Cyberversicherung Inside

00:00:00: Es war halt die große Geschichte, die man spektakulär verwenden konnte.

00:00:05: Z.B.

00:00:05: der MERSC CEO, war damals groß in der Presse, hat offengelegt, was das mit seinem Unternehmen gemacht hat.

00:00:12: Auf so eine Dinge konnte man natürlich eingehen.

00:00:14: Die New York Times wurde gehackt und so weiter.

00:00:16: Man hat eigentlich Hacker-Szenarien ausgebreitet.

00:00:20: Wenn man mit dem Chaos-Computer-Club unterwegs, wurde gefühlt jedes zweite Jahr die Kundendaten abgeräumt.

00:00:29: Das waren so die Szenarien, mit denen wir gestartet sind und wo jedes Unternehmen immer für sich beschlossen hat, passiert bei uns nicht.

00:00:36: Wir sind zu unwichtig, wir sind zu klein, für keiner interessiert sich für uns und die, die vielleicht wichtig genug sind, die waren uns zu gefährlich.

00:01:00: Hallo und herzlich willkommen zu einer weiteren Folge von Highway, unserem Podcast bei der High Solutions.

00:01:06: Heute freue ich mich ganz besonders, dass wir einen spannenden Experten da haben, der nicht nur von der High Solutions ist, sondern von einem unserer spannenden Partner und damit noch mal eine ganz andere Perspektive auf ein gemeinsam betreutes Thema mitbringen kann.

00:01:18: Das heißt, du hast Dinge für mich zu erzählen, auf die auch ich neugierig bin.

00:01:22: Wir haben uns vorher schon ein bisschen unterhalten.

00:01:24: Ich weiß, was ich dich fragen möchte.

00:01:25: Aber erst werde ich dich vorstellen.

00:01:27: Du bist Roman Portica, du bist Underwriter bei der Hiscox.

00:01:31: Die Hiscox ist eine Versicherung, mit der wir ... im Rahmen einer Cyberversicherung schon seit vielen Jahren, seit fünfzehn Jahren jetzt gemeinsam arbeiten bei der High Solutions.

00:01:40: Also eine sehr langjährige Partnerschaft, wo wir an vielen unterschiedlichen Stellen uns gegenseitig unterstützt und voneinander gelernt haben.

00:01:46: Und ich freue mich, dass du heute quasi auf das Thema Cybervorfälle aus deiner Sicht deine Perspektive noch mal beisteuern kannst, weil wir kennen das aus der technischen Perspektive, aus der akuten Reaktion auf die Krise.

00:02:00: Du kennst noch mal ... eine andere Sichtweise darauf.

00:02:05: Genau.

00:02:06: Ich dachte, du könntest uns ganz am Anfang erzählen.

00:02:09: Wir sind ja also im Konsulting unterwegs.

00:02:11: Underwriter ist noch mal ein anderer Beruf.

00:02:13: Was tust du eigentlich?

00:02:15: Ja, die Frage kommt häufiger.

00:02:16: Meine Kinder haben mich das auch gefragt, ob ich ein ganzes Tag eigentlich nur Unterschriften leiste und wie kompliziert das eigentlich wäre.

00:02:22: Tatsächlich ist es oder ist es die Bezeichnung für die Risikobewertung.

00:02:26: Also früher gab es aktuelle und man hat starre Tarife gehabt.

00:02:30: Und aus dem englischen Raum kommt eben, deswegen auch der Begriff übernommen, sehr stark dieses Thema, sich Risiken anzugucken, individuell anzugucken und Lösungen zu finden.

00:02:39: Das also zu underwriting, das ist das Prinzip underwriter.

00:02:46: Und damit sind wir eigentlich schon mittendrin.

00:02:48: Du hast einen ganz breiten Überblick, weil zu dir ja Organisationen kommen, die gerne ihre Cyberrisiken versichern wollen.

00:02:56: Und dann betrachtest du die, das heißt du hast sozusagen, du verschaffst dir einen Einblick in irgendeiner Form.

