Musterbedingungen bringen Bewegung in den Cyber-Markt

Im Rahmen der Cyber Security Konferenz am 28.3.17 in Berlin hat der GDV Allgemeine Versicherungsbedingungen für die Cyberrisiko-Versicherung (AVB Cyber) vorgestellt. Diese unverbindlichen Musterbedingungen sollen Versicherern eine Hilfestellung bei der Erstellung und Entwicklung eigener Angebote geben.


Doch was beinhaltet die AVB, für wen ist sie überhaupt geeignet und die wichtigste Frage: Bietet sie auch einen Mehrwert?

Grundsätzlich richtet sich die AVB an kleine bis mittelgroße Unternehmen (KMU) mit bis zu 250 Mitarbeitern und einem Umsatz bis zu 50 Millionen.

Die AVB (siehe www.gdv.de/wp-content/uploads/2017/04/AVB_Cyber_April_2017.pdf) gliedert sich in zwei Teile. Der erste Teil bildet generelle Regeln zur Ausgestaltung eines Versicherungsschutzes Cyber ab. Im zweiten Teil werden allgemeine Regeln über Rechte und Pflichten der Vertragsparteien skizziert.

Der AVB nach setzt sich eine Cyberversicherung aus vier Bausteinen zusammen.

1) Basisbaustein: enthält allgemeine bausteinübergreifende Regelungen

2) Service-Kosten-Baustein: Dienstleistungen wie Forensik und PR sowie generelle Serviceleistungen

3) Drittschaden-Baustein: Gesetzliche Haftpflicht eines VN infolge einer Informationssicherheitsverletzung ( Freistellungs- und Abwehranspruch)

4) Eigenschaden-Baustein: Datenwiederherstellung und sachschadenunabhängige Betriebsunterbrechung


Die von uns in dem Beitrag "Top Wirtschaftsrisiko Cyber: Und wo bleibt der Versicherungsschutz" vorgestellte Cyber-Police wird inhaltlich lediglich um den Basisbaustein allgemeine Definitionen ergänzt.

Grundsätzlich soll gelten, dass die Cyberversicherung vorrangig vor eventuell anderen vorhandenen Versicherungen zu behandeln ist.

Zusätzlich zu der AVB hat die VDS – eine Tochterfirma der GDV - eine Richtlinie für die Informationssicherheit erstellt. Diese umfasst 38 Seiten und soll zu einem besseren Umgang mit der Informationssicherheit beitragen.

Abgerundet wird das „Paket“ der GDV durch einen Musterfragebogen, der Versicherungsunternehmen dabei helfen soll, die IT-Sicherheit des VN einzuschätzen und gleichzeitig das Unternehmen auf etwaige Schwachstellen hinzuweisen. Damit soll die Vorrausetzung erfüllt werden, einen Mindeststandard der IT-Sicherheit für den Abschluss des Versicherungsschutzes zu gewährleisten.

Im Rahmen der GDV-Security-Konferenz konnten einige Versicherer Stellung zu dem vorgestellten Konzept der GDV geben. Hier einige Auszüge und Meinungsbilder:
 









Die Meinungen über die AVB gehen in eine sehr positive Richtung, dennoch wird deutlich, dass dies nur der Anfang der Reise auf dem Weg zu einer Cyber Versicherungssparte sein kann.

Generell bietet die AVB viele positive Ansätze, wirft jedoch auch mehrere Fragen auf:

1) Was ist mit Unternehmen, die größer sind als die oben beschriebene Zielgruppe?

2) Wie kann die Qualität der Fragebögenantworten gewährleistet bleiben?

3) Sind die Bedingungen flexibel genug, um sich an die ständig ändernde Gefahrenlage „Cyber“ anzupassen?

4) Wird es möglich sein, ein einheitliches Wording zu entwickeln?

Viele Versicherer haben sich bereits an Unternehmen gewagt, die die Größenordnung der hier betrachteten Zielgruppe übersteigen. Dennoch bleibt das Thema IT-Security und Cyber nach wie vor sehr komplex und ist für den Nicht-IT-Experten nur schwer greifbar. Die Frage ist, wie schnell Versicherer auch die notwendige Expertise für die technische und prozessuale Cyber-Risk-Bewertung und Beratung in relevanter Größenordnung aufbauen können.

Es gilt diese Fragen kritisch im Blick zu behalten, da abschließende Antworten zum jetzigen Zeitpunkt nur schwer gegeben werden können.

Viele Grüße
Jonas Schwade

 
Jonas Schwade ist Diplom-Kaufmann und arbeitet bei PPI als Consultant im Bereich Versicherungen. Seine Schwerpunkte liegen im Bereich der Kommunalversicherungen sowie in allen gesundheitlich relevanten Fragen rund um das Thema Versicherung und Cyber.

Einmal Regulatorik am Stück bitte! (Teil 2/2)

Wie man mit regulatorischen Anforderungen im Projekt umgehen kann und was sich noch so an der Theke der Gesetzgebung abspielt - heute gehts weiter...

Nun sind Projekte im regulatorischen Umfeld ohne konkrete Ziele nicht viel schlimmer, als Projekte, in denen sich die Ziele ständig ändern. Das soll ja mal vorkommen 😉. Und da es dafür Möglichkeiten gibt, trotzdem erfolgreich zu sein, kann man auch ohne konkrete Ziele starten. Man muss nur etwas anders vorgehen.

Als erstes müssen wir alle Beteiligten davon zu überzeugen, dass auch basierend auf Annahmen und Hypothesen gearbeitet werden kann. Das ist die bittere Pille, die wir hier schlucken müssen. Regulatorische Themen können nicht mit dem Minimumprinzip durchgeführt werden. Wir müssen akzeptieren, dass auch mal sprichwörtlich für die Tonne gearbeitet wird.

