Bereits im November 2022 scannten russische Computer heimlich amerikanische Computer, als sie in eine Falle tappten: ein Netzwerk aus 400 virtuellen Servern mit IP-Adressen, die scheinbar echten Unternehmen und Organisationen gehörten. Allerdings handelte es sich hierbei um Lockvögel, die von Coalition (einem in San Francisco ansässigen Fintech-Unternehmen, das eine der ­ältesten Branchen der Welt – das Versicherungswesen – mit modernsten Techniken zur Erkennung von Cyberbedrohungen kombiniert) ins Leben gerufen worden waren. „Es gibt keinen ­legitimen Grund, warum jemand versuchen sollte, eine Verbindung zu einem dieser Server herzustellen“, sagt Joshua Motta, CEO und Mitbegründer von Coalition, ein 40-jähriger ehemaliger CIA-Analyst. Coalition stellte fest, dass die Eindringlinge nach Moveit suchten, einem Programm zur Übertragung grosser Dateien, die ­häufig vertrauliche Informationen enthalten. Das Unternehmen schickte eine E-Mail an vier seiner Cyber­versicherungskunden, Moveit hinter einem virtuellen privaten Netzwerk zu installieren. Sechs Monate später gab Progress Software, das Unternehmen aus Massachusetts, das Moveit vertreibt, bekannt, dass es eine kritische Sicherheitslücke gebe, und veröffentlichte einen Patch.

Seit 2017 erfinden Coalition und ihr stärkster Konkurrent At-Bay, ebenfalls mit Sitz in San Francisco, die Art und Weise, wie Cyber­versicherungen abgeschlossen und verwaltet werden, insbesondere für kleine Unternehmen und mittelständische Kunden, neu. Die alten Versicherer schienen hoffnungslos den Kontakt zu ihnen verloren zu haben. Die Neulinge hingegen scannten die Systeme potenzieller Kunden, wie es ein Hacker tut. Manchmal benötigten die Kunden dann bestimmte Sicherheitsupgrades, bevor sie einer Versicherung zustimmten; manchmal lehnten sie sie einfach ab. „Wir überlassen diese Unternehmen AIG oder Chubb“, sagt Rotem Iram, CEO und Mitbegründer von At-Bay, ein 43-jähriger Veteran einer der ­militärischen Elite-Cyber-Geheimdiensteinheiten Israels.

Selbst nachdem Coalition oder At-Bay einen Kunden angenommen haben, scannen sie ihn weiter und senden Warnungen, um sowohl ihr ­eigenes Risiko als auch das der Kunden zu kontrollieren. Tatsächlich erhalten kleine Unternehmen, die traditionell nicht für eigenständige Cyber­sicherheitsdienste bezahlt haben, aber bereit sind, für eine Versicherung Geld auszugeben, beides – ob sie wollen oder nicht. „Den Leuten ist Sicherheit egal“, klagt Iram. Wenn ein Kunde darauf bestehe, Software zu installieren, die bekanntermassen anfällig für Sicherheitsverletzungen sei, werde At-Bay damit drohen, seine Ver­sicherungsprämien zu verdoppeln.

Diese Kombination aus Screening, Wachsamkeit und Aufregung hat es den beiden Fintechs ermöglicht, niedrigere Prämien zu verlangen, die Gunst der Versicherungsmakler zu gewinnen und auf dem Markt Fuss zu fassen. Es hat natürlich ­geholfen, dass Cyberangriffe eine neue Nische waren, als sie auf den Markt kamen und die Nachfrage nach Cyberversicherungen explodierte. Nach Angaben des in San Francisco ansässigen Analyse­unternehmens Cybercube stiegen die gesamten Prämien für Cyberversicherungen in den USA von weniger als einer Mrd. US-$ im Jahr 2012 auf geschätzte elf Mrd. US-$ im Jahr 2023.

Die Vertragsbedingungen umfassen in der Regel Abhilfemassnahmen, Ermittlungen, entgangene Geschäfte und Rechtskosten im Zusammenhang mit allem von Ransomware-Angriffen und Kompromittierungsplänen für geschäftliche E-Mails (bei denen Kriminelle jemanden dazu verleiten, eine gefälschte Rechnung zu bezahlen) bis hin zu Datenschutzverletzungen. Trotz niedrigerer Preise schrieb Coalition im vergangenen Jahr mehr als 630 Mio. US-$ an Bruttoprämien für Cyberversicherungskunden, ein Plus von 15 % im Vergleich zu 2022, während At-Bay 301 Mio. US-$ schrieb, ein Plus von 20 %. Das sind wie gesagt Brutto­prämien: Coalition behält nur 10 % des Risikos und At-Bay behält 20 %. Der Rest des Risikos und ein grosser Teil der Prämien werden an grosse Träger und Rückversicherer wie Swiss Re und Munich Re weitergegeben.

