Cyberrisiken als Finanzanlage: Citalids Vision für die Zukunft der Versicherungsbranche

Maxime Cartan, CEO von Citalid, erklärt, wie Cyberrisiken zu einer der strategisch wichtigsten und skalierbarsten Chancen in der Versicherungsbranche werden. Sein Unternehmen wandelt Cyberbedrohungen in messbare Finanzkennzahlen um und ermöglicht es Versicherern, Unternehmen und Finanzinstituten, digitale Risiken als Anlageklasse zu verstehen, zu bewerten und zu verwalten.

Thebrokernews spricht spricht mit dem Gewinner der Swiss InsurTech Hub Summit & Awards 2025.

Herr Cartan, bitte erzählen Sie uns kurz: Wie ist Citalid entstanden und was war Ihre persönliche Motivation, ein Unternehmen zu gründen, das Cyberrisiken quantifiziert?

Im Jahr 2017 arbeiteten mein Mitbegründer Alexandre Dieulangard und ich beide im Bereich Cyber Threat Intelligence bei ANSSI, der französischen Behörde für Cyberabwehr. Wir halfen kompromittierten kritischen Organisationen, sowohl staatlichen als auch privaten.

Und wir stiessen immer wieder auf die gleiche Hürde bei den Führungskräften: Jede strategische Entscheidung hängt letztendlich von wirtschaftlichen Faktoren ab, doch Cyberrisiken wurden immer noch nur in technischen Begriffen diskutiert. Die Brücke zwischen Cybersicherheit, Geschäftskontinuität, finanziellen Risiken und Versicherungen fehlte einfach. Die Organisationen agierten im Grunde genommen blind.

Alexandre und ich waren schon immer von Unternehmergeist getrieben und ergänzen uns mit unseren unterschiedlichen Hintergründen: Er mit seinem juristischen und geopolitischen Blickwinkel und ich mit meinem ingenieurwissenschaftlichen und mathematischen Ansatz in Bezug auf Cybersicherheit. Die Entwicklung einer konkreten, siloübergreifenden Lösung schien der logische nächste Schritt zu sein. Wir wollten eine einfache Frage beantworten: «Wie hoch ist das finanzielle Risiko meines Unternehmens durch Cyberrisiken und was kann ich dagegen tun?»

Unsere Motivation war klar: Cyberrisiken für Führungskräfte, Versicherer und Finanzinstitute messbar, vergleichbar und umsetzbar machen. Denn sobald man sie quantifizieren kann, kann man sie endlich auch managen.

Was genau unterscheidet Ihre Plattform von traditionellen Ansätzen zur Cyberversicherung oder zum Cyberrisikomanagement? Welche technologischen Hebel setzen Sie ein? KI, Bedrohungsinformationen, Modellierung?

Traditionelle Ansätze stützen sich auf externe Bewertungen oder Fragebögen. Man ist gezwungen, zwischen Geschwindigkeit und Substanz zu wählen: Lange Fragebögen erfassen die interne Haltung und den geschäftlichen Kontext, sind aber zeitaufwändig und mühsam; externe Scans sind zwar schnell und notwendig, zeigen aber nur technische Signale, die von aussen sichtbar sind.

Gleichzeitig ist Cyber ein sich dynamisch entwickelndes Risiko. Die begrenzten historischen Verlustdaten, die zur Verfügung stehen, sind schnell veraltet, dennoch bleibt Cyber eines der grössten Risiken für Unternehmen und Versicherer. Die Branche braucht einen neuen Ansatz, der Bedrohungsinformationen, Geschäftskontext, externe und interne Signale sowie finanzielle Auswirkungen in einer einzigen kohärenten Ansicht zusammenführt – ohne dabei an Geschwindigkeit einzubüssen.

Citalid ist heute die führende Technologie zur Quantifizierung von Cyberrisiken in Europa, da sie diese Lücke durch drei Säulen schliesst:

• Live-Cyber-Bedrohungsinformationen, kontextualisiert für bestimmte Branchen, Regionen und Angriffsszenarien.

• Fortschrittliche Modellierung, die Bayes’sche Netzwerke, Monte-Carlo-Simulationen und Fachwissen über finanzielle Auswirkungen kombiniert.

• KI-Systeme, die Analysen automatisieren, Signale korrelieren und die Ausbreitung von Risiken über IT-Systeme und Unternehmensportfolios hinweg erkennen.

Das Ergebnis ist eine Plattform, die weit über Reifegradbewertungen hinausgeht. Sie berechnet die Wahrscheinlichkeit von Vorfällen, erwartete Verluste, und den ROI von Sicherheits- und Versicherungsstrategien. Kurz gesagt: Wir übersetzen Cyberrisiken in die Sprache von Risiko, Kapital und Versicherung und machen sie damit messbar, vergleichbar und entscheidungsreif.

