Einstellungen auch über die Presseportal-App, die Sie im App Store oder
schloss die Fachveranstaltung mit einem Resümee und dem          über Google Play finden, vornehmen.
Feed­back kundenseitig zu den Themen. Abgerundet wurde
die Veranstaltung am Abend schließlich noch mit einer Rede       Den Newsroom der Chubb
von Adam Clifford, Division President Continental Europe         finden Sie im Presseportal auf:
bei Chubb in Paris, und einem Beitrag von Ivy Kusinga, Chief     presseportal.de/nr/72419
Culture Office bei Chubb in Philadelphia, zur Thematik M&A
und Unternehmenskultur.

6                                               Face 2019 Ausgabe 2
Face - Cyber - 2019 Ausgabe 2 - Chubb
Kurznachrichten

Warum sollte jemand
Ihre Unternehmensdaten
hacken?
Aus demselben Grund,
aus dem Sie diese
schützen wollen.
Cyberrisiken werden für Firmen zunehmend zum Problem. Immer
mehr Unternehmen wollen sich daher vor diesem Risiko schützen.
Chubb ist seit 1998 einer der weltweit führenden Anbieter im Bereich
Cyberversicherungen und hat bereits Tausende von Cybervorfällen
erfolgreich versichert. Ob vor, während oder nach einem Cybervorfall,
Chubb bietet verschiedene Dienstleistungen an, die bei der Identifi-
zierung, Bewältigung sowie möglichen Vermeidung eines Ereignisses
unterstützen. Im Ernstfall können Rechtsberater und forensische
Gutachter, aber auch Callcenter und PR-Experten schnell agieren –
nicht zuletzt, um den Schaden zu begrenzen.

Sollten Sie sich fragen, wie sich Cyberrisiken möglicherweise
auf Ihr Unternehmen auswirken könnten, kontaktieren Sie uns.
Informieren Sie sich auf chubb.com/de

©2019 Chubb. Versicherungsschutz gezeichnet durch eine oder mehrere Tochtergesellschaften. Nicht alle Deckungsarten sind
                                                                  chubb.com/de
für alle Gerichtsstände verfügbar. Chubb®, sein Logo und Chubb. Insured. SM
                                                                            sind eingetragene Warenzeichen von Chubb.                    7
Face - Cyber - 2019 Ausgabe 2 - Chubb
Drei Fragen an…

     Anzor Bayramkulov                             Marc Heidelbach                             Peter Albrecht
     Segment Leader Major Accounts                 Segment Leader SME &                        Segment Leader Middle Market
     O +49 69 75613 6641                           Chubb Easy Solutions                        O +49 69 75613 6678
     M +49 172 1334754                             O +49 69 75613 6727                         M +49 173 6931581
     anzor.bayramkulov@chubb.com                   M +49 173 6996300                           peter.albrecht@chubb.com
                                                   marc.heidelbach@chubb.com

Segmentierung in Deutschland
Kunden-Segmentierung nach Unternehmensgröße

                          10 Mio. Euro                                                      500 Mio. Euro

             SME                                Middle Market                                               Major

                 m Juli hat Chubb ihre neue      • Großindustrie und -kunden (Major             In der neuen Face-Rubrik „Drei Fragen an“,

    I
                 Unternehmensstruktur für          Accounts): Kunden mit einem Umsatz von       stehen die neuen Segementleader, Anzor
                 Deutschland bekannt gegeben.      mehr als 500 Millionen Euro                  Bayramkulov (Major Accounts), Peter
                 Diese neue Organisations­       • Mittelstandsunternehmen (Middle              Albrecht (Middle Market) und Marc
                 struktur soll Kunden und          Market): Kunden mit einem Umsatz von         Heidelbach (SME und Chubb Easy
Vertriebspartnern der jeweiligen Segmente          mehr als zehn (10) Millionen Euro            Solutions), Rede und Antwort zur neuen
einen verbesserten Zugang zu den Under­          • Kleinunternehmen, inklusive                  Struktur.
writing-Teams ermöglichen. Die Segmente            Onlinelösungen Chubb Easy Solutions
definieren sich dabei nach den Kundengruppen       (SME): Kunden mit einem Umsatz unter
beziehungsweise Unternehmensgrößen                 zehn (10) Millionen Euro
innerhalb des Industrieversicherungs­
bereiches (P&C):