00:03:02: An einem Zeitpunkt, wo wir mit denjenigen meistens noch gar nichts zu tun haben bei uns, denn wir sind meistens dann dran, wenn der Vorfall passiert ist oder manchmal auch dann, wenn irgendwo eine Cyberversicherung abgelehnt wurde und jemand zusätzliche Maßnahmen implementieren möchte, um vielleicht doch noch eine Police zu bekommen.

00:03:16: Auch den Fall haben wir manchmal da.

00:03:18: Lass uns mal historisch gucken.

00:03:20: Also, weil das schon so lange geht, vor fünfzehn Jahren sah die Welt anders aus.

00:03:23: Wir hatten auch von der Weile ein Podcast, wo der Kollege Jan noch mal erzählt hat, wie sozusagen aus der technischen Sicht der erste Ransomware-Fall damals war.

00:03:33: Als du vor fünfzehn Jahren, du warst da mit dabei tatsächlich, als das Produkt gestartet ist, wie sah die Welt damals aus?

00:03:40: Auf jeden Fall hat die Welt nicht auf eine Cyberversicherung gewartet und in Deutschland war jetzt auch nicht die große die große Awareness auf dem Thema da.

00:03:47: Also wir haben das Ding nicht mit Cyber begonnen, sondern das Seize Data Risk.

00:03:52: Das gibt so ein bisschen die Idee, in welcher Ecke man damals gedacht hat.

00:03:56: Als wir es rausgebracht haben, es kam wie so ziemlich alles aus dem US-amerikanischen und englischen Markt, wo das schon ein bisschen etablierter war.

00:04:03: Und wir sind in Deutschland auf den Markt gegangen mit ganz vielen Worldshows, ganz viel bei Kunden gewesen, haben versucht, das den Leuten nahezubringen.

00:04:12: Und die Annäherung war halt so ... Okay, was könnte eigentlich passieren?

00:04:17: Und so mögliche Denkmodelle waren ja ins Blaue gedacht, weil es ja eben keine praktischen Schadenbeispiele gab.

00:04:24: Die, die wir hatten, waren aus dem US-Bereich und waren eben mit deren absurden Haftungsum versehen.

00:04:30: Da hat in Deutschland jeder abgewunken und gesagt, ja, passiert ja hier nicht.

00:04:35: Und das war eigentlich so die Hauptschwierigkeit und die Hauptchallenge am Anfang.

00:04:38: Alle fanden es spannend.

00:04:39: Ich glaube, man hat nie so einfach Termine bekommen, aber niemand hat es am Ende gekauft, weil eben immer die Frage ja.

00:04:45: Gucken wir uns mal an, was das sein soll.

00:04:47: Und thematisch haben wir es aufgesetzt.

00:04:50: Damals haben wir sechs Module gebaut und haben uns überlegt, was kann eigentlich passieren.

00:04:55: Wir hatten tatsächlich zwei verschiedene Haftpflichtmodule.

00:04:58: Heutzutage ist das ein... sehr, sehr kleiner Nebenbereich.

00:05:00: Aber damals haben wir gedacht, oh, die Datenhaftlich.

00:05:02: Die ist ganz, ganz schwierig.

00:05:03: Wir hatten ganz viel Angst vor Daten.

00:05:05: DSG war oberfrisch.

00:05:07: Es gab ganz viel, sozusagen, GDPR-Richtlinien und so weiter.

00:05:13: Da war ein großer Trend.

00:05:14: Damit haben sich alle beschäftigt.

00:05:15: Also konnte man da gut draufsetzen.

00:05:17: Also pass auf, Datenhaftlich.

00:05:19: Verlust von Daten ist ein Riesenthema.

00:05:21: Unsere ersten Roadshows, da haben wir irgendwie die Zuhörer, die Zuschauer gefragt.

00:05:25: Wissen Sie eigentlich, wie viele Laptops pro Tag am Flughafen Schaltegoel gestohlen werden?

00:05:31: Das waren, glaube ich, dreihundertsiebzig Stück oder sowas.

