Maya Bundt leitet die Cybergruppe der Swiss Re. Der Rückversicherer versichert Anbieter, die gegen Cyber-Attacken versichern. Hier berichtet sie, was ihr bei der Risikobewertung wichtig ist – und warum eine Meldepflicht von Sicherheitsvorfällen hilfreich ist.
Sauberes Underwriting, gutes Risk Assessment und die abgedeckten Schäden sind entscheidend für eine gute Versicherung.
Die USA sind relativ weit und bilden den größten Markt für Cyber-Versicherungen.
Sobald eine Meldepflicht für Vorfälle besteht, wird viel stärker auf Risiken geachtet. Das hebt den Sicherheitsstandard.
In der Schweiz gibt es beispielsweise die Melde- und Analysestelle Informationssicherung "Melani"
Maya Bundt ist Leiterin Cyber & Digital Strategy beim Rückversicherer Swiss Re. Foto: Swiss Re
CIO.de: Wer versichert mich am besten gegen Cyber-Attacken?
Maya Bundt: Diese Frage macht mich gar nicht glücklich. Wo ich eine Versicherung kaufe, sollte ich erst fragen, wenn ich weiß, wo meine Risiken liegen. Wenn ich meine Verletzbarkeit und Sicherheitslage kenne, kann ich genauer überlegen, ob ich einen Teil der Risiken an eine Versicherung abgeben möchte.
CIO.de: Und wenn ich meine Sicherheitslage kenne?
Maya Bundt: Dann gucken Sie erst bei den Versicherern, bei denen sie sowieso schon Deckung kaufen. Wenn Sie dort nichts Passendes finden, beraten Broker, was am besten auf Ihre Sicherheitslage passt. Da es keine Standard-Angebote gibt, ist das nicht ganz trivial, sich bei den vielen Versicherern zurechtzufinden. Aber erst gucken: Was brauche ich? Sonst wird man von den vielen Angeboten erschlagen.
CIO.de: Was raten Sie einem CIO, wenn er einen Versicherer sucht?
Maya Bundt: Ich bin keine Juristin, aber da muss ich auch mal sagen: Kommt drauf an.
CIO.de: Worauf gucken Sie, wenn Sie einen Cyber-Versicherungsanbieter rückversichern?
Maya Bundt: Sauberes Underwriting. Gutes Risk Assessment. Und vor allem: Was wird genau gedeckt? Im Wochentakt kommen gerade neue Produkte auf den Markt. Der ganze Markt ist noch in der Entwicklung. Deckungsfragen sind zum Beispiel: Sind nur Attacken von außen gedeckt? Sind Insider-Attacken gedeckt? Sind Netzwerk-Unterbrüche gedeckt, die vielleicht so gar nichts mit Security zu tun haben, zum Beispiel durch einen Stromausfall hervorgerufen?
CIO.de: Das scheint alles schwer vergleichbar.
Maya Bundt: Als Rückversicherer versichern wir in erster Linie ganze Risikoportfolios. Da ist es uns wichtig, dass wir unsere Kunden gut kennen, wissen, wie sie die Risikobewertungen und das Underwriting machen, und dass sie die richtigen Leute an Bord haben, die dieses Geschäft verstehen.
CIO.de: Wie geht man denn ein Risiko Assessment am besten an?
Maya Bundt: Da gibt es verschiedene Methoden. Die reichen von Einschätzungen von außen über desk researches bis hin zu kleinen Audits. Da kommt es darauf an, wie groß und wie komplex die Firma ist, die eine Versicherung sucht, und wie groß das Versicherungsprogramm sein soll. Wichtig aus der Versicherungsperspektive ist, dass man genug Informationen bekommt, z.B. ISO Reports, PCI - Compliance Reports, etc., um das Risiko adäquat beurteilen zu können.
CIO.de: Gibt es Länder, in denen Cyber-Versicherungen besonders verbreitet sind?