8                                                Face 2019 Ausgabe 2
Face - Cyber - 2019 Ausgabe 2 - Chubb
Kommentar

Wie sahen die ersten Tage                          Wie schlagkräftig sind Sie als                     Mit welchen Zielen planen Sie
nach Inkrafttreten der neuen                       neue Struktur hinsichtlich der                     für die Zukunft?
Struktur für Sie und Ihre neu                      Renewalzeit?
zusammengesetzten Teams aus?
                                                                                                      Marc Heidelbach:
                                                   Anzor Bayramkulov:                                 Die Analyse und Entwicklung im SME-Geschäft
Peter Albrecht:                                    Wir leben uns seit Anfang Juni sozusagen in        führt uns zu einer Strategie, die auf Branchen-
Neues ist immer spannend. Die Mit­arbeiterinnen    die neue Struktur ein, und haben daher             und Kundenbedürfnisse ausgerichtet ist.
und Mitarbeiter im Segment Middle Market           ausreichend Zeit, um uns richtig auf Renewal­      Unsere Branchenkonzepte beispielsweise für
haben die ersten Schritte vom Spartenfokus         zeit einzustellen. Außerdem setzen wir auf         Life Science, Infotech and Real Estate sind
weg und hin zur Segment-Sicht gemacht.             den neuen Multiline-Ansatz, und haben uns          dabei sehr gute Beispiele für die Entwicklung.
Wir alle sind sehr gespannt auf die nächste        vom Silo-Denken wegbewegt. Unsere Produkte         Daher müssen wir die Produkte der Industrie­
Zeit, auch neugierig und wollen wirklich           bieten wir nun gezielter an – davon werden         versicherung entsprechend modifizieren,
etwas Neues formen.                                unsere Kunden profitieren.                         die Prozesse optimieren und technische
                                                                                                      Services anbieten, die uns erlauben das
Anzor Bayramkulov:                                 Marc Heidelbach:                                   Geschäft auch im SME-Segment effizienter
In erster Linie war es uns sehr wichtig,           Im SME-Geschäft, welches homogenere                anzubieten. Das gilt sowohl in der Zusammen­
alle Kolleginnen und Kollegen in der neu           Kundengruppen und Verträge aufweist, können        arbeit mit unseren Vertriebspartnern wie
geschaffenen Abteilung Major Accounts              wir die Portfoliobetrachtung – gestützt auf        auch für unsere Versicherungsnehmer. Diese
zusammenzubringen und den entsprechenden           unsere MI/BI Systeme - zukünftig schneller         Ziele erreichen wir durch gute Marktanalysen
Team-Spirit aufzubauen. Wir waren daher            analysieren und gemeinsam mit den Vertriebs­       und Rücksprachen mit den Kundengruppen,
auch im ständigen Gedankenaustausch, wie           partnern umsetzen. Diese Systematik schafft        optimierte, systemgestützte interne und
wir die neue Struktur für unsere Kunden in         Synergien und Freiräume, die wir für unsere        extern Arbeitsabläufe sowie gezielte
diesem Segment effektiv und effizient              Partner und Kunden nutzen können. Wir setzen       Kooperationen für zusätzliche Services.
implementieren können. Nicht zuletzt hatten        dabei auf eine Mischung aus Standardisierung,
wir ein Kick-Off Meeting mit allen Stakeholdern,   technische Unterstützungs­systeme und den          Anzor Bayramkulov:
also P&C, A&H und dem Vertrieb, um alle            persönlichen Kontakten unserer erfahrenen          Wir wollen ein leistungsstarkes Team, das die
Schnittstellen schlagkräftig abzustimmen,          Sales- und Underwriting­mannschaft.                individuellen Bedürfnisse unserer Kunden im
und zu klären, wie wir unseren Kunden den                                                             Major Accounts Segment umfänglich erfüllen
bestmöglichen Service bieten können.               Peter Albrecht:                                    kann. Unser Hauptziel dabei ist es, dass
                                                   Vor uns liegt die wichtigste Zeit des Jahres.      unsere Kunden diesen Serviceansatz auch
Marc Heidelbach:                                   Glücklicherweise sind wir eine erfahrene           wirklich spüren sollen. Bezüglich der Sparten
Neben den bereits existierenden Produkten          „Truppe“, die das Renewal gut meistern             konzentrieren wir uns neben den klassischen
auf unserer Online-Plattform Chubb Easy            wird. Dabei gilt es für uns, nicht nur „business   Bereichen besonders auf den Ausbau unseres
Solutions (Cyber, D&O, Einzeltransport­            as usual“ zu betreiben, sondern neue               Geschäftes in den Specialty Lines wie Cyber,
versicherung), die bereits nach dieser Struktur    Elemente ins Renewal einfließen zu lassen.         Terrorismus, Kaution (Surety) und Umwelt
konzipiert sind, haben wir jetzt auch in den       Hierzu gehört beispielsweise ein struktureller     (EIL).
übrigen Sparten beziehungsweise Produkten          Cross Sell-Ansatz.
eine übergreifenden Vertriebs­partner- und                                                            Peter Albrecht:
Kundenverantwortung sowie -bearbeitung.                                                               Wir sind bekannt für unsere Underwriting-
Im Ergebnis können wir bereits jetzt                                                                  Epertise, unsere Services und unsere
regelmäßig mehrere Produkte für einzelne                                                              Fähigkeiten wirklich multinationale
Kunden anbieten.                                                                                      Versicherungs­lösungen zu bieten. Das ist
                                                                                                      unser Fundament. Auf dieses wollen wir
                                                                                                      weitere Bausteine setzen, nämlich:
                                                                                                      Ganzheitliche Versicherungslösungen,
                                                                                                      das Teilen unseres Know-hows und wahre
                                                                                                      Partner sein.

                                                   chubb.com/de                                                                                    9
Face - Cyber - 2019 Ausgabe 2 - Chubb
10   Face 2019 Ausgabe 2
Titelthema

Aktiv zu mehr
 IT-Sicherheit

                  as Thema IT-Sicherheit ist in   kristallisieren sich aus Risikogesprächen

    D
                  aller Munde und dennoch         immer wieder fünf grundsätzliche Stell­
                  vergeht kaum ein Monat,         schrauben hierfür heraus – einfache
                  ohne dass Unternehmen aller     Maßnahmen, jedoch mit großer Wirkung.
                  Größen mangelndes Bewusst­
  sein für Cyberrisiken attestiert wird. Denn     Eine Chefsache
  trotz der hohen Bedrohungslage besteht          Auch wenn die Sicherheit der Unternehmens­
  gleichzeitig noch immer Nachholbedarf bei       netzwerke vermeintlich in der Verantwortlich­
  der gelebten IT-Sicherheit. Doch wie kann       keit der IT-Abteilung liegt, sind es letztlich
  das sein, woher rührt jene Diskrepanz?          die Unternehmenslenker, die für die
  Man könnte hier die Komplexität der Risikoart   Konsequenzen von IT-Sicherheitsvorfällen
  nennen, dass sie äußerst dynamisch ist und      persönlich haftbar gemacht werden können.
  sich dadurch ständig weiterentwickelt und       Unverzichtbar ist daher, Cybersicherheit zur
  daher nur schwer zu handhaben ist. Was          Chefsache zu erklären und nicht auf Geschäfts­
  aber tun, um der Bedrohung Cyber gerecht        leitungsebene nur halbherzig zu behandeln
  werden zu können? Die gute Nachricht: Es        oder vollständig an die IT-Abteilung
  bedarf keines Hexenwerks zur Erhöhung der       weiterzureichen – nicht zuletzt, da Reputations­
  IT-Sicherheit im Unternehmen, vielmehr          schäden aufgrund von Cyberangriffen und

  chubb.com/de                                                                                  11
Wissen Sie eigentlich,   Datenschutzpannen schließlich im schlimmsten
                         Fall zur Existenzbedrohung des Unternehmens
                                                                           Über jene Zertifikate lässt sich das aktuelle
                                                                           Schutzniveau gleichzeitig auch gegenüber
was in diesem Moment     führen. Es liegt also im Sinne und zugleich       Kunden und Geschäftspartnern unkompliziert
                         auch in den Händen der Unternehmensleitung,       bestätigen – und bietet damit gleich doppelten
in Ihrem                 frühzeitig eine entsprechende Sicherheitskultur   Mehrwert. Der wohl bekannteste Standard

