Cyberrisiko versus Versicherungsschutz

Ein Artikel von Martin Braun, Gründer und Geschäftsführer, Rimian | 28.09.2022 - 12:00

Hackerangriffe, die die Produktion lahmlegen und für Schäden in Millionenbeträgen sorgen können, sind für Unternehmen, Branchenverbände und Experten inzwischen die am meisten gefürchtete Ursache für Betriebsunterbrechungen. Das ist sie also: die Kehrseite der Digitalisierung, in der mittlerweile die Geschäftsprozesse mehrheitlich elektronisch ablaufen. Adieu liebe analoge Welt – willkommen in der Cyber-Ära!

Rimian vb4 Grafik 1.jpg

© Allianz Global Corporate & Specialty/Rimian

Der Branchenprimus Allianz bestätigt diesen Trend in seinem alljährlich erscheinenden Risk Barometer. Aktuell stehen Cybervorfälle als globales Unternehmensrisiko mit Abstand an der Spitze.

Cyberpolicen – ein fortwährender Boom?

Mit der Einführung der ersten Cyberpolicen schien zunächst eine neue Sparte für die Versicherungsbranche aufzugehen, die das Zeug zum „Game Changer“ hat. Die Bedrohungslage spitzt sich zu – außerdem wird es nie hundertprozentige Sicherheit geben können. Das schreit nach Versicherungsmodellen unterschiedlichster Art. Der Münchner Rückversicherer Munich Re erwartet, dass dieser Markt von rund sieben Milliarden Dollar (2020) auf bis zu 20 Milliarden Dollar im Jahr 2025 wächst.

Die einzelnen Angebote der Assekuranzen können zum Teil deutlich voneinander abweichen. Im Grunde deckt eine IT-Security-Versicherung die unmittelbaren Kosten ab, die mit einem Hacker-Angriff verbunden sind. Der Versicherungsschutz umfasst im Prinzip vier Hauptrisiken: Haftung für Netzwerksicherheit und Datenschutz, Unterbrechung des Netzwerkbetriebs, Medienhaftung sowie Fehler und Auslassungen. Eine Haftung für Netzwerksicherheit und Datenschutz kann sowohl Eigen- als auch Fremdkosten betreffen.

Rimian vb4 Grafik 2.png

© Handelsblatt/Rimian

Eine Cyber-Versicherung ist also eine Win-Win-Situation für beide Seiten – dem Versicherungsunternehmer und dem Versicherten. Happy Days also? Mitnichten! Das Geschäftsmodell scheint an seinen eigenen Komplexitäten zu scheitern. Unternehmen müssen ihre Infrastruktur sauber aufsetzen und pflegen und die Versicherer werden oft aufgrund der rapiden Angriffszunahme zur Kasse gebeten. Spätestens mit dem Ukrainekrieg hat sich das einstig lukrative Geschäft zum unkalkulierbaren Risiko gewandelt – für die Konzerne und für ihre Kunden. Denn inzwischen übersteigen die Kosten oft die Prämieneinnahmen – Anbieter ziehen sich sogar wieder zurück. „Einige Versicherer hatten im Cyberbereich in den letzten Jahren Schadenquoten von über 100 Prozent“, meint Johannes Behrends vom Versicherungsmakler Marsh.

Nicht zuletzt müssen die Unternehmen trotz steigender Kosten froh sein, überhaupt noch versichert zu werden. Jens Krickhahn, Practice Leader Cyber & Fidelity beim Industrieversicherer AGCS kommentiert hierzu: „Wir bekommen mehr Anfragen denn je für unsere Policen – egal ob aus dem Mittelstand oder von Großkonzernen. Unsere Ablehnungsquote liegt derzeit aber bei 60 bis 70 Prozent. Klar ist für uns als AGCS: Unternehmen müssen das Schutzniveau ihrer IT-Sicherheit der geänderten Bedrohungslage anpassen. Man nennt das auch kontinuierliches Verbesserungsmanagement.“

Welche Lösungsansätze gibt es?

Enter_the_Arena.jpg

Bei Cyber-Versicherungen gilt es, Irrwege zu vermeiden. © Rimian

Ohne jedoch nur schwarz zu malen, gibt es auch durchaus positive Tendenzen zu vermelden. Cybersicherheit gewinnt an Bedeutung und das ist mittlerweile auch in den Entscheiderköpfen angekommen. Unternehmen sind bereit, mehr in ihre IT-Sicherheit zu investieren. Versicherungsmakler müssen ihre Kunden bei dem Entwicklungsprozess an die Hand nehmen, Maßnahmen zur IT-Sicherheit empfehlen und ihre Umsetzung begleiten. Es braucht einen offenen Dialog, damit Unternehmen bezahlbaren Versicherungsschutz erhalten.