Dann müssen frühzeitig Gesetztestexte in verständliche Handlungsfelder strukturiert und dokumentiert werden. Die richtige Struktur und Dokumentation ist ein wesentlicher Erfolgsfaktor für die später notwendige Reaktionsgeschwindigkeit im Projekt, wenn die Gesetze verabschiedet werden.

In mehreren Schritten erfolgt dann die Auswirkungsanalyse, die am Anfang - wie schon erwähnt - noch sehr durch Annahmen und Hypothesen getrieben wird („Was wäre wenn?“). Gestützt wird dieser Prozess durch die vielfältigen Quellen und Publikationen, einige mal mehr mal weniger gehaltvoll, sowie von Verbänden. Auch diese Informationen müssen in die Wissensbasis der Gesetzestexte bzw. -entwürfe integriert werden. Wenn die erste Iteration dieser Zerlegung stattgefunden hat, kann auf dieser Basis wiederum die Projektorganisation und Arbeitsplanung erfolgen. An dieser Stelle sei mir der Verweis auf den von uns entwickelten Task-Manger vergönnt, der von einem internen Hilfsmittel zu einer echten Anwendung gereift ist und regulatorisches Wissensmanagement mit Projektorganisation und Aktivitätenplanung verbindet.

Und zu guter Letzt ist natürlich die juristische Kompetenz an erster Stelle gefragt, da es sich um Gesetze handelt. Und jeder, der sich mit Gesetzen schon einmal beschäftigt hat, kennt die Herausforderungen der „Übersetzung“ in eine für den Nicht-Juristen verständliche Sprache.

Auf den ersten Blick erscheint das Vorgehen vielleicht nicht so anders. Aber man sollte auf keinen Fall unterschätzen, wie viel Unsicherheit entsteht, wenn schon am Anfang das Ziel nicht klar ist. Noch dazu mit Aufgaben bzw. drohenden Risiken bei Nicht- oder Fehl-Umsetzung, die primär als Belastung und Einschränkung empfunden werden.

Ich hoffe, ich konnte Sie an der Theke der Gesetzgebung etwas abholen und verbleibe mit den besten Grüßen

Robert Schnittger

#Digitalisierung #Versicherungen #Regulatorik #IDD #EU-DSGVO #Internet of Things #CyberphysicalSystems #Blockchain

Einmal Regulatorik am Stück bitte! (Teil 1/2)


Es gibt so viele neue spannende Themen. Zugegeben, manche entpuppen sich auf den zweiten Blick als nicht mehr so spannend oder neu. Aber Internet of Things, Cyberphysical Systems, Blockchain und wie sie alle heißen sind schon Entwicklungen, wo es wieder Spaß macht, neue Wege und Geschäftsmodelle in der Versicherungsbranche zu beschreiten.

Leider ziehen neue Entwicklungen immer etwas hinter sich her, was man dann im Gegensatz dazu eher als „nüchtern“ und „unbeliebt“ ins Klassenbuch geschrieben bekommt. Denn Innovationen und Entwicklung bringen häufig auch sehr schnell Missbrauch mit sich, der natürlich möglichst unterbunden werden muss. Die Facebooks und Googles dieser Welt fangen langsam an, über ihren Fortschritt und Einfluss auf die Gesellschaft nachzudenken. Ein informativer Artikel ist dazu übrigens vor kurzem im Spiegel erschienen („Sind wir bereit für die perfekte Zukunft“, Spiegel 14/2017). Aber noch bleibt es meist dem Gesetzgeber überlassen, die negativen Begleiterscheinungen zu regulieren. Das wiederum hat zur Folge, dass sich bereits erste Organisationseinheiten und Projektteams in Unternehmen ausschließlich mit Regulatorik befassen müssen, um EU-DSGVO, GWG, IDD und wie sie alle heißen umzusetzen.

So vielfältig die Projekte sind, eins haben sie alle gemeinsam: einen fest definierten Termin zur Umsetzung, aber noch keine verabschiedeten und für den einen Juristen auslegbare Gesetze! Die Interpretationsmasse ist manchmal schier endlos vorhanden...

Wer Lust hat, schaut mal im Internet bei der nächsten Bundestagslesung auf die Agenda. Ich war ehrlich gesagt etwas beleidigt, dass das Thema IDD, mit dem ich mich gerade beschäftige, auf der Agenda irgendwann nach Mitternacht dran ist: an Position 33 von 36. Doch vielleicht passt das genau in den Bio-Rhythmus des Bundestags?

Aber zurück zum Thema. Die Gesetzgebung ist natürlich in unser aller Interesse gründlich und wohl überlegt. Gesetze nimmt man nicht mal eben wieder zurück, wenn sie nicht funktionieren. Dazu kommen dann noch die Lobbyverbände, die ebenfalls in den Prozess eingreifen. Und wenn das alles dann noch vor einer Wahl stattfindet bzw. stattfinden soll, wird es schwierig, solch meist sehr komplexe Sachverhalte noch zu durchdringen oder gar „durchzubringen“.

Die Projekte zu den genannten Themen stehen heute also vor der Aufgabe, für einen genannten Zieltermin, aber ohne konkrete Ziele, eine Planung und Durchführung zu verantworten. Nach klassischer Projektmanagementlehre müsste der Projektleiter eigentlich zu diesem Zeitpunkt sein Mandat niederlegen. Eigentlich...



Nächste Woche: Wie man mit regulatorischen Anforderungen im Projekt umgehen kann und was sich noch so an der Theke der Gesetzgebung abspielt…

Beste Grüße
Robert Schnittger

#Digitalisierung #Versicherungen #Regulatorik #IDD #EU-DSGVO #Internet of Things #CyberphysicalSystems #Blockchain