Cyberrisiken lassen sich nicht mehr mit Checklisten und Bauchgefühl versichern (2. Teil)

1 Dezember, 2025 | Aktuell Allgemein Interviews
Cyberrisiken lassen sich nicht mehr mit Checklisten und Bauchgefühl versichern: Maxime Cartan bei der Preisübergabe anlässlich des SIH Summit & Awards 2025.
Cyberrisiken lassen sich nicht mehr mit Checklisten und Bauchgefühl versichern: Maxime Cartan bei der Preisübergabe anlässlich des SIH Summit & Awards 2025.

Wer heute Cyber-Policen vermittelt, muss Risiken verstehen, quantifizieren und im gesamten Lebenszyklus begleiten: von der ersten Einschätzung bis zur systemischen Steuerung. Genau hier sieht Maxime Cartan, CEO des Cyber-Intelligence-Spezialisten Citalid, die entscheidende Rolle von Versicherern, Brokern und Technologiepartnern: Sie werden zu orchestrierenden Akteuren, die Daten, Modelle und Präventionswissen zusammenführen.

Thebrokernews spricht spricht mit dem Gewinner der Swiss InsurTech Hub Summit & Awards 2025 darüber, wie Vermittler sich vom Verkäufer zur strategischen Instanz entwickeln, die risikobasierte Lösungen kuratiert, Kapitalallokation beeinflusst und Vertrauen zwischen Unternehmen und Versicherern schafft. Denn Cyber ist keine Produktkategorie mehr, sondern eine dynamische Risikoklasse, die kontinuierlich gemanagt werden will.

Wie sieht Ihre Zusammenarbeit mit Versicherern, Brokerfirmen oder Technologiepartnern aus? Welche Rolle müssen Vermittler und Broker beim Übergang zu daten- und risikoorientierten Cyber-Policen spielen?

Wir arbeiten über den gesamten Lebenszyklus einer Cyber-Versicherungspolice hinweg zusammen, von der ersten Prüfung bis hin zur systemischen Risikosteuerung:

1. Risikoselektion und -bewusstsein

Mit unserer vollautomatisierten, schlanken Bewertung können Underwriting-Teams schnell und ohne Kundenkontakt beurteilen, ob ein Unternehmen zu ihrem Risikoappetit passt. Dies ermöglicht eine schnellere Triage in grossem Massstab und effizientere Vertriebskanäle.

2. Underwriting und Verlängerung

In der tiefergehenden Bewertungsphase können Broker und Versicherer mehrere Signale (externe und interne, Cyber- und Finanzsignale, die von Citalid oder anderen Technologiepartnern stammen) kombinieren, um Garantien und Preise auf der Grundlage des tatsächlichen Risikos und nicht anhand generischer Reifegradbewertungen zu strukturieren. Dies reduziert Unsicherheiten und verbessert sowohl die Marge als auch die Kundenpassung.

3. Prävention und Risikomanagement

Für kritische oder komplexe Kunden können Broker und Versicherer ihnen unsere vollständige Cyber-Risikomanagement-Plattform zur Verfügung stellen. CISOs und Risikoteams können dann ihr Risiko eingehend analysieren, Szenariosimulationen durchführen und sowohl Sicherheitsinvestitionen als auch Versicherungsschutz optimieren. Dadurch entsteht ein echter Risikominderungskreislauf: Der Versicherte wird widerstandsfähiger und das Risiko des Versicherers verbessert sich im Laufe der Zeit.

4. Widerstandsfähigkeit des Portfolios

Auf Portfolioebene identifizieren wir Akkumulationsvektoren, überwachen die Entwicklung und Konzentration von Bedrohungen und helfen Versicherern dabei, ihre Zeichnungsrichtlinien zu verfeinern, um sie an ihre Risikobereitschaft anzupassen. Dies ist in einer Welt, in der sich Bedrohungsakteure schnell weiterentwickeln und in der Abhängigkeiten von Lieferketten und Clouds systemische Schwachstellen schaffen, von entscheidender Bedeutung.

5. Cyber-CAT-Simulationen

Wir bieten Katastrophenmodellierungsdienste auf Portfolioebene an, um extreme, aber plausible Ereignisse zu simulieren. Dies ermöglicht es Versicherern und Rückversicherern, Strategien zu testen, Rückversicherungen auszuhandeln und Annahmen zum Kapitalmanagement zu hinterfragen.

