Wien Energie mit sattem Gewinn, Preise sollen sinken Bild: Wien Energie mit sattem Gewinn, Preise sollen sinken
EXPORT today online - 18/2024
Wiener Stadtwerke 2023 mit weniger Umsatz und mehr Gewinn Bild: Wiener Stadtwerke 2023 mit weniger Umsatz und mehr Gewinn
Gazprom verzeichnet für 2023 Milliardenverlust Bild: Gazprom verzeichnet für 2023 Milliardenverlust
Staatsanwaltschaft ermittelt gegen Gastronomen Martin Ho Bild: Staatsanwaltschaft ermittelt gegen Gastronomen Martin Ho
NEW BUSINESS Guides - FACILITY MANAGEMENT-GUIDE 2024
RBI will Strabag-Deal stoppen, falls Sanktionen drohen Bild: RBI will Strabag-Deal stoppen, falls Sanktionen drohen
Tesla präsentiert "Cybertruck" in Deutschland Bild: Tesla präsentiert
Benko-Masseverwalter: Konkursverfahren könnte Jahre dauern Bild: Benko-Masseverwalter: Konkursverfahren könnte Jahre dauern
NEW BUSINESS Export - NB EXPORT 2/2023
Anzeichen für Intervention beim Yen gegenüber Dollar Bild: Anzeichen für Intervention beim Yen gegenüber Dollar
Ausländische Investitionen in Österreich stark rückläufig Bild: Ausländische Investitionen in Österreich stark rückläufig
Sie befinden sich hier:  Home  |  Schaden macht klug?

Schaden macht klug?

28. Februar 2023
Marcel Armon, Executive Chairman der Aon Austria GmbH und Geschäftsführer der Aon Holding Deutschland, besitzt mehr als 25 Jahre Versicherungsexpertise. © RNF

Marcel Armon, Executive Chairman von Aon Austria, im Interview über Cyberrisiken für Unternehmen.

Risiken, die aus dem Cyberbereich kommen, sind im Vergleich zu anderen Unwägbarkeiten im wirtschaftlichen Umfeld noch relativ neu. Das macht ihr Schadenspotenzial aber nicht geringer, ganz im Gegenteil.

Aon ist ein weltweit tätiger Dienstleister für Risikomanagement sowie Versicherungs- und Rückversicherungsmakler und Berater für Human Resources. Die Wurzeln in Österreich gehen zurück bis ins Jahr 1927, als das Unternehmen Jauch und Hübener gegründet wurde, später Teil der VERO Management AG. Im Jänner 2017 schließlich erfolgte die Übernahme durch Aon und damit der Startschuss in Österreich. Der Name geht übrigens auf einen Begriff aus dem Gälischen zurück und steht für „Einheit, Einigkeit“ – hat also nichts mit dem gleichnamigen Pionier in Sachen Internetzugänge zu tun. Aon setzt sich aber sehr wohl und auch sehr intensiv mit Cyberrisiken auseinander und unterstützt seine Kunden dabei, sich nicht nur gegen entsprechende Schäden zu versichern, sondern auch dabei, es erst gar nicht dazu kommen zu lassen. Denn Schaden mag vielleicht klug machen, vor allem ist er aber eines: teuer. NEW BUSINESS hat sich daher mit Marcel Armon, Executive Chairman der Aon Austria GmbH und Geschäftsführer der Aon Holding Deutschland, an einen Tisch gesetzt, um Begriffe zu klären und Einsichten zu liefern. 

Herr Armon, was bedeutet der Begriff „Cyberrisiken“, und wo liegt der Unterschied zu Cybersecurity?
Der Unterschied dieser beiden Begriffe liegt rein in der Betrachtungsweise. Bei Cybersecurity geht es um die Absicherung von beispielsweise Netzwerken, IT-Infrastruktur oder auch Maschineninfrastruktur und vernetzten Produktionsanlagen von Industrieunternehmen vor Eingriffen von außen oder Manipulation von innen. Wenn die Security nicht passt, ist es klar, dass man eine Angriffsfläche bietet. Das ist aber nur ein Thema im Zusammenhang mit Cyberrisiken. Andere Risiken sind etwa auch Zugangskontrollen oder der „normale“ Ausfall von Systemen. Alles, womit ein intaktes System einem Unternehmen Schaden verursachen kann, egal ob es Kosten sind oder Schadenersatzansprüche, beispielsweise aufgrund einer Datenschutzverletzung oder Ähnliches, fällt bei uns unter den Oberbegriff Cyberrisiken. Die Themen gehen ein bisschen ineinander über. Ein Cyberangriff löst also ein Kostenrisiko aus, und das will der Unternehmer transferieren, um seine Bilanz zu schützen. Wir helfen ihm dabei. 
Viel interessanter ist es für Unternehmen zu verhindern, dass dieser Schaden überhaupt passiert. Zumal Versicherer oder andere Vehikel, die das Risiko übernehmen, gut funktionierende IT-Sicherheitssysteme voraussetzen. Wenn die Systeme nicht ordentlich abgesichert sind, ist es ohnehin schwierig, eine adäquate Versicherungslösung zu bekommen.

