Herr Brokamp, Sie waren ja, wenn ich das richtig in Erinnerung habe, Leiter Produktmanagement und Underwriting bei HDI. Jetzt stehen Sie an der Spitze eines Cyber-Assistance- und Technologieanbieters. Was hat Sie zu diesem Wechsel bewogen?
Brokamp: Im Grunde ist das eine konsequente Fortsetzung. Ich habe mich seit 2015 mit Cyberversicherung und Cybersecurity beschäftigt, zuletzt fünf Jahre im Produktmanagement bei HDI – immer mit Fokus auf KMU. Genau dort setzt auch Perseus an. Der Markt hat sich in den vergangenen zehn Jahren stark weiterentwickelt. Für mich ist das der nächste logische Schritt. In der Versicherung denkt man stark aus der Portfolio-Perspektive. Jetzt bin ich deutlich näher an der operativen Risikosteuerung – und genau das reizt mich. Ich habe immer gesagt, dass man Cyberversicherung nicht isoliert betrachten darf, sondern zusammen mit wertstiftenden Zusatzleistungen, wie z.B. Präventionsmaßnahmen. Diese beiden Welten zusammenzubringen, ist für mich der entscheidende Punkt. Insofern habe ich weniger die Seite gewechselt als die Perspektive. Und natürlich ist es auch persönlich eine spannende Aufgabe, unternehmerische Verantwortung zu übernehmen.
Sie haben die Perspektive schon angesprochen. Was sehen Sie aus Perseus-Sicht anders als aus der HDI-Warte?
Brokamp: Die Unterschiede sind gar nicht so groß, weil beide Seiten eng zusammenarbeiten. Als Versicherer hat man den Wunsch, dass Schäden möglichst selten und gering ausfallen. Präventionsdienstleistungen sollen genau dazu beitragen. Diese Grundannahme teilen beide Seiten. Der Unterschied liegt eher im Blickwinkel: Als Underwriter oder Portfolioverantwortlicher schaut man stark aggregiert, Themen wie Kumul- und Änderungsrisiken stehen im Fokus. Jetzt bin ich viel näher an der Einzelperspektive. Gleichzeitig muss sich Prävention auch wirtschaftlich lohnen, damit Versicherer sie einsetzen. Dass das funktioniert, haben wir bei Perseus in den letzten Jahren gezeigt – die Zusammenarbeit mit vielen Versicherern bestätigt das.
Perseus arbeitet eng mit Versicherern zusammen, HDI ist beteiligt, die Signal Iduna kürzlich eingestiegen. Sind Sie ein verlängerter Arm der Versicherer oder ein unabhängiger Cyber-Dienstleister?
Brokamp: Wir sind ganz klar ein unabhängiger, eigenständiger Dienstleister. Unser Geschäftsmodell funktioniert auch ohne Versicherer – Unternehmen werden schließlich auch ohne Versicherung Opfer von Cyberangriffen. Ein relevanter Teil unseres Geschäfts läuft direkt, etwa über unsere Website mit buchbaren Leistungen und Beratung. Insofern sind wir klar eigenständig aufgestellt. Gleichzeitig arbeiten wir eng mit Versicherern zusammen, sie sind strategische Partner und auch ein wichtiger Vertriebskanal. Unsere Mission ist es, Cyberrisiken beherrschbar zu machen – für Unternehmen ebenso wie für Versicherer. Gerade viele KMU verfügen über weniger Ressourcen, sprich es fehlen finanzielle Mittel oder oftmals auch das nötige Know-how, und hier setzen wir an. Das erklärt, warum die Zusammenarbeit so gut funktioniert.
Sie sind seit Jahren in der Branche aktiv und sehr tief im Thema. Wie würden Sie die aktuelle Bedrohungslage für Unternehmen in Deutschland beschreiben?
Brokamp: Das Traurige ist: Die Antwort hat sich kaum verändert. Die Bedrohungslage ist weiterhin hoch und wird es auch bleiben. Wir werden nicht mehr in einer Welt aufwachen, in der das anders ist – dafür ist unsere Abhängigkeit von Technologie zu groß. Insofern bleibt die Lage dauerhaft angespannt. Verändert haben sich vor allem die Angriffsszenarien. Während früher, etwa zu Zeiten von WannaCry (Schadprogramm/Ransomware), breit und mit vergleichsweise niedrigen Lösegeldforderungen angegriffen wurde, sehen wir heute deutlich komplexere Modelle: Mehrfacherpressung, Datendiebstahl und die Drohung mit Veröffentlichung eben dieser Daten. Das erhöht die potenzielle Schadenshöhe erheblich. Künstliche Intelligenz wird diese Entwicklung voraussichtlich weiter beschleunigen. Gleichzeitig gilt: Cyberrisiken betreffen alle Branchen und Unternehmensgrößen – auch wenn das lange unterschätzt wurde. Oft wird das Thema erst ernst genommen, wenn bereits ein Schaden eingetreten ist. Auch im Cybermarkt zeigen sich dabei die typischen Marktzyklen mit wechselnden Risikobewertungen.