Letztendlich bleiben Vermittler unverzichtbar. Ihre Rolle entwickelt sich vom «Verkauf von Policen» hin zur Zusammenstellung risikobewusster Lösungen, die durch Analysen gestützt werden, denn genau das verlangen Kunden heute. Aus diesem Grund sehen wir, dass immer mehr Broker entweder interne Cyber-Quantifizierungsfähigkeiten entwickeln oder Partnerschaften mit Pure-Playern wie Citalid eingehen, um die Markteinführungszeit und die Glaubwürdigkeit zu beschleunigen.

Cyberrisiken werden nicht nur aus technologischer Sicht, sondern auch aus regulatorischer Sicht (z. B. operative Widerstandsfähigkeit, Datenschutz) immer relevanter. Wie integrieren Sie regulatorische Anforderungen in Ihre Lösungen und wie schaffen Sie Vertrauen zwischen Unternehmen und Versicherern?

Die Regulierung konvergiert zu einer einzigen Botschaft: Beweisen Sie, dass Sie Ihre eigenen Cyberrisiken und die Cyberrisiken Dritter sowohl aus strategischer als auch aus operativer Sicht verstehen.

Wir helfen unseren Kunden, die Anforderungen vieler Rahmenwerke zu erfüllen, darunter: DORA, NIS2, DSGVO, sektorspezifische Resilienzstandards.

Vertrauen entsteht durch Transparenz: Unsere Modelle sind nachvollziehbar, konsistent und basieren sowohl auf Cyber- als auch auf versicherungsmathematischen Methoden. Ausserdem unterziehen wir uns regelmässigen Audits durch Kunden und Partner.

Ihre Plattform empfiehlt nicht nur Risiken, sondern erstellt laut Ihrer Website auch einen «Investitionsfahrplan», d. h. Präventivmassnahmen. Wie wichtig ist Prävention im Vergleich zur reinen Schadens- oder Risikomodellierung, und wie messen Sie deren Wirkung?

Prävention ist von zentraler Bedeutung, insbesondere wenn man mit Entscheidungsträgern spricht, die finanzielle Auswirkungen viel besser verstehen als technische Kennzahlen.

Es reicht nicht aus, einem Unternehmen zu sagen: «Sie haben ein Cyberrisiko in Höhe von 20 Millionen Euro». Man muss ihnen sagen:

Welche Massnahmen dieses Risiko reduzieren, um wie viel und mit welchem finanziellen ROI.

Deshalb gehen unsere Investitions-Roadmaps über die Prävention hinaus. Sie enthalten Empfehlungen für das gesamte Spektrum der Cyberrisiken: Prävention und Identifizierung, Schutz, Erkennung, Reaktion, Widerstandsfähigkeit und Wiederherstellung sowie sogar die Optimierung des Versicherungsschutzes.

Jede Empfehlung in Citalid ist mit einer erwarteten Verlustreduktionskurve verknüpft. Mit anderen Worten: Kunden sehen die finanziellen Auswirkungen einer Risikominderung, bevor sie diese umsetzen. Das verändert die Budgetdiskussion grundlegend: Anstatt über Tools oder Compliance zu debattieren, verteilen Führungskräfte das Kapital auf der Grundlage von Auswirkungen, Effizienz und Rendite der Risikominderung.

Welche technologischen Trends sehen Sie heute, die in den nächsten zwei bis drei Jahren für Cyberversicherungen und Risikomanagement entscheidend sein werden? Stichworte könnten sein: KI-gesteuerte Automatisierung, Echtzeit-Bedrohungsinformationen, eingebettete Versicherungen usw.

Ich würde sagen, dass angesichts der aktuellen Lage vier Trends in den kommenden Jahren wahrscheinlich entscheidend sein werden:

1. KI-gesteuerte Automatisierung der Risikoprüfung und Risikobewertung

Von der Einreichungsprüfung über die Datenerfassung bis hin zur Szenariomodellierung wird KI die Arbeitsabläufe bei der Risikoprüfung beschleunigen und flexiblere Produkte, einschliesslich parametrischer Modelle, ermöglichen. Bei der Automatisierung geht es nicht darum, Menschen zu ersetzen, sondern darum, Experten zu entlasten, damit sie sich auf die Beurteilung, die Risikobereitschaft und die Kapitalallokation konzentrieren können.

2. Echtzeit-Risikoinformationen integriert in die Preisgestaltung

Cyber wird sich mehr und mehr zu einer «Live»-Versicherungssparte entwickeln: Preise und Konditionen werden in Echtzeit durch die sich ständig verändernde Bedrohungslage bestimmt und nicht durch statische Fragebögen. Dadurch werden Cyber-Versicherer noch mehr zu echten Partnern für die Risikominderung, da die Risikolage zu einer gemeinsamen, kontinuierlich aktualisierten Kennzahl wird.

