Der Mittelstand ist der Wachstumsmotor Nummer 1 in Niedersachsen. Laut dem Mittelstandsbericht 2012 bis 2016 des niedersächsischen Wirtschaftsministeriums ist die heimische Wirtschaft überwiegend von kleinen und mittleren Unternehmen (KMU) geprägt. Dem Bericht nach waren 99,4 % der niedersächsischen Firmen kleine oder mittlere Unternehmen. Bei ihnen arbeiteten knapp 70 % der Beschäftigten, und sie ermöglichten mehr als 100 000 Auszubildenden den Start ins Berufsleben. Diese wirtschaftliche Bedeutung des Mittelstands haben mittlerweile auch professionelle, international operierende Cyberkriminelle erkannt.Laut einer bundesweiten Umfrage des Versichererverbandes GDV im Frühjahr 2018 war fast jeder dritte Mittelständler bereits Opfer von Cyberangriffen. Insgesamt meinen aber 73 % der Befragten, ihr Unternehmen sei ausreichend gegen Cyberkriminalität geschützt. Kein Wunder, dass die Durchdringung für Cyberversicherungen im KMU-Segment da nicht sonderlich hoch ist. Bei Mittelständlern, die noch nie von Cyberattacken betroffen waren, beträgt die Quote derer, die sich mit Cyberversicherung beschäftigen, lediglich 4 %. Oft trifft es aber ausgerechnet Kleinst- und Kleinunternehmer, die zuvor glaubten, ihr Unternehmen sei doch viel zu klein, um Opfer von Cyberattacken zu werden.Das Bild ändert sich, sobald diese Kleinunternehmer wie Restaurantbetreiber, Ärzte oder Apotheker Opfer von Cyberangriffen werden. Statt 4 % in der Gruppe der nicht Angegriffenen beschäftigen sich plötzlich 46 % mit Cyberversicherung oder schließen gar eine Police ab. Für Niedersachsen dürfte der Trend ähnlich aussehen, dennoch ist es schon überraschend, dass deutschlandweit so viele Kleinunternehmer nicht für Cybergefahren sensibilisiert sind. Neuer WachstumsmarktEs spricht alles dafür, dass sich hier eine neue Deckungslücke der digitalisierten Wirtschaft und damit ein neuer Wachstumsmarkt für die Versicherungsbranche aufgetan hat. Deshalb legt die E+S Rückversicherung AG beim Thema Cyberversicherung den Schwerpunkt gerade auf die Entwicklung des Geschäfts mit kleinen und mittleren Unternehmen. Als Unternehmen mit Sitz in der niedersächsischen Landeshauptstadt Hannover fühlen wir uns nicht zuletzt auch der Unterstützung des heimischen Mittelstands verpflichtet. Wir als E+S Rück verkaufen zwar keine Cyberversicherungen, aber durch unsere Serviceleistungen und internationale Erfahrung können wir unseren Kunden, den Erstversicherern, beratend zur Seite stehen.Der Umgang mit Cybersecurity unterscheidet sich signifikant zwischen großen Unternehmen und dem Mittelstand. Große Unternehmen verfügen über mehr Ressourcen für Schadenprävention, Erkennung von Risiken und die Reaktion im Ernstfall als die meisten kleinen und mittleren Unternehmen. Deshalb muss hier klar bei der Prävention angesetzt werden, damit die Eintrittswahrscheinlichkeit für einen Cyberschaden so gering wie möglich wird.Entsprechend der Attraktivität des Marktes arbeiten viele Erstversicherer an Cyberdeckungen. Nicht immer sind es eigenständige Cyberpolicen, sondern Erweiterungen in anderen Produkten. Erschwerend kommt hinzu, dass sich Cyberrisiken von traditionellen Risiken unterscheiden und für die Branche oft noch schwer zu kalkulieren sind. Cyberbedingungen gab es anfangs nur für die Industrieversicherung, erst seit 2017 gibt es auch Musterbedingungen für eine Cyberversicherung für Mittelständler. Das ist gut, denn die Nachfrage aus diesem Segment nimmt zu. Präventiver AnsatzDer Vertriebserfolg der deutschen Versicherer hängt dabei insbesondere von guten Service- und Assistance-Leistungen ab. Entsprechend ist auch bei der E+S Rück nicht nur die Zahlung der Versicherungsleistung eine entscheidende Komponente. Sie ist lediglich einer von drei Aspekten eines wirksamen Schutzes gegen Cyberrisiken. Um einen umfassenden Mehrwert im Schadenfall zu bieten, gilt es, den Fokus auf die Schadenminderung durch effektive Schadenbearbeitung zu legen sowie auf die Erhöhung der IT-Sicherheit, damit es gar nicht erst zum Cyberschaden kommt.Ein Blick in die GDV-Umfrage zeigt, dass dieser präventive