Maya Bundt: Die USA sind relativ weit und bilden den größten Markt. 2003 hat Kalifornien als erster Bundesstaat eine obligatorische Meldepflicht für data privacy breaches eingeführt, Mittlerweile haben 48 Bundesstaaten eine Meldepflicht. Seitdem sind die Unternehmen dort besonders bemüht, sich zumindest gegen einen Teil dieser Risiken zu versichern. Das hat den Markt natürlich belebt.
CIO.de: Kalifornien hat eine Meldepflicht, bei der ein Unternehmen an eine staatliche Stelle melden muss, wenn es angegriffen wurde. Halten Sie das für gut?
Maya Bundt: Sobald eine Pflicht besteht, wird viel mehr Augenmerk auf die Risiken gelegt. Ich glaube, das hilft den Standard zu heben. Als Rückversicherer bin ich natürlich besonders interessiert an umfänglichen Daten. Das muss nicht nur Schadenserfahrung sein. Das können auch "Near Misses" sein, wo fast etwas passiert wäre. Auch die sind für uns von Wert, um Cyber-Risiken besser zu verstehen.
CIO.de: Ich kann mir mehrere Gründe vorstellen, warum Firmen eine Meldepflicht scheuen. Sie könnten befürchten, dass dabei Informationen an Angreifer durchsickern, oder der Melder obendrein als unsicher gebrandmarkt wird.
Maya Bundt: Den potenziellen Reputationsschaden sehe ich natürlich. Ich frage mich deshalb auch, ob wir nicht mehr freiwillige Anreize schaffen sollten. In der Schweiz gibt es zum Beispiel die Melde- und Analysestelle Informationssicherung "Melani", Da geht es eher darum, ich helfe dir, du hilfst mir.
CIO.de: Sie sind auch Mitglied des Future Councils for the Digital Economy and Society des World Economic Forums (WEF). Was genau macht das Weltwirtschaftsforum in Sachen Sicherheit?
Maya Bundt: Ich war gerade in San Francisco an einem Workshop über die vierte industrielle Revolution. Da wurden auch Cybercrime und Cyberresilience besprochen. Das ist ein großes Thema in diesem Zusammenhang. Es ist aber nicht nur das WEF, das das Thema umtreibt. Auch die OECD kümmert sich um Security - vor allem in kleinen und mittleren Betrieben. Der GDV (Gesamtverband der deutschen Versicherer, Anm. d. Red.) hat im März gerade Musterbedingungen für eine Cyber-Police vorgestellt. An unheimlich vielen Stellen kocht das Thema gerade. Ich selbst spreche im Juni auf der neuen Sicherheitskonferenz Sekop am Tegernsee.
CIO.de: Gibt es Branchen, die sie für hoch risikobehaftet halten?
Maya Bundt: Branchen, die rot leuchten, sind Finanzinstitute, Healthcare und Energie - ganz viel aber auch öffentliche Einrichtungen. Das heißt aber nicht, dass man diese Risiken nicht decken kann. Die besser geschützten und vorbereiteten Organisationen in den Hochrisikobranchen können für einen Versicherer viel attraktiver sein als schlecht geschützte und schlecht vorbereitete Firmen in scheinbar weniger risikoreichen Branchen.
CIO.de: Es gibt also keine Branchen, die sie generell meiden?
Maya Bundt: Als Rückversicherer achten wir auf ein ausgewogenes und gut diversifziertes Portfolio, das nicht nur aus Hochrisiken besteht.
CIO.de: CIOs beklagen die immer ausgefeilteren Phishing-Attacken. Wie gehen Sie damit um?
Maya Bundt: Klar, Phishing ist eines der Haupteinfallstore. Aber ich bin kein CIO und kein CISO und schon lange nicht mehr in der IT. Da gibt es wirklich Leute, die Ihnen das besser beantworten können. Bei mir geht es um Versicherungen. Ich kümmere mich um die Versicherbarkeit der Risiken und deren Akkumulation, die ganz anders aussieht als bei Erdbeben oder Wirbelstürmen.
Das Gespräch führte CIO-Herausgeber Horst Ellermann.