Unternehmensnetzwerk     und Organisation im Unternehmen zu
                         etablieren. Das Bundesamt für Sicherheit in
                                                                           in Sachen IT-Sicherheit in Deutschland ist
                                                                           der IT-Grundschutz des BSI. Dieser hilft bei der
passiert?                der Informationstechnik (BSI) empfiehlt           Identifizierung und Umsetzung notwendiger
                         hierfür die Einführung verschiedener Sicher­      Sicherheitsmaß­nahmen und liefert bereits
                         heitsrichtlinien. Da IT-Sicherheit natürlich      bewährte Vor­gehens­­weisen. Außerdem gibt es
                         auch immer mit entsprechenden Kosten              internationale sowie unternehmens- oder
                         einhergeht, müssen Unternehmen genau              brachenspezifische Standards. Kleine und
                         evaluieren, welches Budget jährlich für den       mittelständische Unternehmen können sich
                         weiteren Ausbau der IT-Sicherheit zur             hierbei beispiels­weise am VdS 3473 orientieren.
                         Verfügung gestellt werden kann. Wichtig           Ein ange­messenes Schutzniveau wird über
                         ist dabei, dass das Budget der aktuellen          diese Norm gewähr­leistet, ohne dass Unter-
                         Bedrohungs­lage angepasst ist, denn ein vor       nehmen dabei organisatorisch oder finanziell
                         15 Jahren festgelegter Kostenrahmen kann          überfordert werden. Als internationaler
                         heute kaum mehr zeitgemäß und adäquat             Standard ist hingegen die ISO27001-Norm
                         sein. IT-Sicher­heits­verantwortlichkeiten auf    zu nennen, die die Anforderungen an ein
                         verschiedenen Unternehmensebenen sowie            dokumentiertes Informationssicherheits-
                         ein definierter Reportingprozess runden die       Managementsystem beschreibt. Dieses dient
                         organisatorischen Sicherheitsmaßnahmen ab.        der kontinuierlichen Betriebsbereitschaft und
                                                                           fördert eine jederzeit funktionierende
                         An Standards orientieren                          Ablauforganisation.
                         Das Rad für eine vernünftige Cybersicherheit
                         muss nicht neu erfunden werden, denn              Agieren statt reagieren
                         Unternehmen können sich bereits an seit           In Sachen IT-Sicherheit gilt: Wissen ist Macht.
                         vielen Jahren gereiften Standards orientieren     Wissen Sie eigentlich, was in diesem Moment
                         und sich darüber hinaus zertifizieren lassen.     in Ihrem Unternehmensnetzwerk passiert?

12                       Face 2019 Ausgabe 2
Titelthema

Befindet sich Ihre IT im „Normalzustand“          Mitarbeiter auf psychischer und emotionaler       kann. Gleichzeitig bieten einige Versicherer
oder gibt es just in diesem Moment                Ebene zu erreichen, um so ins Unternehmens­       als Mehrwert zum Produkt Incident Response
„Anomalien“, denen Aufmerksamkeit                 netzwerk zu gelangen. Essenziell ist daher,       Teams, die alle Teile der notwendigen Schritte
geschenkt werden sollte? Die Antwort darauf       die Belegschaft für jenes Risiko zu schulen,      im Schadenfall abdecken können, sowie
sollten Unternehmen kennen, denn in Sachen        und ein Bewusstsein generell für Cyber­           spezielle Risikoingenieure, die sogar noch
IT-Sicherheit gilt: vorbereitet sein, Eigen­      risiken zu schaffen. Dies kann bereits durch      vor einem Schadenfall Unterstützung leisten.
initiative zeigen und sich nicht in die reine     relativ einfache und verhältnismäßig kosten­      Letztere stehen Unternehmen bei der
„Reaktionsrolle“ begeben. Denn auch wenn          günstige Maßnahmen erreicht werden, etwa          Erfassung ihrer individuellen Risikosituation
sich Cybervorfälle beziehungsweise Schäden        mittels interaktiver Schulungen und Trainings.    beratend zur Seite, erarbeiten gemeinsam
durch Cyberkriminalität natürlich nie             Möglich sind hier beispielweise auch realitäts­   mitunter Schadenverhütungsmaßnahmen
gänzlich vermeiden lassen, können sie durch       nahe Szenarientrainings und Simulationen,         oder sprechen Empfehlungen anhand von
adäquates Reagieren bestmöglich minimiert         etwa zum Thema Phishing. Hierbei werden           „best practices“ aus.
werden. Dies setzt jedoch einen genauen           von der IT-Abteilung E-Mails verschickt, die
Überblick über die Netzwerkvorgänge voraus        den User angeblich aus Sicherheitsgründen         Im letzten Schritt
– und hier müssen Unternehmen oftmals             zum Beispiel zu einem Passwortwechsel             Dass die Umsetzung von IT-Sicherheitsmaß­
noch nachjustieren. Zwar setzen viele             auffordern – ähnlich wie dies bei richtigen       nahmen wie diesen maßgeblich dazu beiträgt,
Firewalls, Software-Monitoring, Endpoint          Phishing-Attacken oftmals der Fall ist. Wer       die Wahrscheinlichkeit eines Cybervorfalles
Protection sowie Systeme zur Erkennung            auf den hierfür vorgedachten Link klickt,         im eigenen Unternehmen zu reduzieren
von vermeintlichen Angriffen ein, doch sie        wird über die potenziellen Risiken informiert     beziehungsweise den eingetretenen Schaden
werten die hierbei gewonnen Informationen         und zukünftig um Vorsicht gebeten. In der         einzudämmen, ist wohl unbestritten. Zugleich
nicht systematisch aus und können als Folge       Realität hat man nicht immer das Glück,           muss aber nochmals festgehalten werden,
dessen Angriffe somit kaum erkennen – und         dass es sich um eine reine Simulation             dass erfolgreiche Cyberangriffe nie vollständig
damit auch nicht verhindern. Wichtig ist          handelt – umso größeren Mehrwert können           ausgeschlossen werden können und es einen
daher, alle zur Verfügung stehenden               jene Trainings haben, schulen sie die Beleg-      hundertprozentigen Schutz in der Realität
Informationen zu verknüpfen, und zwar             schaft schließlich darin, im Fall der Fälle       schlichtweg nicht gibt. So haben Versicherer
mittels spezieller Sicherheitssysteme, die        tatsächlich korrekt zu agieren.                   beispielweise bereits mehrere Schäden
Hinweise auf Abweichungen von vordefinierten                                                        bearbeitet, bei denen das betroffene Unter­-
„Normal­zuständen“ geben können. Fest             Expertise ist gefragt                             nehmen zwar ein sehr hohes, durchaus
steht: Ohne aktives Monitoring können             Für die Bewältigung von Notfällen und             überdurchschnittliches IT-Sicherheitslevel
Angriffe heute kaum noch frühzeitig detektiert    Krisen ist Expertise erforderlich – ob nun        vorzuweisen hatte, es aber dennoch zum
werden.                                           intern bereitgestellt oder aber über externe      Schaden kam, etwa zu längeren Betriebsunter­
                                                  Dienstleister abgedeckt. Gerade für mittel­       brechungen in Folge unentdeckter krimineller
Belegschaft „an Bord“ holen                       ständische Unternehmen kann die                   Aktivitäten. Das Risiko solcher finanziellen
Eine der größten Schwachstellen in Bezug          Unterstützung durch externe Spezialisten          Schäden, zum Beispiel in Form von Forensik-
auf die IT-Sicherheit ist nach wie vor der        enorm wichtig sein, da sie oftmals nicht          und Wiederherstellungskosten, Gewinn­
Mensch. Jene Erkenntnis ist nicht neu, heute      über die entsprechenden Fachkenntnisse            ausfällen oder fortlaufenden Kosten, wie der
jedoch gefährlicher denn je für Unternehmen.      verfügen. Mehrwert können hier besonders          Zahlung von Mitarbeitergehältern, kann
Auch Cyberkriminelle sind sich dieser Tat­sache   Computer Incident Response Teams, IT-­            aber transferiert und von Versichererseite
bewusst, haben sich dem angepasst und             Forensik-Unternehmen, und Krisen­                 her übernommen werden – ein weiterer
agieren nun immer raffinierter und kreativer,     kommunikations­berater bieten, aber auch          Schritt, der die Cyberdeckung quasi zum
um die Sicherheitslücke Mensch „zu knacken“.      geeignete Rechtsanwälte im Hinblick auf           abschließendes Glied in einer umfangreichen
Ihre bevorzugte Vorgehensweise ist derzeit        Datenschutzverletzungen. Zusätzlich kann          IT-Sicherheitskette macht. n
das sogenannte Social Engineering, mittels        eine Versicherungslösung das Restrisiko
dessen sie versuchen, Mitarbeiterinnen und        decken, das durchaus monetäre Folgen haben        Maximilian Ernst
                                                                                                    maximilian.ernst@chubb.com