Der Nettoumsatz betrug im vergangenen Jahr fast 300 Mio. US-$ bei Coalition und mehr als 110 Mio. US-$ bei At-Bay. Auch wenn noch keines der beiden Start-ups profitabel ist, sticht ihr Wachstum im angeschlagenen Fintech-Sektor heraus. Coalition hat zuletzt im Jahr 2022 Mittel im Wert von fünf Mrd. US-$ eingesammelt, sodass Mottas Eigentumsanteil von mehr als 20 % geschätzt knapp eine Mio. US-$ wert ist.

Weder Coalition noch At-Bay haben ­bisher einen katastrophalen Verlust erlitten. ­Darüber ­hinaus gibt es dennoch Gefahrenpunkte, auf die andere Fintech-Innovatoren, darunter auch Robo-Finanzberater, gestossen sind: Grosse, etablierte Unternehmen könnten ihre Ideen nachahmen und sie mit ihrer Grösse überholen. David Lewison vom Versicherungsmakler Amwins, der jährlich 500 Mio. US-$ an Prämien für Cyber­versicherungen für kleine und mittlere Märkte schreibt, stellt fest, dass Chubb und einige andere etablierte Versicherer Netzwerk­scans inzwischen zu einem Standardbestandteil ihrer Risikobewertungen gemacht haben. Aber seiner Erfahrung nach seien ­Coalition, At-Bay und Corvus die ersten und aggressivsten Akteure gewesen, die aktiv nach Schwachstellen suchten und ihre Kunden auf Probleme aufmerksam machten, sagt er.

Bei Corvus handelt es sich um ein drittes Cyberversicherungs-Fintech, das 2017 gegründet wurde. Travelers erwarb es Anfang 2024 für 435 Mio. US-$; ein deutlicher Abschlag gegenüber den 750 Mio. US-$, mit denen Corvus bei ­einer Spendensammlung im Jahr 2021 bewertet wurde.

Selbst wenn er am Konferenztisch in der Zen­trale von At-Bay in San Francisco sitzt, ­überragt der 1,90 Meter grosse Iram seine Mitarbeiter. An diesem Januarmorgen informieren sie ihn über die Auswirkungen von „Citrix Bleed“, einer Schwachstelle im Zusammenhang mit der Fernzugriffstechnologie von Citrix, die Citrix am 10. Oktober 2023 offengelegt und für die das Unternehmen einen Patch herausgegeben hat. Die Ingenieure von At-Bay, die alle in Tel Aviv ansässig sind, machten sich daran, einen Code zu entwickeln, um herauszufinden, welche Kunden am wahrscheinlichsten Opfer werden könnten. Sie waren innerhalb von zwei Tagen fertig, identifizierten 345 Kunden (von 35.000), die das Produkt verwendeten, kontaktierten die 70 Kunden mit dem höchsten Risiko einzeln und forderten gleichzeitig alle 345 auf, den Citrix-Patch anzuwenden. Innerhalb von sechs Wochen hatten 334 dies getan. Iram folgert: „In unserer Welt ist alles schlecht, aber das Risiko ist mittel bis gering.“

Der CEO trat mit 18 Jahren seinen Wehrdienst an und wurde der Einheit 8200 des israelischen Geheimdiensts zugeteilt, die dafür bekannt ist, Cybersicherheitsstars wie den milliardenschweren Unternehmer Gil Shwed, den CEO und Mitbegründer von Check Point Software, und Assaf Rappaport, den CEO und Mitbegründer von Wiz, einem Cloud-Sicherheitsunternehmen, hervorgebracht zu haben. Iram blieb fünf Jahre in der Einheit und wurde schliesslich ein Offizier, dem 300 Leute unterstellt waren. Dann ging er an die Hebräische Universität Jerusalem, wo er einen Abschluss in Computertechnik machte. Es folgten Jobs im Software-Engineering und als McKinsey-Berater, ein Harvard-MBA und die Leitung der Cybersicherheitspraxis des in New York ansässigen globalen Risikoberatungsunternehmens K2 Intelligence (jetzt K2 Integrity).

2016 verliess Iram K2 und begann mit drei Mitgründern und etwas Unterstützung von HSB, einer technologieorientierten Einheit von Munich Re, an seinem Start-up zu arbeiten. At-Bay wurde 2017 offiziell mit einer Startfinanzierung unter anderem von Lightspeed Venture Partners gegründet – und als ein Anstieg der Ransomware-Angriffe im Jahr 2020 viele etablierte Netzbetreiber dazu veranlasste, ihre Deckungsgrenzen zu senken und die Preise zu erhöhen, gab At-Bay Vollgas. „Alle anderen sind weggelaufen“, sagt Iram. Die Bruttoprämien haben sich von 20 Mio. US-$ im Jahr 2020 auf 120 Mio. US-$ im Jahr 2021 versechsfacht.