Die Top-CIOs der Versicherungsbranche
INTER Versicherungsgruppe Roberto Svenda ist seit 1. Juli 2023 Vorstandssprecher der INTER Versicherungsgruppe und zuständig für das IT-Ressort.
AachenMünchener Seit Juni 2014 verantwortet Helmut Gaul die Ressorts Betrieb und IT im Vorstand der AachenMünchener. Er kennt das Haus: schon 1984, kurz nach Abschluss des Betriebswirtschaftsstudiums an der Fachhochschule Köln, kam er zu der Aachener Versicherung. Dazwischen lag lediglich ein Jahr im Außendienst der Colonia Versicherung.
Talanx Jens Warkentin ist seit Januar 2023 Talanx-CIO. Der Talanx-Finanzvorstand übernahm die Aufgaben von Christopher Lohmann.
ERGO Deutschland Mario Krause ist seit Anfang 2019 CIO der deutschen IT-Einheiten von ERGO und Vorsitzender der Geschäftsführung der ERGO-IT-Tochter Itergo. Er war zuvor im Vorstand des Versicherungskonzerns Talanx AG in Hannover für IT zuständig und zugleich Vorstandsvorsitzender des IT-Dienstleisters Talanx Systeme.
Helvetia Deutschland Seit August 2020 ist Andrea Sturmfels als CIO für das Ressort Informatik von Helvetia Deutschland verantwortlich.
ERGO Global Tomasz Smaczny ist seit Anfang 2019 Vorstandsvorsitzender der Ergo Technology & Services Management und Global CIO für die gesamte IT bei Ergo. Smaczny ist zudem Vorsitzender des Aufsichtsrats der IT-Tochter Itergo.
Allianz SE Seit 1. November 2023 hat der Versicherungskonzern Allianz mit Olav Spiegel einen neuen Group Chief Information Officer an Bord. Er folgt auf Ralf Schneider.
AXA Deutschland Der neue IT-Chef der AXA Deutschland kommt aus den eigenen Reihen. Achim Dahlbokum agiert ab September 2023 als CIO des Versicherers. Der bisherige CIO der AXA Versicherung in Deutschland, Stefan Lemke, verlässt das Unternehmen zum 31. August 2023.
Wüstenrot & Württembergische Seit Juli 2012 ist Jens Wieland IT-Vorstand der Wüstenrot & Württembergische AG. Gleichzeitig gehört er der Geschäftsführung der W&W Informatik GmbH an, der IT-Tochter der Versicherungsgruppe. Zuvor war Wieland fünf Jahre lang im Vorstand der AXA für das IT-Ressort zuständig.
Zurich Gruppe Deutschland Seit Januar 2021 ist Jens Becker Head of IT der Zurich Gruppe Deutschland. Er folgte auf Dorothée Appel.
Signal Iduna Stefan Lemke, CIO von Axa Deutschland, wechselt zum 1. Januar 2024 als IT-Vorstand zur Signal Iduna Gruppe
Debeka Die Debeka hat eine neue IT-Vorständin. Laura Müller steigt intern auf und folgt auf Roland Weber, der das Unternehmen verlässt.
Alte Leipziger Seit Januar 2018 ist Udo Wilcsek stellvertretendes Vorstandsmitglied im Alte Leipziger – Hallesche Konzern und für die IT zuständig. Davor war er – seit 2014 – Leiter des konzernweiten Zentralbereichs Betriebsorganisation.
VHV Versicherung Seit Januar 2022 ist Arndt Bickhoff Generalbevollmächtigter für den Bereich IT bei der VHV Holding.
Sparkassen Versicherung Der promovierte Mathematiker Thorsten Wittmann übernahm im Januar 2016 die Leitung des Ressorts Leben und IT der SV Sparkassen Versicherung (SV). Dazu gehört auch die IT-Tochter SV Informatik.