                                                                                                      Über den Autor
                                                                                                      Maximilian Ernst ist Cyber Underwriter
                                                                                                      bei Chubb in München und für das Major
                                                                                                      Account Segment, also für Groß- und
                                                                                                      Industriekunden, verantwortlich. Seine
                                                                                                      Kernaufgaben sind die Risikoprüfung für den
                                                                                                      Abschluss einer Cyberversicherung sowie
                                                                                                      die anschließende Angebotsabgabe und
                                                                                                      Vertragsverhandlung.

                                                  chubb.com/de                                                                                      13
Das erste Jahr
DSGVO in der
Praxis
                                                                                                  war zu erwarten – zumindest aus der Sicht
                                                                                                  des Juristen –, denn nach dem Strafgesetz­
                                                                                                  buch kann auch ein Eierdieb theoretisch zu
                                                                                                  fünf Jahren Haft verurteilt werden; tatsächlich
                                                                                                  erhält ein solcher aber in aller Regel eine
                                                                                                  Geldstrafe von maximal einem halben Monats­-
                                                                                                  gehalt, wenn nicht das Verfahren sogar
                                                                                                  eingestellt wird. Selbst im Falle des bisherigen
                s war die Zeit um Weihnachten    Weniger schlimm als gedacht                      „Rekordhalters“, eines US-amerikanischen

     E
                2017, als der Hype um die        In Sachen Datenschutz ist glücklicherweise       Tech-Giganten, ist das von der französischen
                Datenschutz-Grundverordnung      inzwischen mehr Klarheit eingekehrt. Zu den      Aufsichtsbehörde verhängte Bußgeld von
                (DSGVO) und deren Inkraft­       befürchteten vielfältigen Abmahnungen ist es     50 Millionen Euro bei einem jährlichen
                treten immer virulenter          beispielweise nicht gekommen; sie traten         Umsatz im mittleren zweistelligen Milliarden­
wurde. Gerade kleinere Unternehmen               vielmehr nur vereinzelt und dann auch nur        bereich nicht mehr als die sprich­wörtlichen
sorgten sich sehr, was da wohl auf sie zukäme.   bei gravierenden Datenschutz­verstößen auf.      „peanuts“.
Ängste entstanden vor allem durch die            Darüber hinaus verstanden sich die Aufsichts­
exorbitant hohen möglichen Bußgelder – bis       behörden vielfach nicht als Sanktions­instanz,   Was die Zukunft bringt
zu 20 Millionen Euro oder vier Prozent des       sondern eher als eine Art Unternehmens­          Für den Verbraucher ist das Resümee
weltweiten Jahresumsatzes. Auch wurden           berater, die zumindest die Basics der            hingegen überwiegend positiv: Der vorher
geradezu tsunamiartige Abmahnwellen im           Anforderungen an Nachfragende vermittelten.      oft zu laxe Umgang mit deren teils recht
Zuge der DSGVO erwartet. Es gab also             Natürlich wurden auch bereits Bußgelder          sensiblen Daten ist nun einigermaßen gut
zahlreiche offene Fragen und Unklarheiten,       verhängt, aber die bewegten sich gerade bei      geregelt und überwacht. Abzuwarten bleibt
und so rückte der 28. Mai 2018 schließlich       weniger großen Firmen in einem eher              allerdings, was zukünftig bei gravierenden
unaufhaltsam näher, ohne dass sich an            angemessenen Rahmen. Ihre Gesamtzahl             Verstößen der großen internationalen Unter-
diesem Zustand wirklich etwas änderte.           blieb im Übrigen recht gering. Nichts anderes    nehmen jenseits des Atlantiks passiert.
                                                                                                  Sollten die Bußgelder dann nämlich eine
                                                                                                  Schmerzgrenze überschreiten, werden
                                                                                                  sicherlich langjährige Gerichtsverfahren die
                                                                                                  Folge sein – und es bleibt spannend abzuwarten,
                                                                                                  welchen Verlauf diese dann nehmen werden. n

                                                                                                  Jürgen Schmitz
                                                                                                  juergen.schmitz@chubb.com

                                                                                                    Über den Autor
                                                                                                    Jürgen Schmitz ist Senior Cyber Underwriter
                                                                                                    bei Chubb in Frankfurt im neuen Segment
                                                                                                    Middle Market und zuständig für die
                                                                                                    Regionen Mitte und Süd. Der Volljurist und
                                                                                                    zugelassene Rechtsanwalt war zuvor 17 Jahre
                                                                                                    als Senior Underwriter Financial Lines,
                                                                                                    Commercial D&O, im Unternehmen tätig und
                                                                                                    hatte zusätzlich dazu noch die Position des
                                                                                                    Datenschutzbeauftragten inne.