Sie haben den Swiss InsurTech Hub Summit & Awards 2025 mit der Aussage gewonnen, dass Cyber der «profitabelste und skalierbarste Sektor des nächsten Jahrzehnts» ist. Können Sie dies näher erläutern und wie sehen Sie die Rolle der Versicherer dabei?

Ja… oder zumindest sollte es so sein, wenn wir gemeinsam die richtigen Grundlagen schaffen!

Cyber ist die einzige Versicherungssparte, in der das zugrunde liegende Risiko schneller wächst als die Kapazitäten, die Modellierungsfähigkeiten oder das Underwriting-Know-how. Digitalisierung, KI-Einführung, Cloud-Konzentration und hypervernetzte Lieferketten führen zu einem exponentiellen Risiko. Und dennoch sehen wir immer noch enorme Deckungslücken: begrenzte Kapazitäten für grosse Unternehmen und begrenzte Marktdurchdringung für den Mittelstand.

Diese Kombination schafft eine perfekte Gelegenheit für: Enorme und steigende Nachfrage, begrenzte verfügbare Kapazitäten und einen kritischen Bedarf an besserer Preisgestaltung, Modellierung und Risikoselektion.

Versicherer, die sich heute wirklich mit Cyberrisiken auskennen, werden den Markt für das nächste Jahrzehnt prägen. Ich bin überzeugt, dass Cyberrisiken zu einem «zentralen strategischen Geschäftsfeld» werden, das mit Sach- oder Spezialversicherungen gleichzusetzen ist, aber weitaus skalierbarer, da es die Grundlage jeder modernen Organisation bildet.

Versicherer spielen dabei eine entscheidende Rolle: Sie stellen nicht nur Kapital zur Verfügung, sondern fördern auch die Widerstandsfähigkeit, verbessern Sicherheitsanreize und helfen der gesamten Wirtschaft, digitale Risiken ebenso klar zu verstehen und zu bewerten wie andere finanzielle Risiken.

Was sind Ihre nächsten Wachstumsschritte nach dem Gewinn der 2025 Awards? In welchen Märkten möchten Sie expandieren? Welche Partner-Ökosysteme sind für Sie wichtig?

Für unsere nächste Wachstumsphase kommen mir drei Prioritäten in den Sinn.

1. Geografische Expansion

Wir betreuen bereits Kunden in einem Dutzend Ländern, wobei unser Schwerpunkt auf der Schweiz, Deutschland, Grossbritannien und Nordamerika liegt. Diese Märkte vereinen ein hohes Cyber-Risiko, ausgereifte Versicherungsökosysteme und starke regulatorische Treiber.

2. Tiefe Integration in Partner-Ökosysteme

Broker, Versicherer, Rückversicherer, MGAs und Anbieter von GRC-/Underwriting-Plattformen spielen eine zentrale Rolle in unserer Strategie. Unser Ziel ist es, die Quantifizierung von Cyberrisiken dort verfügbar zu machen, wo Underwriting-, Risikoselektions- und Kapitalentscheidungen getroffen werden.

3. Skalierung der Produktpräsenz

Wir erweitern unsere Portfolio-Analysen für Versicherer und Banken, insbesondere in Bezug auf Risikoakkumulation, systemische Szenarien und den Zusammenhang zwischen Cyber- und Kreditrisiken.

Die Schweiz ist für uns ein strategischer Knotenpunkt: hochgradig ausgereift, innovationsfreundlich und global vernetzt. Sie ist eine ideale Ausgangsbasis für die internationale Expansion.

Was sind Ihrer Meinung nach die grössten Hindernisse, die Versicherer noch daran hindern, Cyberrisiken datengestützt zu versichern oder genau zu bewerten?

Cyberrisiken stellen eine Kombination von Hindernissen dar, die sie zu einer der grössten versicherungsmathematischen Herausforderungen machen, denen Versicherungen jemals gegenüberstanden. Es gibt keine jahrhundertelange Schadenshistorie und keine allgemein akzeptierte Taxonomie. Ohne gemeinsame Definitionen, Benchmarks und Risikokennzahlen haben Versicherer Schwierigkeiten, Modelle zu kalibrieren und Policen zu schreiben.

Das Verhalten, die Werkzeuge und die Motive von Angreifern entwickeln sich mit digitaler Geschwindigkeit weiter, sodass historische Schadensdaten nur eine schwache Vorhersagekraft für zukünftige Ereignisse haben. Cyberrisiken werden durch böswillige Absichten, geopolitische Spannungen, Konjunkturzyklen und neue Technologien geprägt: alles Faktoren, die zu großer Unsicherheit führen.