Hannover Rück Jürgen Stoffel ist seit Januar 2013 Managing Director IT/ Group CIO der Hannover Rück SE. Der Diplom-Mathematiker Stoffel war vor seinem Wechsel zur Hannover Rück fünf Monate lang Associate Partner bei IBM IT Management Consulting, arbeitete zwei Jahre lang als Head of Consulting & Projects bei ITERGO und war 13 Jahre beim IT-Beratungsunternehmen Comma Soft AG unter anderem Mitglied der Geschäftsleitung.
Generali Deutschland Rainer Sommer übernahm im Mai 2015 als Vorstand der Generali Deutschland Holding die Aufgaben als COO und CIO. Außerdem wurde er Vorsitzender der Geschäftsführung der IT-Tochter Generali Deutschland Informatik Services GmbH.
HUK-Coburg Daniel Thomas hat seit 2016 die Aufgaben Betriebsorganisation und IT von Jörn Sandig übernommen, der Ende 2015 nach Auslaufen seines Vertrages in den Ruhestand ging.
Swiss Life Deutschland Beim Versicherungsunternehmen Swiss Life Deutschland hat Tobias Herwig zum 1. März 2023 die Position des Chief Technology Officer übernommen.
VPV Versicherungen Jürgen Reinsch ist seit Juli 2010 CIO der VPV Versicherungen in Stuttgart. Seit Januar 2018 ist er CDO und CIO. Vor seinem Wechsel zu VPV war Reinsch zwölf Jahre lang in verschiedenen Führungspositionen in der W&W Gruppe. Davor arbeitete er in zwei Systemhäusern und als freiberuflicher Berater.
Gothaer Seit Juni 2016 ist Burkhard Oppenberg Geschäftsführer der Gothaer Systems GmbH, dem IT-Dienstleister im Gothaer Konzern, und CIO des Gothaer Konzerns. Er trat die Nachfolge von Volkmar Weckesser an.
R+V Holding Mitte Juni 2018 ist Tillmann Lukosch in den R+V-Holdingvorstand berufen worden. Er übernahm die Verantwortung für das Zentralressort Informationssysteme sowie für die digitale Transformation. Lukosch ist Nachfolger von Peter Weiler, der in den Ruhestand ging.
Munich Re Robin Johnson übernahm im April 2017 in Nachfolge von Rainer Janßen die Leitung des Zentralbereichs Information Technology bei der Munich Re. Johnson war vor seinem Wechsel zu Maersk von 2008 bis 2012 Global CIO beim US-Computerhersteller Dell.
LVM Marcus Loskant ist seit dem 1. Juli 2019 Mitglied des Vorstands der LVM Versicherung und verantwortlich für das IT Ressort. Dieses beinhaltet die Vorstandsmandate der LVM a.G., LVM Kranken, LVM Leben und LVM Pension - also aller LVM Versicherungen. Zuvor war er Generalbevollmächtiger für das IT-Ressort der LVM Versicherung.
Baloise Group Der promovierte Umweltwissenschaftler Alexander Bockelmann ist seit Februar 2019 Chief IT Officer (CTO) der Schweizer Baloise Group in Basel. Bockelmann kam von der österreichischen Versicherung Uniqua. Nach beruflichen Stationen bei der Boston Consulting Group und bei Versicherungsunternehmen in Deutschland und den USA wurde er 2013 Head of Group IT bei Uniqua. Seit Mitte 2016 war er dort Chief Digital Officer.
Provinzial Rheinland Patric Fedlmeier ist seit Januar 2018 Vorstandsvorsitzender des Konzerns Provinzial Rheinland. Er ist seit 2009 im Vorstand, zuletzt als stellvertretender Vorstandsvorsitzender für die Ressorts Vertrieb und IT zuständig. Diese Aufgaben behält er.
Mobiliar Thomas Kühne ist seit Januar 2019 Leiter IT und Mitglied der Geschäftsleitung beim Allversicherer Mobiliar in Bern in der Schweiz. Er war davor IT-Leiter bei Zurich Deutschland. Der Informatiker hatte diese Aufgabe im Dezember 2017 übernommen. Zuvor verantwortete er seit 2016 als Bereichsleiter Enterprise Transformation and Services bei der Zurich Gruppe Deutschland alle Shared Services sowie Betriebsorganisation, Real Estate, Einkauf und das Druckzentrum. Seit 2017 war er zugleich auch COO des Direktversicherers der Gruppe DA Direkt.
