Die Schätzungen sind bekannt, trotzdem sind die Zahlen genauso beeindruckend wie beängstigend. Zwischen 1 und 6 Billionen Franken pro Jahr betragen die weltweiten Schäden durch Cyberangriffe, erklärte Martin Jara, CEO von Helvetia Schweiz. Der Versicherer hatte zum Symposium "Herausforderungen bei der Bewältigung von Cyber-Toprisiken" eingeladen. Im Casino Bern sollten mögliche Lösungen im Umgang mit diesen Schadensfällen und den Bedrohungen aufgezeigt werden. Bei Helvetia habe sich die Zahl der Cyberpolicen seit 2018 um den Faktor 10 multipliziert, ebenso steige die Zahl der Schadensfälle, so der CEO.

"Staat, Wissenschaft, Wirtschaft und Gesellschaft müssen dieser Herausforderung gemeinsam begegnen. Es geht um die Resilienz der Schweiz", betonte Jara. Als Versicherung müsse man den Kunden Lösungen aufzeigen können, aber nicht nur auf Schadenersatz, sondern auch auf Prävention fokussieren.

Wie eine Lösung, die auch Prävention miteinbezieht, aussehen könnte, führte anschliessend Raphael Reischuk, Head of Cybersecurity bei Zühlke, in seinem Referat aus. Er stelle sich bei Unternehmen eine Art Blackbox wie in einem Flugzeug vor. Nachdem ein Assessment erstellt wurde, sende diese laufend anonymisierte Daten eines Kunden zu dessen IT-Infrastruktur und vorhandenen Security-Massnahmen an die Versicherung.

Auf einem Dashboard könne dann das Security-Level überprüft werden. "Fällt die Level-Anzeige in einen roten Bereich, kann der Kunde schnell auf mögliche Probleme hingewiesen werden." Gleichzeitig könne bei einem langfristig guten Level der Kunde mit adaptiven Prämien belohnt werden. Versicherungen würden selbst sehr viele Daten für eine Analyse besitzen, die besser und vor allem schneller ausgewertet werden müssten. "Natürlich muss ein Datenaustausch-Standard festgelegt werden. Dies kann zum Beispiel unter Obhut der Regierung oder der Rückversicherer geschehen", sagte Reischuk.

Hier klang auch das Modell einer Public-Private Partnership mit, das am Symposium immer wieder Thema war. Für den Finanzplatz Schweiz sei eine solche Kooperation aufgegleist worden, führte Alexandra Arni, Leiterin ICT Swiss Banking und Vizepräsidentin Swiss Financial Sector Cyber Security Centre (SF-CSC) aus. Im April 2022 wurde ein entsprechender Verein mit dem Zweck gegründet, die Widerstandsfähigkeit des Finanzplatzes gegen Cyberattacken zu erhöhen.

Nach einem Jahr habe man schon über 130 Mitglieder, sagte Arni. Der Verein baue bei der Zusammenarbeit aller involvierten Parteien auf den "Dreiklang der Resilienz", nämlich Prävention, Krisenmanagement und Schadensbehebung. Für die Mitglieder soll SF-CSC Cyber Threat Intelligence und Fähigkeiten zur Bewältigung von Cyberangriffen zur Verfügung stellen. Noch sei nicht alles operativ, aber auf dem Weg dazu. Eine Expertengruppe wurde gegründet und eine Krisenorganisationszelle sowie eine operative Cybersicherheitszelle befinden im Aufbau. Diese sollen sich dann später mit dem NCSC austauschen.

Ein solches Modell sei allenfalls auch für die Schweizer Versicherer und weitere Branchen wie Gesundheit adaptierbar, griff David Ribeaud, CEO Specialty Markets Helvetia, den Ball in seinem Referat auf. Als Arbeitsgebiete stellt er sich unter anderem Sensibilisierung, Entwicklung von Standards, Modellierung von Risiken und den Aufbau einer Notfallorganisation gemeinsam mit Partnern vor.

Was aktuell auf die Versicherer zukommt, erklärte Ribeaud am Beispiel eines Kunden. "In der Regel versichert Helvetia Cyberrisiken bis zu 5 Millionen Franken. Doch das KMU wollte eine Police über 18 Millionen. Eine solche Kapazität kriegen wir nicht hin!" Allenfalls müsse zukünftig auch eine Risikoteilung zwischen den privaten Versicherungen und dem Staat geprüft werden. Eine Massnahme, die auch schon vom Rückversicherer Swiss Re gefordert wurde.

"Wir können das Problem nicht alleine lösen", betonten sowohl Ribeaud als auch Jean-Philippe Moser vom Schweizerischen Versicherungsverband SVV. Man brauche bessere Grundlagen um eine erhöhte Cyberresilienz der Schweizer Wirtschaft und Gesellschaft zu erreichen und den Standort zu stärken. Die Branche wolle aber auch ihren Beitrag dazu leisten. Der SVV und die angeschlossenen Versicherungsunternehmen haben eine Arbeitsgruppe "Cyber" gegründet, um die notwendigen Grundlagen zu erarbeiten.