14                                               Face 2019 Ausgabe 2
Titelthema

Vielfältiges
                                                                                                             Unterschiedliche Voraussetzungen
                                                                                                             Geht es um die Absicherung eines Unter­
                                                                                                             nehmens, ist vor allem dessen individuelle
                                                                                                             Risikosituation von Bedeutung – und diese
                                                                                                             kann nicht nur von Firma zu Firma, sondern

„Cyber Space
                                                                                                             vor allem von Branche zu Branche deutlich
                                                                                                             variieren. Wichtig für die Underwriting-
                                                                                                             Bewertung ist daher eine Unterscheidung
                                                                                                             der branchenspezifischen Risiken.
                                                                                                             Beispielsweise speichern produzierende
                                                                                                             Unternehmen zwar deutlich weniger

Germany“
                                                                                                             personenbezogene Daten als andere
                                                                                                             Industrien und sind demnach einem
                                                                                                             grundsätzlich geringeren Haftpflichtrisiko
                                                                                                             im Falle eines Datenverlusts ausgesetzt,
                                                                                                             aber sie haben stattdessen zumeist ein
                                                                                                             deutlich erhöhtes Risiko im Bereich der
                                                                                                             Betriebs­unterbrechung. Denn wenn etwa
                                                                                                             industrielle Steuerungssysteme in der
                                                                                                             Produktion verwendet werden, die im
                                                                                                             schlimmsten Fall netzwerktechnisch über
                                                                                                             die herkömmliche Büro-IT zu erreichen sind
                                                                                                             oder eine direkte Anbindung an das Internet
                                                                                                             haben, können auch externe Angreifer sich
                                                                                                             relativ leicht Zugang verschaffen und die
                 ie Digitalisierung ist seit einigen   zur Diversifizierung eines vorhandenen Rest-          Produktion beeinträchtigen oder unterbrechen.

  D
                 Jahren eines der Top-Themen,          risikos. Wenn also nicht eindeutig ersichtlich ist,   Anders sieht es wiederum zum Beispiel im
                 das die Wirtschaft bewegt,            dass ausreichend professionelle präventive            Gesundheits­wesen aus; hier ist zusätzlich
                 denn schließlich bietet der           Maßnahmen bereits intern getroffen wurden,            eine deutlich erhöhte Exponierung im Bereich
                 Megatrend immense Chancen             ist es sehr unwahrscheinlich, dass ein                der Haftpflicht gegeben, denn Krankenakten
und Vorteile. So ermöglichen digitalisierte            Versicherer dieses Restrisiko übernimmt.              werden zunehmend digitalisiert und enthalten
Geschäftsprozesse Unternehmen ein                      Dies würde quasi einer Feuerversicherung              hochsensible personenbezogene Gesundheits­
schnelleres, vereinfachtes und vor allem               gleichkommen, die für ein bereits brennendes          daten. Bei einem Ausfall des Patienten­
effizienteres Agieren, wodurch sich eine               Haus abgeschlossen wird und jenes versichern          verwaltungs­systems beziehungsweise einer
verbesserte Wettbewerbsfähigkeit ergibt.               soll. Es leuchtet ein, dass dies wirtschaftlich       Verschlüsselung der Daten durch Ransomware
Gleichzeitig entsteht durch die immer weiter           wenig sinnvoll wäre.                                  kommt hierbei außerdem hinzu, dass ohne
fortschreitende Digitalisierung und Vernetzung                                                               eine professionelle Notfall­planung in Form
zwangsläufig allerdings auch eine enorm hohe           Abgesichert oder doch nicht?                          fest definierter Verantwortlichkeiten und
Abhängigkeit von der IT, was Unternehmen               Kommt es zum Cybervorfall, ist eine spezifische       Kommunikationsabläufe nur allzu leicht
entsprechend verwundbar macht. Ob System­              Absicherung für Unternehmen allerdings                Chaos entstehen kann.
ausfälle, Fehler oder Angriffe, im schlimmsten         unverzichtbar, da der Deckungsschutz
Fall können solche Vorfälle den Fortbestand            klassischer Versicherungen (etwa Haftpflicht,         Hochgradig exponiert
eines Unternehmens gefährden. Dabei stellt             Sach- oder Vertrauensschaden) für die                 Angreifern wird der vollumfängliche Zugang
sich für Firmen aber nicht die Frage, ob               Deckung der Cyberrisiken nicht ausreicht.             zum Unternehmensnetzwerk vor allem
derartige Schäden eintreten, sondern lediglich         So bieten Haftpflichtdeckungen beispielweise          erleichtert, wenn Bereiche, wie Patienten­
wann und welche Implikationen diese dann               keine Absicherung für die Kosten im Eigen-            verwaltungssysteme, Medizintechnik, OP
konkret haben werden.                                  schadenbereich und zielen in der Regel auf            und die gewöhnliche Büro-IT, nicht ausreichend
                                                       Personen- oder Sachschäden ab, die bei Cyber-         segmentiert sind und veraltete Systeme
Kein Ersatz, sondern Zusatz                            angriffen aber zumeist nicht vorhanden sind.          verwendet werden, die nicht regelmäßig
Eine spezielle Deckung kann Unternehmen                Aufgrund dieses fehlenden physisch bedingten          gepatcht und upgedatet werden. Aus diesem
zwar gegen die wirtschaftlichen Auswirkungen           Triggers bieten auch Sachver­sicherungen              Grund macht es auch Sinn, dass Krankenakten
von Cyberangriffen schützen, aber entbindet            keine Deckung, obwohl sie die Kosten einer            nochmals schriftlich vorliegen, sollte es
sie nicht von der grundsätzlichen Verpflichtung,       Betriebsunterbrechung und entstehende                 tatsächlich zum Cybervorfall kommen. Denn
Cyberrisiken durch ein professionelles Risiko-         Mehrkosten grundsätzlich absichern können.            man stelle sich nur vor, dass ein Klinikarzt
management und entsprechende Sicherheits­              Vertrauensschaden­versicherungen, die in              im Notfall nicht in der Lage ist, Patienten
maßnahmen zunächst selbst aktiv zu steuern             ihrem Deckungs­umfang im Hinblick auf                 aufgrund fehlender elektronischer Gesundheits­
und zu minimieren. Im klassischen Risiko­              Computerstraftaten zwar ggf. erweitert                informationen fachgerecht zu behandeln.
managementprozess ist der Risikotransfer               werden, umfassen jedoch prinzipiell keine             Auch wenn Cyberversicherungen grundsätzlich
über die Versicherung lediglich die letzte Stufe       Schadensersatzansprüche Dritter.                      keinen Personenschaden decken, zeigt dieses

                                                       chubb.com/de                                                                                     15
Beispiel, welche dramatischen Auswirkungen
ein Vorfall auf die Betroffenen haben kann.
Diese spezifische Betrachtung lässt sich nun
auch auf andere Geschäfts­modelle, wie
beispielsweise den Einzel­handel, die Finanz­
branche oder die Technologiebranche,
übertragen. Je nach Geschäftsmodell ergeben
sich unterschiedliche Exponierungen, die im
Rahmen der Cyber­risikobewertung
entsprechend berücksichtigt werden müssen.