Gerade im KMU-Bereich sieht man kaum Fortschritte. Wie haben sich in den vergangenen zwölf Monaten die Cyberangriffe entwickelt – bei Häufigkeit und Schadenshöhe?
Brokamp: Dass sich das Gefühl wenig verändert hat, liegt auch daran, dass der Markt noch jung und sehr dynamisch ist. Er erfordert spezialisiertes Know-how, das sich erst nach und nach in der Breite etabliert – im Vertrieb, im Underwriting und im Schaden. Ich sage gern: Gras wächst nicht schneller, wenn man daran zieht. Es hat sich viel getan, aber es braucht Zeit, bis das flächendeckend ankommt. Mit Blick auf die letzten zwölf Monate sehen wir vor allem eines: Phishing bleibt der zentrale Einstiegspunkt. Der Mensch ist nach wie vor das größte Risiko – ohne erhobenen Zeigefinger. Unsere Daten zeigen klar, dass viele Schäden auf menschliche Fehler zurückgehen. Ein wichtiges Thema ist Business E-Mail Compromise. Dieses Angriffsmuster macht inzwischen rund 40 Prozent unserer Schadenfälle aus. Gleichzeitig dominieren Ransomware-Fälle weiterhin die Schadenbearbeitung. Sie bewegen sich auf konstant hohem Niveau und zeigen eher Wellenbewegungen als klare Trends. Gegen Jahresende haben wir hier sogar wieder leichte Zunahmen über verschiedene Portfolios hinweg gesehen.
Welche Rolle spielt künstliche Intelligenz auf Täterseite?
Brokamp: KI ist ein extrem mächtiges Werkzeug – und ob sie auf Angreifer- oder Verteidigerseite eingesetzt wird, macht zunächst keinen Unterschied. Wichtig ist: KI schafft keine völlig neuen Angriffsszenarien, sondern wirkt vor allem als Beschleuniger. Sie erleichtert und automatisiert bestehende Methoden. Gerade beim Business E-Mail Compromise sieht man das deutlich: Rund 40 Prozent unserer Schäden hängen damit zusammen, und KI hilft Angreifern etwa bei der Internationalisierung – beispielsweise durch bessere Sprachqualität in Phishing-Mails. Insofern spielt KI bereits heute eine große Rolle.
Das sahen wir auch in den Kommentarspalten unseres Content-Programms. Dort wurden wir teilweise massiv mit Spam-Kommentaren überflutet.
Brokamp: Dieser flächendeckende Einsatz ist faszinierend. Mit vergleichsweise wenig Know-how können technisch affine Personen heute mithilfe neuer Tools wieder eigene Angriffswerkzeuge bauen und in Systeme eindringen. Auch ist es möglich, dass Angriffsmethoden, die als weitgehend verschwunden gelten, so wieder Fahrt aufnehmen können.
Wie gut ist der Mittelstand auf diese Gefahren vorbereitet? Bitkom spricht von einem wirtschaftlichen Schaden durch Cyberangriffe von 202 Milliarden Euro im vergangenen Jahr.
Brokamp: Das ist eine berechtigte Frage, pauschal lässt sie sich aber schwer beantworten. Es gibt grundlegende Aufgaben, die jedes Unternehmen erfüllen muss. Die Bitkom-Zahlen schwanken seit Jahren, bewegen sich aber konstant auf hohem Niveau. Auch andere Studien zeigen, wie relevant das Risiko ist. Viele Argumente gegen Prävention sind allerdings erstaunlich stabil: Es trifft die anderen, die eigenen Daten sind nicht interessant oder das Unternehmen ist zu klein. Diese Haltung hält sich hartnäckig, auch wenn es Fortschritte gibt. Gleichzeitig bleibt die Lage ein dauerhaftes Katz-und-Maus-Spiel – jede Bewertung ist daher nur eine Momentaufnahme. Gerade kleinere Unternehmen, Arztpraxen oder Kanzleien stehen vor der Herausforderung, IT-Sicherheit neben dem Tagesgeschäft zu organisieren. Dabei sehen wir technische, organisatorische, aber auch prozessuale Schwachstellen und Sicherheitslücken. Typische Schwachstellen sind nach wie vor fehlende Multifaktor-Authentifizierung, schwache Passwörter, unzureichendes Patch-Management oder mangelhafte Backups. Entscheidend ist am Ende die Vorbereitung auf den Ernstfall. Unternehmen, die klare Abläufe definiert haben, Notfälle üben und wissen, wen sie im Zweifel einbinden müssen, können Schäden deutlich begrenzen.
Die Allianz stuft Cyberrisiken als größtes Geschäftsrisiko ein. Würden Sie diese Einschätzung teilen?