00:05:33: Und haben dieses Szenario aufgezeigt, Mensch, dein Laptop ist weg, du hast all deine Kundendaten drauf und dann musst du über Forensik, High Solutions, mit euch rausfinden.

00:05:41: Was ist da eigentlich drauf?

00:05:42: Lockpiles auslesen und so weiter.

00:05:44: Heutzutage gar nicht mehr denkbar, weil man sich Remote irgendwo einwählt und gar keine physischen Daten mehr auf den Rechnern hat.

00:05:52: Aber damals war das das größtmögliche Szenario.

00:05:55: und das zweitgroße Szenario war das Thema Kreditkartendaten.

00:05:59: Also wir haben ganz ganz viel benutzt du denn Kreditkarten für deine Zahlungsströme.

00:06:05: Damals war auch PayPal noch nicht so allgegenwärtig.

00:06:08: Es gab es natürlich, aber viele haben tatsächlich noch so eine eigene kleine Kreditkarten, Abfrageschleifen eingebaut mit sehr, sehr simplen Makrostrukturen, die natürlich auch leicht zu ändern waren.

00:06:20: Das heißt, wir haben gefragt, Mensch, bist du PCI compliant?

00:06:23: Wie viele Kreditkartendaten verarbeitest du pro Jahr?

00:06:26: Das war unser Hauptthema.

00:06:28: Also, davor hatten wir wirklich Angst.

00:06:31: Und natürlich war schon ein BU-Segment dabei.

00:06:34: Es war auch ein Lösegeld-Segment dabei.

00:06:37: Aber das Thema Hacker Protection hieß einer der sechs Bausteine.

00:06:42: Das ist heute im Prinzip sag ich mal, der wesentliche Teil der Deckung.

00:06:47: Das war so ein Nehmenthema.

00:06:49: Da hat man mit dem Bundeskriminalamt versucht, Geschichten zu erzählen, was dann heutzutage passieren kann.

00:06:54: Aber es war immer sehr weit weg.

00:06:56: Okay.

00:06:57: Das heißt, es ist eine ganz schöne Entwicklung gewesen.

00:06:59: über die Zeit.

00:07:01: Ich vermute, es sind nicht mehr die gleichen sechs Module, die ihr heute anbietet.

00:07:03: Hast du schon angedacht, dass es in unterschiedliche Richtungen geht?

00:07:08: Aus unserer Sicht, also sozusagen ... Was für uns neu geworden ist, sind die großen Angriffswellen, die wir ... Ich haf nie um, war eine große Angriffswelle, wo auf einmal sehr viele Betroffene parallel waren.

00:07:18: Das wird sicher auch in der Versicherungswellen ausgelöst haben, solche Szenarien.

00:07:23: Aber überhaupt, ich glaub, du hattest in der Vorbereitung erwähnt, dass ihr viel mehr auf zielgerichtete Angriffe geguckt hattet am Anfang.

00:07:30: Und dass sich auch ... Hin entwickelt hat eben diese opportunistischen großen Angriffswellen, vielmehr im Blick nehmen zu müssen.

00:07:36: Es war halt die große Geschichte, die man halt spektakulär verwenden konnte.

00:07:41: Zum Beispiel der Marsk CEO war damals groß in der Presse, hat offengelegt, was das mit seinem Unternehmen gemacht hat.

00:07:48: Auf so eine Dinge konnte man natürlich eingehen, die New York Times wurde gehackt und so weiter.

00:07:52: Das waren so, also man hat eigentlich Hacker-Szenarien.

00:07:56: ausgebreitet, wenn man mit dem Chaos-Computer-Club unterwegs, wurde gefühlt jedes zweite Jahr einmal die Kundendaten abgeräumt.

00:08:05: Das waren die Szenarien, mit denen wir gestartet sind und wo jedes Unternehmen immer für sich beschlossen hat, passiert bei uns nicht.

00:08:12: Wir sind zu unwichtig, wir sind zu klein, für keiner interessiert sich für uns und die, die vielleicht wichtig genug sind, waren uns zu gefährlich.

00:08:21: Da waren wir so ein bisschen in der Schleife gefangen, dass es tatsächlich schwierig war, da die richtigen Kunden zu finden.