Externe Unterstützung                             Dienstleister passieren, die etwa mittels
Auch wenn sich Cyberrisiken im Hinblick auf       Passwortverwaltungslösungen oder auch
die Geschäftsmodelle von Unternehmen              Phishing-Simulationen dazu beitragen sollen,
sowie auch in Bezug auf deren Größe durchaus      Mitarbeiterinnen und Mitarbeiter des
unterscheiden können, eines haben Groß-           Unternehmens zu aktuellen Themen der
konzerne, Klein- und Mittelstands­betriebe        Informationssicherheit und Cyber Security
hierbei gemein: Sie alle können Opfer von         aufzuklären. Außerdem können für den
Cyberkriminellen werden. Das Risiko besteht       Schadenfall die Dienste eines globalen Incident
heute für jedes Unternehmen – eine Tatsache,      Response Managers zur Verfügung gestellt
der sich insbesondere kleinere Firmen noch        werden, was insbesondere für kleinere Firmen
stärker bewusst werden müssen, da sie sich        von großem Mehrwert sein kann, da diese           Solutions ermöglichen über eine innovative
aufgrund ihrer Größe zumeist nicht gefährdet      intern oftmals nicht über die notwendigen         Plattformtechnologie einen hocheffizienten
sehen. Dies ist allerdings ein Trugschluss,       Ressourcen hierfür verfügen. Da die Aus-          und gleichzeitig deutlich vereinfachten
denn Schutzmaßnahmen können bei kleinen           ­wirkungen eines Angriffs durch eine              Angebots- und Policierungsprozess mit
Betrieben oftmals nicht in gleichem Umfang         professionelle Handhabung deutlich limitiert     zusätzlichen Services und Schnittstellen.
und in gleicher Güte umgesetzt werden wie          und das Schadenpotential dadurch                 Makler können so die eigenen Arbeits­
bei größeren Unternehmen. Häufig sind bei          entsprechend minimiert werden kann, ist          prozesse weiter reduzieren, da sich etwa
diesen zudem hohe Abhängigkeiten von               dies sogar gleich zweifach von Vorteil –         durch eine technische Risikoanalyse der
Cloud-Dienstleistern oder anderen IT-              einerseits natürlich für das Unternehmen         Quotierungsprozess auf wenige Standard­
Dienstleistern gegeben – ein wichtiger Aspekt,     selbst, andererseits zwangsläufig auch für       fragen optimiert, die mit ‚Ja‘ oder ‚Nein‘
denn ein Cybervorfall muss nicht zwangsläufig      den Versicherer.                                 beantwortet werden. Die Folge: Sie haben
aus einem Angriff auf das eigene Unternehmen                                                        einerseits die Möglichkeit, effizienter zu
resultieren, sondern kann auch indirekt           Moderne Lösungen benötigt                         agieren und können dadurch andererseits
über Dritte, wie zum Beispiel einen Dienst­       In diesem Segment sind des Weiteren vor           ihre Unternehmenskunden im kleineren und
leister, verursacht werden. Um allerdings         allem einfache und schnelle Versicherungs­        mittleren Segment (KMU) mit modernen
insbesondere mitarbeiterbedingte Cyber­           lösungen gefragt, weshalb die Branche             Lösungen bei der Absicherung von Cyber­
vorfälle in Zukunft (noch) besser kontrollieren   inzwischen mit speziellen Online-Produkten        risiken unterstützen.
zu können, bieten einige Versicherer, wie         für Cyberrisiken reagiert hat, um den
auch Chubb, Unternehmen inzwischen                Bedürfnissen von Kleinunternehmen besser          Große Unternehmen, große Risiken
Unterstützung bei dieser Herausforderung.         nachkommen zu können. Solche neuen                Während Online-Quotierungsoptionen für
Dies kann zum Beispiel in Form kooperierender     Web­lösungen wie beispielweise Chubb Easy         den KMU-Bereich eine moderne Lösung

16                                                Face 2019 Ausgabe 2
Titelthema

darstellen, bedarf es bei größeren Unter­     häufiger im Fokus der Öffentlichkeit stehen      Am Puls der Zeit
nehmen aufgrund ihrer Komplexität hingegen    und dadurch für komplexe, zielgerichtete         Da wohl keine Risikoart so dynamisch ist wie
einer anderen Handhabung. Denn die häufig     und effektive Angriffe, sogenannte Advanced      die der Cyberrisiken, hat sich infolgedessen
global tätigen Konzerne verfügen netzwerk­    Persistent Threats (APTs), besonders exponiert   auch der Markt hinsichtlich entsprechender
technisch über vielfältige Verbindungen       sind. Hierfür gab es in der Vergangenheit        Versicherungslösungen in nur wenigen Jahren
zwischen einzelnen Standorten und werden      bereits zahlreiche Beispiele, bei denen          extrem verändert und ist noch immer
in Bezug auf ihre IT entweder zentral oder    vertrauliche Daten, wie persönliche              permanent in Bewegung – genau wie die
dezentral gesteuert. Aus diesem Grund sind    Informationen über die Mitarbeiterinnen          Gefahren selbst, die die neuen digitalen
hier gesonderte Risikodialoge – in enger      und Mitarbeiter der Firma und deren Familien,    Anwendungen mit sich bringen. Aus diesem
Abstimmung mit dem Bereich Risk Engineering   E-Mails, Informationen über Gehälter der         Grund besteht auch die Notwendigkeit,
– vonnöten, um das spezifische Cyberrisiko    Führungskräfte und weitere hochsensible          Lösungen und Produkte fortlaufend an den
des Unternehmens zu identifizieren und        Daten, entwendet wurden. Einige betroffene       Cybermarkt und damit an die Bedürfnisse
entsprechend zu bewerten. Zu beachten ist     Unternehmen sahen sich in Folge dessen           von Unternehmen anzupassen. Seien es nun
auch, dass insbesondere große Unternehmen     sogar noch mit Erpressungsversuchen durch        potentielle neue Deckungen in Bereichen wie
                                              Cyberkriminelle konfrontiert. Großkonzerne       Reputationsschäden oder im Hinblick auf
                                              sind in Sachen Cyberversicherung nach            Social Engineering beziehungsweise Fake
                                              aktuellem Stand am besten aufgestellt,           President Fraud – die Möglichkeiten, die der
                                              dennoch besteht sowohl hier als auch bei         Markt bietet oder künftig bieten könnte, sind
                                              kleinen und mittelständischen Firmen häufig      vielfältig. Nicht zuletzt mag dies aber auch
                                              noch Nachholbedarf. Eine wichtige Voraus­        auf die Herausforderungen zutreffen, die das
                                              setzung ist oftmals jedoch, dass Unternehmen     „Cyber Space Germany“ birgt… n
                                              – unterstützt auch durch Versicherer und
                                              Makler – ein (noch) besseres Verständnis für     Benedikt Klingenheben
                                              die Einschätzung der eigenen Cyberrisiken        benedikt.klingenheben@chubb.com
                                              und die Abstimmung der darauf folgenden
                                              Schutzmaßnahmen erhalten.                        Jürgen Schmitz
                                                                                               juergen.schmitz@chubb.com