Brokamp: Ich glaube, jedes Unternehmen ist gut beraten, für sich selbst zu analysieren, was das größte Geschäftsrisiko ist. Und bei der Allianz muss man fairerweise sagen: Sie stuft das nicht selbst ein, sondern das basiert auf einer Befragung im Risk Barometer. Cyberrisiken sind dort seit etwa zehn Jahren unter den Top Ten und seit einigen Jahren auf Platz eins. Dahinter folgt häufig die Betriebsunterbrechung, die eng mit Cyberrisiken verbunden ist. Das ist also die Einschätzung der Unternehmen selbst. Gleichzeitig gibt es dieses Paradoxon: Einerseits wird Cyber als Top-Risiko genannt, andererseits heißt es oft, es treffe das eigene Unternehmen nicht oder die eigenen Daten seien nicht interessant. Diese Lücke besteht weiterhin. Gemessen daran, dass ein Cyberangriff existenzbedrohend sein kann und vergleichsweise einfach umzusetzen ist, gehört er aus meiner Sicht zu den größten Risiken. Ein direkter Vergleich fällt mir dennoch schwer, weil auch Naturkatastrophen je nach Region erhebliche Auswirkungen haben können.
Sie kennen beide Seiten – auch aus Ihrer Zeit als Underwriter bei HDI. Wo sehen Sie die größten strukturellen Schwächen bei kleinen und mittleren Unternehmen?
Brokamp: Das knüpft direkt an das zuvor Gesagte an. Man muss zwischen technischen und organisatorischen Maßnahmen unterscheiden – und die Defizite liegen aus meiner Sicht häufig auf der organisatorischen Seite. Entscheidend ist, ob das Thema im Unternehmen verankert ist: Übernimmt jemand Verantwortung auf Führungsebene und wird das Bewusstsein weitergetragen? Es geht weniger um einzelne Tools als um ein grundlegendes Risikoverständnis. Gleichzeitig sehen wir bekannte Schwachstellen immer wieder: Backups, Patch-Management und Zugangssicherheit. Das sind keine neuen Themen, sondern Hausaufgaben, die leider oft nicht konsequent genug erledigt werden. Hinzu kommt die Dynamik. Viele Unternehmen nutzen längst Cloud-Anwendungen für kritische Prozesse, ohne sich dessen immer bewusst zu sein. Die eigentliche Herausforderung ist, mit dieser Entwicklung Schritt zu halten und die eigenen Strukturen entsprechend anzupassen.
Woran liegt das? Fehlt es an Personal oder am Verständnis?
Brokamp: Ich würde eher von Know-how sprechen, da gibt es zwangsäufig einen Fachkräftemangel. Das betrifft nicht nur Unternehmen, sondern insbesondere auch den Cyberversicherungsmarkt und die IT-Sicherheitsbranche insgesamt. Diese Felder existieren in ihrer heutigen Form erst seit zehn bis 20 Jahren, entsprechend begrenzt ist die Zahl an langjährig-erfahrenen Fachkräften. Und selbst dann stellt sich die Frage, wie aktuell dieses Wissen ist. Es ist eine echte Herausforderung bei der Entwicklung Schritt zu halten. Beim vermeintlichen Vorwurfdes fehlenden Verständnises wäre ich dennoch vorsichtig. Die Ausgangsniveaus sind letztlich sehr unterschiedlich.
Und wenn es trotz aller Prävention zu einem Cybervorfall kommt: Wie gut funktionieren Notfallpläne und Prozesse im Mittelstand?
Brokamp: Backups und Patch-Management sind heute zumindest bekannt – das ist ein wichtiger erster Schritt. Danach kommt die eigentliche Kür: Notfallpläne. Im größeren Kontext spricht man von Business Continuity Management, für kleinere Unternehmen passt der Begriff Notfallplan aber besser. Solche Pläne gibt es zunehmend, aber längst nicht flächendeckend – und vor allem fehlt oft die Übung. Genau die ist entscheidend. Schon ein einfacher Plan, notfalls auf einer Seite, bringt viel: Was ist im Ernstfall zu tun und wen kontaktiere ich? Im Zweifel auch einfach die Nummer der Cyberversicherung. Der Unterschied zeigt sich in der Praxis: Sind Ansprechpartner klar definiert, erreichbar und aktuell? Wenn nicht, geht im Ernstfall wertvolle Zeit verloren. Ich habe Fälle gesehen, in denen Schäden sehr spät gemeldet wurden. Dabei ist entscheidend, ob man in der ersten Stunde reagiert oder deutlich später – teilweise reden wir hier von Wochen. Oft unterschätzt wird auch die Kommunikation – etwa gegenüber Behörden, Anwälten oder Kunden. Das muss im Vorfeld geklärt sein, nicht erst im Ernstfall.
Seite 2: „Wer glaubt, mit Abschluss einer Police „sicher“ zu sein, liegt falsch.“