Wie etwa bei einer Feuerversicherung müssen also gewisse Vorgaben eingehalten und Kriterien erfüllt werden?
Gutes Beispiel. Da gibt es bei den Unternehmen immer wieder Missverständnisse. Wenn Sie in Ihrem Betrieb eine Sprinkleranlage installieren, dann kündigen Sie auch nicht morgen die Feuerversicherung. Sie wollen sich schützen, aber für den Worst Case haben Sie die Versicherung. Es gibt Unternehmen, die denken, sie haben zwei Millionen in Cybersicherheit investiert und brauchen deswegen keine Cyberversicherung. Das kann man natürlich so sehen. Aber wenn doch etwas schiefgeht, würde ich persönlich es lieber versichern. Dementsprechend sind auch die Preise. Je mehr der Kunde investiert, desto geringer ist auch der Preis des Risikotransfers.

 


„Ein Cyberangriff löst also ein Kostenrisiko aus, und das will der Unternehmer von seiner Bilanz auf unsere Bilanz transferieren. Das ist keine Raketenwissenschaft.“
Marcel Armon, Executive Chairman Aon Austria

 

Aon hat nicht nur Versicherungslösungen im Repertoire. Was bieten Sie Ihren Kunden konkret alles an?
Das ist mehrstufig und hängt auch davon ab, welche Größenordnung die Kunden haben. Nehmen wir zwei extreme Pole: Kleinere Kunden, wie ein Unternehmensberater, Bilanzbuchhalter oder Ingenieur- bzw. Architektenbüro, also im Grunde ein Bürobetrieb, haben natürlich Cyberrisiken. Sie betreiben etwa eigene Serveranlagen, haben aber nur begrenzte Möglichkeiten, sich selbst zu schützen. Da sind wir relativ schnell in der Transferphase (des Risikos, Anm.). Wir haben etwa für Unternehmensberater und Bilanzbuchhalter über die Wirtschaftskammer ein Rahmenkonzept erstellt, mit dem sie günstig und unter Einhaltung relativ weniger Auflagen an eine Cyberpolizze kommen. Der Fokus liegt darauf, dass die Auflagen erfüllbar sind. Denn was bringt es, wenn eine Polizze gekauft wird, aber die darin vorgeschriebenen Auflagen in der Praxis nicht leicht zu erfüllen sind. Das andere Extrem sind Unternehmen, die weltweit tätig sind, also auch eine weltweite Vernetzung ihrer internen Daten haben, in ihre IT-Sicherheit investieren wollen und nach einem Partner suchen, der sie beraten kann, ihre IT-Sicherheit testet und die potenzielle Schadenssumme im Falle eines Angriffs abschätzen kann. All das tun wir. Dort liegt unser Schwerpunkt. Erst dann wird dieser Kunde sich potenziell für eine Versicherung entscheiden. Es gibt Kunden, die wir beraten, die aber nie eine Versicherung abschließen werden, weil sie zum Beispiel nach einer Analyse zu dem Schluss kommen, dass sie die Kosten eines möglichen Angriffs tragen können. In diesem Fall ist unser Mehrwert, und das, woran wir verdienen, die Beratung. Aon investiert in diesem Bereich auch in Forschung. Wir haben mit Stroz Friedberg im Jahr 2016 ein externes Cyberrisiko-Beratungsunternehmen aufgekauft, das aus der Cybersicherheit kommt. Dadurch können wir unsere Kunden auch in einem Cybervorfall (Incident, Anm.) vollumfänglich unterstützen. Stroz Friedberg ist A-Leader im aktuellen „The Forrester Wave“-Report, somit unter den Top drei der Incident-Response-Firmen weltweit. Ich glaube, dass die Beratung in Zukunft wichtiger wird und die Polizze immer weniger wichtig. Es sind auch Instrumente geschaffen worden, damit sich Unternehmen rasch benchmarken können. Das nennt sich bei uns Aon CyQu (Cyber Quotient Evaluation, Anm.). So kann man schnell herausfinden, wo man sich im Vergleich zu anderen Unternehmen befindet – eine Art Self-Assessment. 