Ansatz gut ist. Denn auch wenn rund drei Viertel der vom GDV befragten Kleinunternehmer meinen, sie seien ausreichend geschützt gegen Cyberkriminalität, so fällt bei genauerem Hinsehen auf, dass es bei der Prävention nach der Nutzung von Virenscannern, Firewalls und Sicherheitsupdates eher dünn wird. Nur zwei von drei Unternehmen im KMU-Segment vergeben für jeden Mitarbeiter eigene passwortgeschützte Zugänge. Nur in etwa jedem zweiten Unternehmen werden sensible Daten verschlüsselt und in sechs von zehn Unternehmen dürfen Mitarbeiter private Geräte in der Unternehmens-IT nutzen. Weiter ist ein Großteil der Cyberattacken auf mangelnde Sicherheitskenntnisse der eigenen Mitarbeiter zurückzuführen. Sie für den Umgang mit Cyberrisiken zu sensibilisieren, ist daher ein effektiver Weg, die Einfallstore für Cyberangriffe zu verkleinern.Die E+S Rück hat hierfür beispielsweise ein Produkt entwickelt, das Erstversicherern mit Tarifierungshilfe, Know-how und Assistance-Leistungen unterstützt. Denn insbesondere kleinere Versicherer tun sich aktuell noch schwer, die richtigen Partner für Cyberprävention, Risikobewertung und Schadenmanagement zu finden.Ihren Kunden bietet die E+S Rück in allen Bereichen rund um eine Cyberpolice daher umfangreiche Unterstützung an. Gemeinsam mit der aktuariellen Beratungsgesellschaft MSK haben wir einen Cybertarifrechner für KMU-Policen entwickelt sowie einen Cyberdatenpool für Versicherer zur Gewinnung von Erkenntnissen über Schadenentwicklungen aufgebaut. Darüber hinaus unterstützen wir Erstversicherer im Bedarfsfall bei der Erstellung der Versicherungsbedingungen sowie der Einschätzung von Sonderrisiken.Über Kooperationspartner unterstützen wir unsere Kunden bei der Auswahl von Assistance-Dienstleistern rund um Cyberprodukte. Hier kommt zum Beispiel Perseus, ein Unternehmen für Cybersicherheit, ins Spiel, mit dem wir wie auch mit anderen Dienstleistern zusammenarbeiten. Perseus stellt die in der Industrie herrschenden Zusammenhänge zwischen Gefährdungspotenzial, Risikobewusstsein und Präventionsmechanismen in den Vordergrund und bietet eine einfache, aber umfassende, auf den Menschen abgestimmte Lösung für Mittelständler.Da viele Cyberattacken durch Mitarbeiter unwissentlich erleichtert werden, liegt der Schwerpunkt vieler Dienstleister und auch unser Fokus als Partner der Erstversicherer darauf, die Belegschaften in Kleinunternehmen für den verantwortungsvollen Umgang mit Cyberrisiken zu sensibilisieren. Laut der GDV-Umfrage erfolgte mit fast 60 % der größte Teil der erfolgreichen Cyberangriffe über das E-Mail-Postfach eines Mitarbeiters. Nur bei einem Viertel der Attacken verschafften sich Hacker gezielt Zugriff auf die IT-Systeme. Das trägt dazu bei, dass Cyberangriffe sowohl für die versicherten Unternehmen als auch die Erstversicherer oft nebulös bleiben, was eine risikoadäquate Versicherung erschwert. Umfangreiche UnterstützungTritt der Cyberschaden doch ein, so bietet die E+S Rück ihren Kunden über ein Netzwerk an Dienstleistern umfangreiche Unterstützung an. Ob Notfall-Hotline, IT-Forensik, Krisenkommunikation oder Rechtsberatung, zahlreiche Services stehen den versicherten Kleinunternehmen zur Verfügung. Für Versicherer besteht der große Vorteil darin, dass sie auf dieses Netzwerk zurückgreifen können. Der zeit- und kostenintensive Prozess der eigenen Auswahl entfällt.Das Cyberrisiko in kleinen und mittleren Unternehmen ist eine unterschätzte Gefahr. Aber für die Versicherungsbranche ist es ebenso ein noch wenig bekanntes Risiko, was Kalkulation und Tarifierung schwierig macht. Beiden Seiten, Versicherern und Versicherten, können wir als Rückversicherer helfen, sei es bei der Entwicklung von Policen oder beim Zugang zu Dienstleistern für Prävention und Assistance-Leistungen. Das kann dabei helfen, dass bei der nächsten GDV-Umfrage die Zahl der Mittelständler, die, statt auf das Prinzip Hoffnung zu setzen, eine aktive Cyberstrategie formuliert haben, deutlich zunimmt. Michael Pickel, Vorstandsmitglied der Hannover Rück SE und Vorstandsvorsitzender der E+S Rückversicherung AG, Hannover