                                                                                                Über die Autoren
                                                                                                Über Benedikt Klingenheben
                                                                                                Benedikt Klingenheben ist seit September 2018
                                                                                                Cyber Underwriter bei Chubb in Düsseldorf
                                                                                                und im neuen Segment Middle Market
                                                                                                zuständig für die Region West. Der Kaufmann
                                                                                                für Versicherungen und Finanzen sowie
                                                                                                Master-Absolvent in Versicherungswesen von
                                                                                                der Technischen Hochschule Köln ist zusätzlich
                                                                                                „Associate of (ISC)2“ mit einer Spezialisierung
                                                                                                im Bereich „Information Security Leadership &
                                                                                                Operations“.

                                                                                                Über Jürgen Schmitz
                                                                                                 Jürgen Schmitz ist Senior Cyber Underwriter
                                                                                                 bei Chubb in Frankfurt im neuen Segment
                                                                                                 Middle Market und zuständig für die Regionen
                                                                                                 Mitte und Süd. Der Volljurist und zugelassene
                                                                                                 Rechtsanwalt war zuvor 17 Jahre als Senior
                                                                                                 Underwriter Financial Lines, Commercial D&O,
                                                                                                 im Unternehmen tätig und hatte zusätzlich dazu
                                                                                                 noch die Position des Datenschutzbeauftragten
                                                                                                 inne.

                                              chubb.com/de                                                                                        17
Viele Wege führen
zum Cyberschaden
         I
                    nfolge der zunehmenden           Einwirkungen, Zugriffe und Nutzung von
                    Digitalisierung steigt für       IT-Systemen des Versicherten sowie für etwaig
                    Unternehmen die Gefahr,          anfallende Kosten im Zuge des Cyberschadens.
                    Opfer von Cyberkriminalität      Um die komplexe Risikoart besser zu verstehen,
                    zu werden. Die Bandbreite        werden im Folgenden einige beispielhafte
     möglicher Schäden ist hierbei groß und reicht   Cyberschäden aus der Praxis erläutert.
     von einem Ausfall der IT-Systeme mit einer
     daraus folgenden Unterbrechung der Geschäfts­   Trojaner lähmt die Produktion
     tätigkeit über den Diebstahl wichtiger          In einem mittelständischen deutschen
     beziehungsweise sensibler Daten bis hin zu      Produktionsunternehmen traten Anfang Juli
     einem Reputationsverlust. In der Praxis sind    2018 vermehrt Auffälligkeiten in den IT-
     Cyberschadenfälle aufgrund der umfassenden      Systemen auf. Einige Tage später war das
     Deckung komplex und vielschichtig.              gesamte IT-System nicht mehr funktionsfähig,
     Vereinfacht dargestellt besteht Deckung für     so dass der Cybervorfall daraufhin über das
     Schäden des Versicherten (Eigenschaden)         Cyber Incident Center gemeldet wurde.
     und Schäden Dritter infolge unbefugter          Über das Wochenende wurden bereits erste