3. Eingebettete Cyber-Versicherung in digitalen und Cyber-Ökosystemen

Sicherheitskontrollen und Versicherungen werden in die Tools integriert, die Unternehmen bereits nutzen, wie Cloud-Plattformen, Cyber-Lösungen, Zahlungsanbieter und IT-Dienstleistungen. Versicherungsschutz und Resilienz könnten zu einem festen Bestandteil der Technologieplattform werden und nicht mehr separat beschafft werden müssen.

4. Wahrscheinliche Abdeckung von Risiken, die durch die massive Einführung von GenAI in Unternehmen entstehen

Generative KI schafft neue Risikoszenarien: Modellvergiftung, Missbrauch, halluzinationsgesteuerte Entscheidungen, IP-/Datenlecks usw., die mit Cyberrisiken zusammenhängen und ähnliche Modellierungsherausforderungen mit sich bringen. Versicherer müssen KI-bedingte Vorfälle abdecken, lange bevor versicherungsmathematische Datensätze vorliegen. Die Akteure, die diese Risiken durch Expertenwissen, kontextbezogene Intelligenz und dynamische Modellierung quantifizieren können, werden einen entscheidenden Vorteil erlangen.

Kurz gesagt: Die Gewinner werden diejenigen sein, die Automatisierung mit fundierter Cyber-Intelligenz kombinieren und bereit sind, sich zu engagieren, indem sie die Produktökonomie an den tatsächlichen Risiken ausrichten, denen ihre Kunden ausgesetzt sind, wenn etwas schiefgeht.

Als junges Unternehmen in einem stark regulierten und risikosensiblen Bereich: Was waren die grössten Herausforderungen, die Sie bewältigen mussten, z. B. in den Bereichen Datenerfassung, Vertrieb, Skalierung oder gegenüber etablierten Marktteilnehmern?

Unternehmertum ist die Geschichte des Versuchs, Herausforderungen zu bewältigen. Manchmal mit mehr Erfolg als andere, aber immer mit Ausdauer. Ein paar Beispiele fallen mir ein (und diese Liste ist keineswegs vollständig):

  • Zunächst Vertrauensbildung bei CISOs, dann bei Versicherern: beides erfordert Zeit, Beweise und gründliche Sorgfalt.
  • Einstellungswandel in Märkten, die an versicherungsmathematische Modelle auf der Grundlage langer historischer Datensätze gewöhnt sind: Die Einführung neuer Methoden zur Modellierung neuer Risiken ist schwierig, insbesondere in einem weichen Markt.
  • Datenerfassung: Cyberdaten sind sensibel, multidimensional und schwer zu standardisieren. Unser Hintergrund in der Bedrohungsanalyse bei der französischen Cyberabwehrbehörde half uns dabei, die richtigen Methoden und Validierungspipelines zu entwickeln.
  • Lange Verkaufszyklen, insbesondere bei grossen Bank- und Versicherungsinstituten.
  • Internationale Expansion bei gleichzeitigem disziplinierten Umgang mit Kapital und Ressourcen.

Der Abschluss wichtiger Verträge und die Gewinnung strategischer Partner haben dazu beigetragen, die Entwicklung zu beschleunigen, aber erst, nachdem wir uns dies verdient hatten.

Arbeiten Sie hauptsächlich mit grossen Unternehmen, KMUs oder direkt mit Versicherern zusammen? Was ist Ihre ideale Kundengruppe und warum?

Wir sind in drei Segmenten tätig:

  • Direkt mit grossen Unternehmen, da deren Risikoexposition hoch und global ist und sie bereits den Wert der Quantifizierung von Cyberrisiken verstehen. Zu den Unternehmen, die ich öffentlich nennen darf, gehören weltweit führende Unternehmen in ihren jeweiligen Segmenten wie Alstom, Lagardère, Fresenius.
  • Versicherer, Rückversicherer und Broker, die unser Portfolio-Produkt nutzen, um das Underwriting, die Akkumulation und systemische Risiken zu steuern.
  • KMU indirekt über Partner, Versicherer und Broker, um die Herausforderungen in Bezug auf das Bewusstsein und den Vertrieb in diesem Segment zu bewältigen.

Auf der Unternehmensseite ist unser idealer Kunde einer, der Cyberrisiken mit umfassenderen finanziellen Entscheidungen in Einklang bringt: Versicherungskapazität, Kapitalallokation, Abhängigkeit von Lieferanten, operative Widerstandsfähigkeit. Wir können in der Regel sehr schnell erkennen, wer im Raum ist, ob nur der CISO oder auch der Risikomanager, Geschäftsinhaber und CFOs anwesend sind und wirklich bereit sind, das Risiko zu verstehen und proaktive Entscheidungen zu treffen.