Das Verständnis von Schwachstellen, Kontrollen, Architekturen und Verhaltensweisen erfordert Fachwissen, das selten ist … und in einem angespannten Arbeitsmarkt für Versicherer extrem schwer zu finden und zu halten ist.

All diese Faktoren führen dazu, dass es auf dem Markt an geeigneten Lösungen mangelt, die Versicherern helfen, ihr Cyber-Versicherungsportfolio profitabel auszubauen und ihre Underwriting-Prozesse auf der Grundlage fundierter Cyber-Expertise zu optimieren.

Citalid hilft, diese Lücken zu schliessen, mit standardisierten Risikokennzahlen, live aktualisierten, angreiferzentrierten Informationen und automatisierten Modellen, die sich nahtlos in Underwriting- und Risikoprozesse integrieren lassen und Cyber-Risiken quantifizierbar, vergleichbar und in grossem Massstab versicherbar machen.

Wie profitieren Ihre Unternehmenskunden konkret von Ihrer Lösung? Haben Sie Beispiele dafür, wie sich Risiken oder Prämien verändert haben?

Unsere Engine zur Quantifizierung von Cyberrisiken bildet die Grundlage für zwei sich ergänzende Produkte:

Citalid Portfolio: gross angelegte Quantifizierung von Risiken Dritter, die für das Versicherungsgeschäft, die Analyse der Portfolioakkumulation, das Risikomanagement in der Lieferkette (TPRM) und sogar die Bewertung von Kreditrisiken verwendet wird.

Citalid Core: detaillierte First-Party-Risikomodellierung, die Unternehmen dabei hilft, ihre relevantesten Szenarien zu identifizieren, Risiken zu quantifizieren und Was-wäre-wenn-Simulationen durchzuführen, um eine optimale Sicherheits- und Versicherungs-Roadmap zu erstellen.

Zusammen bilden sie einen virtuosen Kreislauf zur Risikominderung: Portfolio-Nutzer (Versicherer, Makler, Finanzinstitute) haben einen Anreiz, Core an ihre wichtigsten Kunden mitzuverkaufen, da die Verbesserung der Risikosituation des Versicherten direkt ihre eigene Risikoposition verbessert. Es ist eine echte Win-Win-Situation.

Unternehmensnutzer unseres Produkts Citalid Core berichten in der Regel von drei konkreten Vorteilen:

Ertens: Radikale Transparenz – Zum ersten Mal verstehen Führungskräfte, welche Szenarien wichtig sind und welche finanziellen Auswirkungen jedes einzelne hat, und zwar in klarer Geschäftssprache. Zweitens: Optimierte Prämien und Versicherungsbedingungen: Einige Kunden haben ihre Prämien um bis zu 20 Prozent gesenkt oder die Bedingungen neu verhandelt, um ihr tatsächliches Risiko genau widerzuspiegeln, was das Vertrauen zu ihrem Versicherer stärkt. Und drittens: Intelligentere Investitionsentscheidungen – Anstatt «alles zu kaufen», priorisieren sie Sicherheitsmassnahmen mit der höchsten marginalen Risikominderung, was allen beteiligten Stakeholdern zugute kommt.

Auf Seiten der Versicherer ist der Wert symmetrisch: Ein Versicherer nutzte unsere Modelle, um ein gesamtes Portfolio neu zu bewerten, nachdem er Gruppen von Unternehmen mit unverhältnismässig hohen prognostizierten Schadenquoten identifiziert hatte – ein Muster, das er zuvor einfach nicht erkennen konnte.

Cyberversicherungen haben traditionell das Problem, dass es nur wenige historische Schadensfälle gibt. Wie gehen Sie damit um? Wie modellieren Sie Szenarien, die selten, aber dennoch möglich sind?

Die traditionelle versicherungsmathematische Modellierung von Risiken erfordert grosse, stabile historische Datensätze, die es im Cyberbereich einfach nicht gibt. Deshalb verlassen wir uns auf Bayesianische Netzwerke. Einfach ausgedrückt ist ein Bayes’sches Netzwerk eine Art erklärbare KI, die vorheriges Expertenwissen mit nachträglichen Beobachtungen aus der realen Welt kombiniert. Diese Netzwerke ermöglichen es uns, knappe Datensätze mit kontextbezogener Intelligenz und Cyber-Expertise zu ergänzen und das Modell dann kontinuierlich zu verfeinern, während sich die Realität weiterentwickelt.