Was unterscheidet Sie von anderen Beratungshäusern?
Die Bedeutung von Cybersicherheit nimmt zu, deswegen sind viele klassische Beratungsunternehmen auf den Zug aufgesprungen – und die machen das auch sicher alle gut. Für uns hat es noch eine andere Dimension, weil wir unsere Kunden auch im Schaden begleiten und aktiv unterstützen. Deswegen haben wir ein ganz anderes Interesse, einen Vorfall schon im Vorfeld zu verhindern, als jemand, der einfach nur „gerne ein Cybersicherheitsprojekt machen möchte“. Wir haben gute Marktbegleiter, aber wir verfolgen einen anderen Ansatz. Uns geht es nicht um wunderschöne Konzepte, sondern um Effizienz. Kein anderer Berater im Cyberbereich kann Unternehmen im Schaden so aktiv unterstützen wie wir. Den Schaden bezahlen muss die Versicherungsindustrie. Die Versicherer haben aber ein Thema mit Cyber, denn sie haben vorher nie ein Risiko wie Cyber versichert. Cyberrisiken kennen keine Landesgrenzen und keine Kontinente. Wenn sich ein Virus verbreitet, dann geht das blitzschnell. Der einzige Grund, weswegen der Schaden für die Versicherungsindustrie in so einem Fall noch nicht so hoch ist, ist, weil die Unternehmen noch nicht dagegen versichert sind. Wenn mehr Unternehmen, aber auch Privathaushalte versichert wären, wäre der Schaden deutlich größer. 

 

Die Zentrale von Aon Österreich ist am Schwarzenbergplatz in Wien beheimatet. (c) RNF

 

Aon ist aber selbst kein Versicherer. Sie arbeiten mit Versicherungen zusammen, suchen für den Kunden das beste Angebot für den Einzelfall heraus und fungieren als Vermittler.
Genau. Im Großrisikobereich gibt es aber keine fertigen Produkte, die vermittelt werden können, die müssen in der Regel gebaut werden. Für kleinere Kunden gibt es natürlich Lösungen. Da sprechen wir Empfehlungen aus und machen die Produkte gangbarer für Kunden. Bei größeren Unternehmen liegt der Fokus bei der Vermittlung nicht nur in der Findung des richtigen Konzepts, sondern auch in der richtigen Vermarktung des Risikos. Ein Industrieunternehmen kann am Markt direkt kaum eine Cyberversicherung kaufen. Und wenn, dann zu begrenzten Möglichkeiten. Die Versicherungssummen, die die Industrieunternehmen brauchen, sind deutlich höher als das, was Versicherer einzeln bereit sind abzugeben. Unser Job liegt darin, ein Konsortium aus Versicherern auf einen gemeinsamen Nenner zu bringen und die Gesamtsumme zu gewissen Anteilen unter ihnen aufzuteilen. Wir committen sie zu einem gemeinsamen Vertragswerk.

Letzten Sommer hat sich Aon in Österreich mit Kerstin Keltner im Cyberbereich verstärkt. Warum jetzt?
Wir machen jedes Jahr eine Umfrage, an der über 800 Risk-Manager größerer Unternehmen weltweit teilnehmen, um von ihnen die Top Ten ihrer Risiken zu erfahren. Das Thema Cyber hat es über die letzten vier Jahre geschafft, auf dem mittlerweile ersten Platz zu landen. Für Großunternehmen ist Cyber das Top-Risiko geworden, noch vor Betriebsunterbrechungen. Das hat sich verändert und war vor fünf Jahren noch anders.
Wir könnten noch zehn weitere Kerstin Keltners einstellen. Aber es ist überaus schwer, Cyberspezialisten zu bekommen, die sich auch auf Versicherungen verstehen. Jungen Menschen, die ihre Berufswahl noch nicht entschieden haben, kann man nur raten, „etwas mit Cyber“ zu machen – das wird sich auszahlen.