Folgende Punkte müssen gelöst werden:

  • Risiken richtig einschätzen! Das Risiko der Angriffe ist unkalkulierbar geworden bis zu einem Punkt, an dem die Kosten oft die Prämieneinnahmen übersteigen.
  • Leistungsumfang klar definieren! Es ist unklar, wieviel von konventionellen Sach- oder Haftpflichtpolicen bereits abgedeckt wird und was eine Cyberpolice umfassen muss.
  • Prüfungsverfahren erleichtern! Unternehmen müssen umfangreiche Fragebögen ausfüllen. Dabei bleibt im Schadensfall leider auch ein gewisser Argumentationsrahmen.
  • Regelmäßige Überprüfung! Eine einmalige Auskunft über den Ist-Zustand der IT-Landschaft kann nicht ausreichend sein. Es muss eine regelmäßige Prüfung der Systempflege erfolgen (z. B. Patch-Management).

Genau hier scheiden sich aber die Geister. Bis dato gab es kaum Lösungen, die diese Aspekte ganzheitlich und automatisiert erledigen können. All das sind Gründe, warum sich viele Anbieter aus dem Bereich zurückgezogen haben – obwohl der Bedarf auch weiterhin besteht.

Es gibt aber mittlerweile auch SaaS-Lösungen, die das beschriebene Dilemma angehen. Derartige Software ermöglicht es den Versicherern, Cyber-Policen sorgenfrei abzuschließen, einfach zu überprüfen und sogar mittels eines Reportings belegbar zu machen. Und das ohne Personalaufwand, was in Zeiten von Fachkräftemangel ein wichtiges Argument ist. Solche Produkte können sowohl die Voraussetzungen für den Abschluss einer Cyber-Versicherung erleichtern als auch beide Vertragspartner schützen: den Versicherten vor einem entsprechenden Schadensfall und den Versicherer vor Zahlungen für einen eintretenden Schaden. Das sorgt auch für eine gefestigte Geschäftsbeziehung, die auf Vertrauen und Zuverlässigkeit beruht.

Wichtige Funktionen, die derartige Lösungen liefern müssen, beinhalten unter anderem:

  • Einen 24/7 Überblick über sämtliche Cyberrisiken im Unternehmen
  • Die Möglichkeit der Identifikation sämtlicher Sicherheitslücken in Endpunkten, Netzwerken und IoT-Geräten
  • Quantifizierung der Risiken unter dem Blickwinkel der tatsächlichen Auswirkungen auf das Geschäft
  • Das revisionssichere Abbilden aller Vorgänge
  • Die Option Regularien branchenspezifisch zu adaptieren
  • Risikosituation können in der gewünschten Informationsdichte transparent gemacht werden: notwendige Audit- und Zertifizierungsinformationen auf Knopfdruck
  • Überwachung der regelmäßigen und erforderlichen System-Updates
  • Compliance-Überwachung: Branchenspezifische Regularien werden eingebettet

Cyber-Versicherungen in Verbindung mit Risikotools machen Sinn!

In der heutigen Zeit kommen Sie nicht mehr darum herum, Ihre IT-Sicherheit zum Schutz vor Cyberrisiken selbst in die Hand zu nehmen. Dennoch ist die Cyber-Versicherung eine sinnvolle Ergänzung des Unternehmens-Portfolios, um sich gegen horrende Schäden abzusichern. Risikotransparenz ist für das Risikomanagement von Unternehmen und Organisationen unerlässlich. Mit der zunehmenden Nutzung von neuen Technologien und weiter steigenden digitalen Abhängigkeiten sind die heutigen Bedrohungsszenarien längst nicht erschöpft. Wesentlich für die Nachhaltigkeit des Marktes ist die Definition der Versicherbarkeit, insbesondere im Hinblick auf systemische Risiken und inwieweit diese versichert werden können.

Autor: Martin Braun

Martin Braun CEO RIMIAN_Head.jpg

© Tobias Hertle

Martin Braun ist Gründer und Geschäftsführer von Rimian, ein Unternehmen, das Software-Lösungen entwickelt, die Cyberrisiken in Bezug auf die Geschäftsprozesse managen. Braun schöpft sein Know-how als langjähriger IT-Security-Berater – insbesondere von KRITIS-Kunden. Als Head of Information Operations verantwortete Martin Braun viele Jahre die IT-Infrastruktur und die Informationssicherheit eines weltweit tätigen mittelständischen Unternehmens, bevor er sich 2011 als Berater selbstständig machte. Martin Braun ist zertifizierter ISO 27001 Lead Auditor, externer Datenschutzbeauftragter und Diplom Betriebswirt.