Deshalb verwenden wir oft den Satz: «Wagen Sie es, zu wissen, seien Sie bereit zu handeln.» Denn sobald das Risiko auf dieser Ebene definiert ist, wird die Quantifizierung zu einer Notwendigkeit und nicht zu einem Luxus.

Welche Werte treiben Ihr Team bei Citalid an? Wie schaffen Sie eine innovations- und wachstumsorientierte Unternehmenskultur, insbesondere beim Eintritt in den internationalen Markt?

Einer unserer Mitarbeiter sagte einmal: «Citalid ist ein Unternehmen, in dem Werte nicht an die Wand geschrieben stehen, man spürt sie einfach jeden Tag.» Das ist mir im Gedächtnis geblieben. Wenn ich sie benennen müsste, würde ich sagen:

  • Vertrauen: Wir machen keine Kompromisse bei der Modellierungsqualität oder Transparenz. In einer Branche, die auf Unsicherheit basiert, verdient man sich Glaubwürdigkeit durch Sorgfalt.
  • Pragmatismus: Unsere Aufgabe ist es, komplexe Cybersignale in klare Entscheidungen zu übersetzen, die auf umsetzbaren Finanzkennzahlen basieren. Wir sind allergisch gegen Schlagworte.
  • Kollektive Intelligenz, mein ehemaliges Forschungsgebiet: Sie wird heute oft missbraucht, aber unter den richtigen Bedingungen und im richtigen Umfeld sind wir gemeinsam schlauer. Und damit meine ich nicht nur Mitarbeiter, sondern auch Kunden, Partner, Versicherer und Aufsichtsbehörden. Cyberrisiken sind systemisch; wir müssen sie gemeinsam angehen.

Ich glaube, dass diese Werte unsere Kultur auf natürliche Weise prägen, während wir international expandieren. Innovation ist bei Citalid keine Abteilung, sondern eine kollektive Disziplin, die auf Bescheidenheit, Neugier und einem starken Bewusstsein für messbare Auswirkungen basiert.

Wie sieht Ihre Vision für Citalid und die Cyberversicherungsbranche in fünf Jahren aus? Welche Rolle wird Ihr Unternehmen dabei spielen?

In fünf Jahren wird Cyber meiner Meinung nach genauso strukturiert sein wie Naturkatastrophen: mit standardisierten Risikokennzahlen, anerkannten Akkumulationsmodellen, branchenweit gemeinsamen Benchmarks und schliesslich Kapitalmarktinstrumenten. Cyber wird sich von einem ungewissen «technischen Thema» zu einer echten Risikoklasse entwickeln.

Unser Ziel ist es, dass Citalid die globale Referenzinfrastruktur für die Quantifizierung und das Management von Cyberrisiken für Versicherer, Banken und grosse Unternehmen wird. Die fehlende Ebene, die es dem Markt ermöglicht, Cyberrisiken mit der gleichen Klarheit wie jedes andere Finanzinstrument zu verfolgen, zu bewerten, zu übertragen und zu steuern.

Wenn diese Ebene existiert, sind die Auswirkungen nicht nur finanzieller Natur: Bessere Informationen und bessere Modelle führen zu besseren Entscheidungen, was letztendlich zu einer sichereren und widerstandsfähigeren digitalen Wirtschaft führt.

Maxime Cartan ist Mitbegründer und CEO von Citalid, einem Technologie-Scale-up, das als europäischer Marktführer im Bereich Cyber Risk Quantification (CRQ) anerkannt ist. Zuvor arbeitete er als Spezialist für Cyber-Bedrohungsinformationen bei ANSSI, der französischen nationalen Cybersicherheitsbehörde. Er ist Absolvent einer renommierten Ingenieurshochschule und einer renommierten Wirtschaftshochschule in Frankreich und verfügt über Zertifizierungen im Bereich Offensive Security (OSCP, CEH). Bevor er zu ANSSI kam, war Maxime Partner bei Hypermind, einem Startup-Unternehmen, das sich auf prädiktive geopolitische Analysen spezialisiert hat.

Die Fragen wurden von Binci Heeb gestellt. 

Lesen Sie auch den ersten Teil des Interviews: Cyberrisiken als Finanzanlage: Citalids Vision für die Zukunft der Versicherungsbranche

Tags: #Automatisierung #Bauchgefühl #Checklisten #Cyber-Versicherung #Cyberrisiken #Echtzeit-Risikoinformation #Eingebettet #GenAI #Notwendigkeit #Quantifizierung #Risikoanagement #Risikoexposition #Vertrauen #Widerstandsfähigkeit
«
»