18   Face 2019 Ausgabe 2
Titelthema

Maßnahmen organisiert und zwei IT-Forensiker         Gesellschaft und koordinierte als Krisen­           der Computersysteme beauftragten Spezialisten
zusätzlich zu dem vom Unternehmen bereits            reaktions­manager die Einschaltung eines            entsprechende Sofortmaßnahmen und
vorher beschäftigten IT-Dienstleister beauftragt.    IT-Forensikers, der gemeinsam mit der               entfernten die Malware von dem Rechner
Zum Wochenstart konnten schließlich einige           lokalen IT die Arbeitsfähigkeit wiederherstellte.   des Geschäftsführers. Parallel dazu übernahm
Teile der Belegschaft wieder ihrer Arbeit            Nachdem zudem sichergestellt wurde, dass            ein vor Ort eingeschalteter Incident Response
nachgehen, zusätzlich wurden verschiedene            alle Systeme wieder komplett fehlerfrei             Manager die Koordination dafür, dass ein
Behelfslösungen implementiert. Die forensische       funktionieren, konnte die Tochtergesellschaft       weiterer IT-Forensiker hinzugezogen wurde
Analyse ergab, dass das IT-System des Unter-         bereits acht Tage nach der Ransomware-              und dieser wiederum den bereits einge­
nehmens umfassend mit der Schadsoftware              Attacke ihren regulären Betrieb wieder              schalteten Spezialisten bei der Reinigung des
„Emotet“ beziehungsweise „Trickbot“ infiziert        aufnehmen und wurde erneut an das                   gesamten infizierten Systems unterstützte.
war. Hierbei handelt es sich um zwei sehr            konzerninterne Netzwerk angeschlossen.              Nachdem die Täuschung durch das betroffene
fortgeschrittene beziehungsweise komplexe            Dass ein weitergehender Schaden vermieden           Tochterunternehmen entdeckt wurde, ist es
Trojaner, die dazu in der Lage sind, sowohl          wurde, lag insbesondere an dem guten                diesem lediglich gelungen, die Zahlung, die
verschiedene weitere Schadsoftwaremodule             Krisenmanagement auf Seiten der Kundin.             von dem in Osteuropa ansässigen Unternehmen
nachzuladen als auch die eigenen Spuren              Die schnelle Entdeckung und die unmittelbar         geleistete wurde, rückabzuwickeln.
zu verschleiern, um so immensen Schaden              erfolgte Abschaltung des Servers sowie das
anrichten zu können. Glücklicherweise                Vorhandensein von nicht infizierten Backups         Zeit ist Geld
konnten die IT-Forensiker im Falle des               verhinderten einen größeren Schaden.                Cybervorfälle beziehungsweise -schäden wie
betroffenen Unternehmens jedoch keinen                                                                   diese können Unternehmen teuer zu stehen
Datenabfluss feststellen. Parallel hierzu            Einfallstor E-Mail                                  kommen – dieser Tatsache sind sich inzwischen
wurden mit Hilfe einer hinzugezogenen                Der Geschäftsführer eines in Nordeuropa             die meisten Firmen bewusst. Geht es um
Rechtsanwaltskanzlei etwaige Informations­           ansässigen Tochterunternehmens einer                den finanziellen Schaden, der ihnen dabei
pflichten geprüft und entsprechend erfüllt.          deutschen Versicherungsnehmerin wurde               entstehen kann, erweist sich insbesondere
Da das Bundesamt für Sicherheit in der               Opfer einer Phishing-Attacke, durch die sich        die Reaktionszeit als entscheidend. Denn
Informationstechnik (BSI) während des                Cyberkriminelle Zugriff auf sein E-Mail-Konto       je länger ein Vorfall nicht entdeckt wird
laufenden Cybervorfalls eine Warnung zu              verschafften. Über einen längeren Zeitraum          beziehungsweise werden kann, desto höhere
„Emotet“ herausgab und nach einem Befall             hinweg wurden so die E-Mails des Geschäfts­         Kosten entstehen dem betroffenen Unter­
mit dem Trojaner einen völligen Neuaufbau            führers unbemerkt an diverse E-Mail-Accounts        nehmen. Ähnliches gilt entsprechend auch
der IT-Systeme empfahl, wurde dies auch im           der Täter weitergeleitet. Auf diese Weise           für die Bearbeitung eines Cyberschadens, da
Hinblick auf das Produktionsunternehmen              wurde das E-Mail-Konto des Geschäftsführers         ein schnelles, effizientes und richtiges Handeln
berücksichtigt. Damit das Unternehmen                und entsprechend dessen Korrespondenz               maßgeblich dazu beiträgt, dass Schäden
allerdings trotz des erforderlichen Neuaufbaus       ausgelesen, wodurch die Cyberkriminellen            bestmöglich minimiert werden können. Und
der IT-Systeme noch weiter produzieren               genaue Kenntnisse über die Geschäfts­               sollten im Cyberschadenfall dennoch Kosten
konnte – wenn auch natürlich mit erheblichen         beziehungen der betroffenen Tochter unter           beispielweise für Krisenreaktionsmanager,
Einschränkungen –, erstreckte sich dieser            anderem zu einem in Süd- und einem in               IT-Forensiker oder im Hinblick auf einen
Vorgang auf einige Monate. Am Ende waren             Osteuropa ansässigen Unternehmen erhielten          Betriebsunterbrechungsschaden anfallen,
Kosten und Betriebsunterbrechungsschäden             und welche Forderungen in diesem Zusammen­          kann jenes Restrisiko durch den Versicherer
in Höhe von über einer Million Euro angefallen.      hang bestanden. Auf Basis dieser Informationen      getragen werden. n
                                                     richteten die Täter einen neuen E-Mail-
Digitale Erpressung gemeistert                       Account ein, der dem des Geschäftsführers           Björn Fehre
Am 4. Juni 2018 wurden der Server und einige         sehr ähnlich war, und versendeten von               bfehre@chubb.com
Arbeitsplätze einer in Italien ansässigen Tochter-   jenem Account aus Rechnungen an beide
gesellschaft einer deutschen Kundin mittels          erwähnten europäischen Geschäftspartner.
Ransomware, also einer sogenannten                   Für die Empfänger war auf den ersten Blick            Über den Autor
Erpressungssoftware, verschlüsselt. Zwei             nicht zu erkennen, dass die Mails nicht von
                                                                                                           Björn Fehre ist seit 2016 Leiter der Abteilung
Stunden nach der Attacke bemerkte die                dem Account des Geschäftsführers gesendet
                                                                                                           Financial Lines Claims bei Chubb in Düsseldorf.
lokale IT die Attacke, nahm den Server               wurden. Hierbei wurden die Empfänger
                                                                                                           Seine Laufbahn im Unternehmen startete er
vom Netz und kappte die konzerninternen              auch dazu aufgefordert beziehungsweise
                                                                                                           2009 zunächst als Specialty Claims Examiner,
Verbindungen der anderen Gesellschaften              darum gebeten, den Rechnungsbetrag nicht
                                                                                                           ab 2010 übernahm er dann als Technical
der Unternehmensgruppe. Zudem wurde                  auf die in den Rechnungen angegebenen
                                                                                                           Supervisor die fachliche Führung des Specialty
die deutsche Muttergesellschaft über den             Bankkonten zu überweisen, sondern hierfür
                                                                                                           Claims für Deutschland und Österreich.
Vorfall informiert, die 22 Stunden nach der          stattdessen das in der E-Mail erwähnte neue
                                                                                                           Björn Fehre, Jahrgange 1975, studierte
Entdeckung den Schaden wiederum telefonisch          Konto zu nutzen. Dieses war zwar bei der
                                                                                                           Rechtswissenschaft an der Universität Hamburg;
über das das Cyber Incident Response Center          gleichen Bank, jedoch handelte es sich dabei
                                                                                                           sein zweites Staatsexamen absolvierte er am
meldete. 45 Minuten nach Eingang der                 nicht um ein Konto des Tochterunternehmens,
                                                                                                           Oberlandesgericht Düsseldorf. Von 2002 bis
Schadenmeldung kontaktierte der globale –            sondern vielmehr um das der Cyberkriminellen.
                                                                                                           2009 war er als angestellter Rechtsanwalt mit
und in diesem Fall auch in Italien – vertretene      Nachdem der Betrug und im Zuge dessen die
                                                                                                           den Schwerpunkten Bank- und Kapitalmarkt­
Incident Response-Dienstleister den IT-              Phishing-Attacke bemerkt wurde, ergriffen
                                                                                                           recht sowie Handels- und Gesellschaftsrecht tätig.
Administrator der betroffenen italienischen          die vom Tochterunternehmen mit der Wartung

                                                     chubb.com/de                                                                                               19
Sie können auch lesen