Das Ergebnis ist eine völlig neue Sichtweise für Versicherer: eine Sichtweise, die plausible, aber noch nicht bekannte Szenarien modellieren, Tail-Ereignisse quantifizieren und verstehen kann, wie sich Risiken über Technologien und Lieferketten hinweg ausbreiten. Mit anderen Worten: Sie gibt Versicherungsmathematikern einen strengen Rahmen, der endlich der Natur des Risikos entspricht, weshalb sie bei Versicherern, die von den Einschränkungen rein historischer Ansätze frustriert sind, so grossen Anklang findet.

Wie sieht Ihre Zusammenarbeit mit Versicherern, Maklerfirmen oder Technologiepartnern aus? Welche Rolle müssen Vermittler und Makler beim Übergang zu daten- und risikoorientierten Cyber-Policen spielen?

Wir arbeiten über den gesamten Lebenszyklus einer Cyber-Versicherungspolice hinweg zusammen, von der ersten Prüfung bis zur systemischen Risikosteuerung:

1. Risikoselektion und -bewusstsein

Mit unserer vollautomatisierten, schlanken Bewertung können Underwriting-Teams schnell und ohne Kundenkontakt beurteilen, ob ein Unternehmen zu ihrem Risikoappetit passt. Dies ermöglicht eine schnellere Triage in grossem Massstab und effizientere Vertriebskanäle.

2. Underwriting und Verlängerung

In der tiefergehenden Bewertungsphase können Makler und Versicherer mehrere Signale (externe und interne, cyberbezogene und finanzielle, von Citalid oder anderen Technologiepartnern stammende usw.) kombinieren, um Garantien und Preise auf der Grundlage des tatsächlichen Risikos und nicht anhand generischer Reifegradbewertungen zu strukturieren. Dies reduziert Unsicherheiten und verbessert sowohl die Marge als auch die Kundenpassung.

3. Prävention und Risikomanagement

Für kritische oder komplexe Kunden können Broker und Versicherer ihnen unsere vollständige Cyber-Risikomanagement-Plattform zur Verfügung stellen. CISOs und Risikoteams können dann ihr Risiko eingehend analysieren, Szenariosimulationen durchführen und sowohl Sicherheitsinvestitionen als auch Versicherungsschutz optimieren. Dadurch entsteht ein echter Risikominderungskreislauf: Der Versicherte wird widerstandsfähiger und das Risiko des Versicherers verbessert sich im Laufe der Zeit.

4. Widerstandsfähigkeit des Portfolios

Auf Portfolioebene identifizieren wir Akkumulationsvektoren, überwachen die Entwicklung und Konzentration von Bedrohungen und helfen Versicherern dabei, ihre Zeichnungsrichtlinien zu verfeinern, um sie an ihre Risikobereitschaft anzupassen. Dies ist in einer Welt, in der sich Bedrohungsakteure schnell weiterentwickeln und in der Abhängigkeiten von Lieferketten und Clouds systemische Schwachstellen schaffen, von entscheidender Bedeutung.

5. Cyber-CAT-Simulationen

Wir bieten Katastrophenmodellierungsdienste auf Portfolioebene an, um extreme, aber plausible Ereignisse zu simulieren. Dies ermöglicht es Versicherern und Rückversicherern, Strategien zu testen, Rückversicherungen auszuhandeln und Annahmen zum Kapitalmanagement zu hinterfragen.

Letztendlich bleiben Vermittler unverzichtbar. Ihre Rolle entwickelt sich vom «Verkauf von Policen» hin zur Zusammenstellung risikobewusster Lösungen, die durch Analysen gestützt werden, denn genau das verlangen Kunden heute. Aus diesem Grund sehen wir, dass immer mehr Makler entweder interne Cyber-Quantifizierungsfähigkeiten entwickeln oder Partnerschaften mit Pure-Playern wie Citalid eingehen, um die Markteinführungszeit und die Glaubwürdigkeit zu beschleunigen.

Maxime Cartan ist Mitbegründer und CEO von Citalid, einem Technologie-Scale-up, das als europäischer Marktführer im Bereich Cyber Risk Quantification (CRQ) anerkannt ist. Zuvor arbeitete er als Spezialist für Cyber-Bedrohungsinformationen bei ANSSI, der französischen nationalen Cybersicherheitsbehörde. Er ist Absolvent einer renommierten Ingenieurshochschule und einer renommierten Wirtschaftshochschule in Frankreich und verfügt über Zertifizierungen im Bereich Offensive Security (OSCP, CEH). Bevor er zu ANSSI kam, war Maxime Partner bei Hypermind, einem Startup-Unternehmen, das sich auf prädiktive geopolitische Analysen spezialisiert hat.

Die Fragen wurden von Binci Heeb gestellt. Der zweite Teil des Interviews wird am Montag, 1. Dezember veröffentlicht.

Lesen Sie auch: Startups, Sieger und starke Ideen: Die InsurTech Awards 2025

---

---