00:08:26: Und der große Brustlöser oder der Booster war tatsächlich die erste Wette der Trojana, der Lockitrojana.

00:08:35: Der hat es bis in die Tagesschau geschafft.

00:08:36: Da hat jede Menge Privatkunden, Menschen wie du und ich, einfach erwischt, die dann festgestellt haben, oh, das kann passieren, obwohl ich gar nicht wichtig bin.

00:08:46: Obwohl sich niemand für mich interessiert, kann das passieren.

00:08:49: ist tatsächlich im Jahr zwei Tausendsechzehn.

00:08:51: meine Wahrnehmung, ist über die massive Verbreitung dieser Verschlüsselungstrojaner, wie gesagt, Locky war, glaube ich, mit der Erste.

00:08:59: Über diese Welle ist die erste große Nachfrage erzeugt.

00:09:02: Hafnium kam dann später, aber Locky war wirklich der Boost, wo der Markt richtig begonnen hat anzuziehen.

00:09:08: Also fünf Jahre nach dem Launch.

00:09:09: im Prinzip ging dann so wirklich das Ganze los.

00:09:16: Das muss eigentlich auch bei euch im Onboarding relativ viel verändert haben.

00:09:19: Oder also, dass sich die Bedrohungen, die ihr im Blick habt, verändert, dass sich vielleicht auch die Organisationen, die Anfragen verändert haben, wird wahrscheinlich den Onboarding-Prozess verändert haben.

00:09:27: Die ganze Zeit, das ist ja, es ist die Schwierigkeit eines Versicherers, dass wir irgendwie normalerweise eine Versicherung beruht, darauf historische Daten auszuwerten, hochzurechnen und am Ende zu sagen, okay, Es brennt so und so oft in Berlin im Stadtteil Steglitz und dann kann ich ungefähr sagen, was dich deine Hausversicherung kosten muss.

00:09:46: Das war im Saarweibereich natürlich überhaupt nicht möglich, weil die statistischen Daten fehlten.

00:09:52: Das heißt, man war immer sehr in einem Graubereich unterwegs, wo man vermuten musste, ahnen musste, wo man sich auf Experten wie euch und andere verlassen muss, was man sich vorstellen kann, was man denken kann, was vorhin im Podcast das Kollegen zitiert.

00:10:06: Als er den ersten Renzumherfall beschrieb, das war für uns undenkbar.

00:10:10: Das war für, glaube ich, alle ein echter Game Changer.

00:10:14: Und natürlich musst du dann komplett die Art und Weise, wie du auf Kunden zugehst, wie du sie prüfst.

00:10:19: Wie ich gerade sagte am Anfang, wie viel Kreditkartendaten hast du, wie viele Daten hast du überhaupt, wie viele Kundendaten hast du.

00:10:26: Das waren so die Sachen, die uns Sorgen gemacht haben.

00:10:29: Und plötzlich sagst du, okay, wir müssen mal drüber reden.

00:10:32: Was hast du für eine Datensicherung?

00:10:33: Wie ist dein Backup-System?

00:10:35: Und dann im weiteren Schritten auch, wie Ransom wäre sicher, wie Überschreib sicher ist dein Backup-System?

00:10:40: Weil irgendwann hast du natürlich eine Risikofahrer und sagst, du hast ein Backup und alle sagen, na klar, hab ich hier.

00:10:45: Die Festplatte steckt außen dran, da wird das gespeichert, einmal am Tag.

00:10:48: Die steckt halt nur permanent dran, hilft gar nix.

00:10:51: Das muss man aber, das ist ein alles Lernschleifen, das Entscheidende in dem Bereich ist, schnell zu reagieren.

00:10:56: Sehr schnell zu reagieren, wenn man dann realisiert,

00:10:59: Oh,

00:11:00: das ist ein riesen Thema und auch da war die Zusammenarbeit mit High Solutions ganz wichtig, weil wir von euch, ihr habt für uns von Anfang an die Schadenfälle betreut und wir hatten uns strategisch von Anfang an entschieden, wir machen das nicht alleine.