Bisher hat At-Bays „Tech First“-Ansatz dabei geholfen, Verluste einzudämmen. Die erlittene Schadensquote für 2022 (das letzte Jahr mit aussagekräftigen Daten, da es Monate dauert, bis Schadensfälle realisiert werden) betrug 29 %, verglichen mit einem Durchschnitt von 45 % für die 20 grössten Cyberversicherer mit Sitz in den USA. Heutzutage konzentriert sich At-Bay zunehmend auf die Entwicklung von Sicherheitssoftware, die mit seiner Versicherung kombiniert werden kann. Bisher hat At-Bay 292 Mio. US-$ an Investoren­geldern eingesammelt und erreichte bei seiner letzten Mittelbeschaffung Mitte 2021 eine Bewertung von 1,4 Mrd. US-$.

„Herzlichen Glückwunsch – wenn Sie einen Computer und eine Internetverbindung verwenden, besteht ein Cyberrisiko!“, sagt wiederum Coalitions Motta, zu dessen Kunden Arztpraxen, NFL-Teams, Saucenhersteller und Krypto-Start-ups gehören. Er sitzt in seinem Heimbüro im Nobelviertel Pacific Palisades in L. A. mit Blick auf das Meer. 2016 gründete er gemeinsam mit Max Kelly, dem ehemaligen Chief Security Officer von Facebook, und John Hering, dem Gründer des Sicherheitsunternehmens Lookout, Redacted. Doch während Kelly Sicherheitstechnologie für grosse Unternehmen entwickeln wollte, konzentrierte sich Motta auf Versicherungen. Also haben Hering und Motta Coalition in ein eigenes Unternehmen ausgegliedert. Investoren wie Vy Ventures, Ribbit Capital und Valor unterstützten sie mit einer Finanzierung in Höhe von zehn Mio. US-$. Coalition gab seine Gründung am 5. Dezember 2017 bekannt, drei Wochen nach dem Start von At-Bay.

Vom ersten Tag an positionierte Motta Coalition so, dass es schneller wachsen konnte als At-Bay. Beide Unternehmen verfügten über gross­artige Technologie, niedrige Preise und ein schnelles Underwriting. Motta fügte eine entscheidende menschliche Komponente hinzu: Er stellte Veteranen der Versicherungsbranche ein, die bereits Beziehungen zu den unabhängigen Maklern hatten, die die meisten Unternehmensversicherungen verkaufen. Dadurch konnte das Unternehmen schneller vom Nachfrageschub im Jahr 2020 profitieren.

Motta war auch aggressiver bei der Nutzung der Risikokapitalfinanzierung, die während der Pandemie in die Fintech-Branche floss – bis Mitte 2022 hatte Coalition 770 Mio. US-$ eingesammelt. Doch dieser grosse Pot ermöglichte auch einen grossen Fehler: Coalition zahlte im Jahr 2021 200 Mio. US-$ für die Übernahme von Attune, einem New Yorker Versicherer und digitalen Marktplatz, der 15.000 Makler bedient, die Polizzen für Kleinunternehmen aller Art verkaufen, von Berufshaftpflicht bis hin zu Überschwemmungs­versicherungen. Der Versicherungs­bestand von Attune verzeichnete bereits Verluste, und nachdem Hurrikan „Ian“ im September 2022 Florida heimgesucht hatte, verschlechterten sich seine Finanzen stark. Nach nur 15 Monaten verkaufte Motta Attune wieder.

Es gibt aber eine grössere systemische Herausforderung, vor der sowohl Coalition als auch At-Bay stehen: Trotz des rasanten Wachstums der Cyberversicherungen in den letzten Jahren stellen einige Brancheninsider ihre Nachhaltigkeit ­infrage. Sie befürchten, dass sich Hackerangriffe zu schnell ändern, um das Risiko zuverlässig einschätzen zu können. Wenn Old-Line-Versicherer ein schreckliches Cyber-Jahr erleben, können andere Bereiche ihres Geschäfts als Puffer dienen – diesen Luxus haben Coalition und At-Bay nicht.

Bei seinem letzten Start-up forderte ein Investor Joshua Motta, CEO von Coalition, auf, 100.000 US-$ von seinem Bankkonto zu stehlen. Er dachte wie ein Hacker – und schaffte es in drei Tagen.

Text: Jeff Kauflin
Fotos: Cody Pickens für Forbes