Viridium Martin Setzer ist seit April 2018 CIO und Mitglied des Vorstands der Viridium Gruppe. Setzer war davor bis Mitte 2017 Mitglied des Vorstands und COO der Landesbank Baden-Württemberg. Im Anschluss beriet er Unternehmen im Bereich der Digitalen Transformation und übernahm Mandate in Start-ups der Finanzindustrie (Fintechs).
HDI Global SE Die IT und den Bereich Operations im Vorstand der HDI Global SE führt seit Juli 2018 Thomas Kuhnt. Kuhnt kam von der Unternehmensberatung McKinsey & Company.
HDI Lebensversicherungs AG Zum 1. März 2021 wechselte Dirk Böhme vom IT-Beratungshaus Silbury in den Vorstand der HDI Lebensversicherungs AG. Zugleich wird er Vorstandsmitglied der HDI Systeme AG, dem IT-Dienstleister der Talanx-Gruppe.
Zurich Seit Frühjahr 2012 verantwortet Claudia Dill als COO (Chief Operation Officer) die IT der Sparte General Insurance beim Schweizer Konzern Zurich. Sie berichtet an Kristof Terryn, den obersten IT-Entscheider des Konzerns.
BayDit AG Die Versicherungsgruppe die Bayerische bündelt seit Januar 2019 in der "die Bayerische Digital AG" (BayDit AG) ihre digitalen Aktivitäten. Das Unternehmen wird von einer Doppelspitze geführt: Der Vorstand besteht aus Michael Brand (l.) und Thomas Wolf. Michael Brand ist Diplom-Informatiker mit Schwerpunkt Software-Engineering und seit 1990 in der Versicherungs-IT tätig. Seit 2007 ist er Geschäftsführer der Bayerischen IT GmbH. Thomas Wolf, Diplom-Ingenieur Elektrotechnik, war von 2002 bis Oktober 2018 Vorstand der iS2 Intelligent Solution Services AG.
Süddeutsche Krankenversicherung (SDK) Ralf Oestereich wurde im April 2019 IT-Vorstand der Süddeutsche Krankenversicherung a. G (SDK). Er ist als Vorstand für Informationstechnik für die Bereiche IT-Anwendungsentwicklung und IT-Betrieb sowie die Betriebsorganisation zuständig.
Maya Bundt spricht auf der Sekop 2017
Maya Bundt, Leiterin Cyber & Digital Strategy der Reinsurance Swiss Re, hält am 17. Juni am Tegernsee auf der neuen Sicherheitskonferenz "Sekop" den Eröffnungsvortrag. Ihr Thema lautet: "Cyberversicherungen: Ein Baustein für die CISO Agenda 2018", mehr zur Sekop auf www.finaki.de
Zur Person | Maya Bundt
Maya Bundt leitet die Cybergruppe in Swiss Re's Reinsurance Business Unit und ist dort für die Entwicklung und Implementierung der globalen Cyber-Strategie verantwortlich. Außerdem beschäftigt Sie sich mit technologischen Entwicklungen und dem Einfluss der zunehmenden Digitalisierung auf Risiken für Individuen, die Wirtschaft, und die Gesellschaft.
Andere Stationen in Mayas Swiss Re Karriere waren Positionen in der IT Division als Head Functional Management, und in der Strategieabteilung der Swiss Re Gruppe, wo sie als Chief of Staff für das Konzernleitungsmitglied Strategie tätig war. Bevor Maya zur Swiss Re stieß, war sie für die Boston Consulting Group in einer Vielzahl von Industrien im Einsatz.
Maya promovierte an der ETH Zürich im Bereich Umweltwissenschaften. Maya ist Mitglied des Future Councils for the Digital Economy and Society des World Economic Forums.