00:11:13: Wir gehen nicht hin wie eine klassische Versicherung und sagen, pass auf.

00:11:18: Wenn nachher ein Schaden ist, dann hilft sich der Kunde erst mal selbst.

00:11:22: Der behilbt den Rohrbruch, der Handwerker kommt, der macht das alles heile, nachher schickt er eine Rechnung, die schickt er an die Versicherung, die streicht ein bisschen was weg und dann wird bezahlt.

00:11:29: So ist ja das klassische Versicherungswesen.

00:11:32: Das würde hier nicht funktionieren.

00:11:33: Das war uns klar.

00:11:34: Und wir sind seit Jahrzehnten im Bereich Lösegeldversicherung, Entführung, Erpressungsversicherung unterwegs und haben da festgestellt, da brauchst du einen Spezialisten, der dir in dem Krisenfall schon sofort bereitsteht, mit dem du dich auch austauschen kannst, an dem deinen Kunden auch direkt zugreifen können, weil du ja sonst nur Zeit verlierst.

00:11:54: Und so sind wir von Anfang an mit euch gestartet.

00:11:57: Und das Wichtige war halt, nach den Schäden möglichst schnell neue Trends zu erkennen und festzustellen, hey, das, wie vorhin erzählt der erste Ransomuerfall, Mensch, das hatten wir so noch nicht, was bedeutet das eigentlich?

00:12:07: Wie kann man das denn verhindern?

00:12:09: Hier verhindern, verhindern, Lösegeld, alle haben für sich ja nicht dann Angst bekommen vor Lösegeld.

00:12:15: Es wurde entschieden und mehrfach umentschieden, ob man es dann überhaupt versichern darf oder nicht.

00:12:20: Das ist ja ein unterstützten krimineller Vereinigung.

00:12:23: Das ist ja jetzt erstmal per se was, wo die Regierung sagt, wir möchten das gar nicht, dass ihr das bezahlt.

00:12:29: Und da gab es mehrfach Änderungen in diesen Geschichten und deswegen eben genau diese Fragen.

00:12:34: Wie geht man damit um?

00:12:38: Letzter kurzer Punkt vielleicht noch.

00:12:41: Prävention.

00:12:42: Wir haben viel über das Aufräumen nachher gesprochen, also die Risikoabschätzung vorher.

00:12:47: Klar, es gibt eine Möglichkeit, finanzielle Schäden abzudecken über eine Versicherung.

00:12:52: Die Unterstützung im Schadensfall.

00:12:55: Das Spannende bei euch finde ich, dass ihr den Gedanken der Prävention von Anfang an auch mitgedacht habt bei der Sache.

00:12:59: Wie ist das dazu gekommen?

00:13:02: Ja, auch mit dem gleichen Aspekt.

00:13:04: Uns fehlt der Blick, was denn passieren kann.

00:13:08: Und uns war klar, es würde helfen, möglichst viele Schäden.

00:13:12: klein zu halten oder zu verhindern.

00:13:14: Also dieser Gedanke an die Kunden ganz allgemein, umso weniger passiert, umso besser ist es für uns alle.

00:13:20: Weil, ich sag mal, es gibt Schäden, wo der Kunde sich sagt, oh mein Gott, das reiche ich halt ein und dann kriege ich es wieder, hab ich mein Handy verloren, nicht so schlimm, kaufe ich mir ein neues.

00:13:28: Und es gibt Schäden, wo sich ein Kunde sagt, ich will ehrlich gesagt nicht, dass mein Betrieb für drei Wochen steht.

00:13:32: Ja, selbst wenn der Versicherer mir nachher was... zahlt, ob ich mich jemals erhole, ist die Frage.

00:13:37: Online-Shops heutzutage, die sind so redundant, kaufe ich meine Reifen woanders.

00:13:41: Also das ist der Punkt.

00:13:43: Und deswegen war für uns immer klar, Prävention brauchen wir, um es versicherbar zu machen.