 

Über Aon
Aon ist ein globaler Dienstleister für Risikomanagement sowie Versicherungs- und Rückversicherungsmakler und Berater für Human Resources. Weltweit arbeiten für Aon 50.000 Mitarbeiter in 120 Ländern – davon rund 300 an acht Standorten in Österreich (Wien, Niederösterreich, Oberösterreich, Kärnten, Steiermark, Salzburg, Innsbruck, Vorarlberg).
www.aon-austria.at

 

Welches sind im Cyberbereich die größten Gefahren, denen sich die Unternehmen gegenübersehen? Und gibt es auch welche, die vorhanden sind, aber oft übersehen werden?
Die Unternehmen vertrauen zu sehr auf ihre IT-Abteilungen und beruhigen sich mit dem Investmentvolumen, das sie da hineinstecken. Darüber vergessen sie manchmal, dass sie bei einem Vorfall sofort eine Infrastruktur brauchen, um der Sache nachzugehen. Bei Incident-Response – Wo ist mein Helpdesk? Wo sind meine Forensiker? Wie sieht das Notfallkonzept aus – herrscht noch großer Nachholbedarf. Einige Unternehmen sind aber auch schon weiter und simulieren Angriffe. Interessanterweise sind Brandschutzübungen gang und gäbe, aber wenige machen sich Gedanken darüber, was zu tun ist, wenn ein Cyberangriff passiert. 
Eine weitere Problematik die Unternehmen in der vernetzten Welt haben, ist, dass sie zunehmend Prozesse und Geschäftsbereiche an Dritte auslagern, damit aber nicht das Risiko auslagern. Nur weil ich für das Accounting eine Firma beauftragt habe, habe ich mein Cyberrisiko nicht ausgelagert. Das ist ein Irrtum. Man muss sich Gedanken darüber machen, ob diese Auslagerungen im eigenen Cybersicherheitskonzept inkludiert sind. Macht der Auftragnehmer auch entsprechende Tests? Und ist er auch gegen Angriffe versichert? Was nützen mir meine Top-Hardware und meine IT-Security, wenn die Türen über diese Schiene weit offen stehen? 
Ein weiterer Aspekt, der zunehmend an Bedeutung gewinnt, ist, dass Anteilsinhaber und Aktionäre kein Verständnis dafür aufbringen, wenn nicht genug für die das Cyberrisikomanagement getan wird und es zu einem Schaden kommt. Da entstehen rasch Fragen rund um die Managerhaftung, und es folgt die Aufforderung an das Management, sich zu erklären. Die Erwartungshaltung ist, sich dagegen zu versichern, wenn es schon möglich ist.
Gerade bei Datenschutzverletzungen ist es auch eine Frage des Unternehmens-Images. Am Ende ist es ein Image-Verlust. Wir versichern auch Reputationsschäden, die überaus schwer zu beziffern sind. Die Marktanteile und das Vertrauen, die verloren gehen, wiederherzustellen, ist schwierig.

Lassen sich Cyber- oder IT-Risikomanagement und „klassisches“ Risikomanagement noch trennen?
Wenn Sie von klassischem Risikomanagement sprechen, also vom holistischen Blick des Risikomanagements auf das Unternehmen, um zu verstehen, wo die Risiken herkommen, dann ist Cyber ein relevanter Bereich. Die Herausforderung ist, dass Cyber nicht auf einen bestimmten Bereich eingrenzbar ist. Die Risiken eines Hagelschadens oder einer Überschwemmung sind leichter greifbar als die Auswirkungen davon, wenn das Netzwerk stillgelegt wird. Es ist für Risk-Manager schwer greifbar, wie viele Themen davon berührt werden. Zumal Cyberangriffe auch die Supply-Chain prozessual stören können. Sie haben also nicht nur den Angriff an sich, sondern auch eine Lieferkettensituation. Es spielt also wirklich in jeden Bereich mit hinein. (RNF)

 

Zur Person
Bevor er 2020 zu Aon, einem globalen Dienstleister für Risikomanagement, Versicherungs- und Rückversicherungsmakler sowie Berater für Human Resources, wechselte, war Marcel Armon für die Howden Group tätig. Dort war er seit 2018 Geschäftsführer von Hendricks sowie seit 2019 von Howden Sicherheit International. Zuvor war er für das deutsche Geschäft des Financial-Lines-Assekuradeurs Dual, eines ebenfalls mit Howden verbundenen Unternehmens, verantwortlich. Insgesamt besitzt Armon mehr als 25 Jahre Erfahrung in der Versicherungsbranche. Er ist gelernter Versicherungskaufmann und Betriebswirt. Der MBA-Absolvent begann seine Führungslaufbahn 2004 bei Funk. Für den Industriemakler war er 13 Jahre lang in verschiedenen Positionen tätig.