00:13:49: Und das ging am Anfang, war unser Hauptgedankeprävention auch mit euch gemeinsam, wir bereiten Kunden auf den Ernstfall vor.

00:13:57: Also auch wieder Zitat von einem Kollegen dieser Hohen ohne Kopf-Modus hat er, glaube ich, das ganz genannt.

00:14:02: Ja, wenn alle irgendwie in Panik irgendwas hektisch machen und in der Regel den Schaden schlimmer machen oder zumindest nicht dafür sorgen, dass er schnellstmöglich gelöst wird.

00:14:13: Dem kann man natürlich beikommen, indem man mit einem Krisenplan vorher agiert.

00:14:17: Das heißt, wir haben von Anfang an gesagt, wir erstellen unseren Kunden mit eurer Hilfe, also ihr erstellt für unsere Kunden Krisenpläne, damit die schon was in der Schublade haben und wissen, wer macht wann was, wer muss eingeschaltet werden, wer hält sich bitte raus?

00:14:32: und so weiter.

00:14:34: Das war ganz wichtig und wir haben zusätzlich Präventionsbudgets freigeschaltet, wo die Ernstfalltrainings machen konnten, wo die am Anfang hat man auch tatsächlich noch so Tests gemacht.

00:14:46: Das ist weniger geworden, weil dieses Pen-Testing mittlerweile eine ganz eigene Industrie ist, wo wir als Versicher dann auch so nicht mehr mitspielen, sondern nur darauf reagieren.

00:14:56: Danke für die Einblicke, ich könnte dir noch so viele Fragen stellen, ich tue es jetzt nicht.

00:15:00: Super spannend für mich zu sehen, wie eigentlich sozusagen eure Denke am Anfang viel mehr von, also in der Risikobeurteilung, viel mehr kam von, was für Daten sind da eigentlich von der Business-Perspektive und sich über die Zeit rausgestellt hat, wie viel mehr technisches Detail-Stichwort irgendwie ransomware-sichere Backups oder sowas ihr eigentlich in eurem Prozess aufnehmen müsst und das dadurch auch euer... Euer Handeln sich verändert hat, auf jeden Fall.

00:15:25: Auf jeden Fall hat sich für uns durch die Zusammenarbeit sicher auch die Brille verändert, worauf müssen wir achten, was ist wichtig zu dokumentieren, damit man nachher die Sache alles sauber abbearbeiten kann, was ist wichtig zu untersuchen.

00:15:37: Auf jeden Fall in der täglichen Arbeit ein spannender Einblick, auch jetzt an der Stelle ein spannender Einblick.

00:15:41: Ganz herzlichen Dank dafür.

00:15:42: Danke, dass ich hier sein durfte.

00:15:44: Ja, auch euch, liebe Zuschauerinnen, liebe Zuschauer, liebe Zuhörerinnen und Zuhörer.

00:15:49: Vielen Dank, dass ihr zugehört habt, dass ihr dabei wart, dass ihr meinen Einblick mitgeteilt habt.

00:15:54: Vielleicht können wir so als Abschiedswort mitnehmen, das, was ich jetzt gerade mit dem Lernen hatte.

00:16:00: Das Lernen aus der Erfahrung, was wir haben, was ihr in der Versicherung habt, das ist ja letzten Endes das Gleiche auch draußen in der Realität.

00:16:07: Also vielleicht gibt es was, was ihr aus unseren Erfahrungen lernen könnt, aber ansonsten ist es ein stetiger Verbesserungsprozess, wo sicher einige unserer anderen Podcast-Folgen noch wertvolle Informationen beinhalten, deswegen empfehle ich, öfter mal reinzugucken.

00:16:21: Einen schönen Tag euch noch und bis zum nächsten Mal, wenn es wieder heißt, drei Fragen an einen Experten in zehn Minuten in unserem Highway-Podcast.

00:16:31: Highway, der Wegweiser für Digitalisierung und Sicherheit, präsentiert von High Solutions.

00:16:38: Hat dir diese Episode gefallen?

00:16:40: Dann abonniere den Podcast und empfehle unsere Folgen weiter.