Monat: März 2023

Für Jahrzehnte oder gar Jahrhunderte alte Versicherungszweige wie Sach- , Leben- oder Berufshaftpflichtversicherungen gibt es auf dem Versicherungs-Markt schon immer Zielbeträge und Deckung.

Cyber-Risiken sind neu, ständig anders ( leider!) und darum schwer zu verstehen und noch schwerer abzusichern: Sie sind vor allem durch ein sich ständig veränderndes Bedrohungsumfeld gekennzeichnet. Die Cyberangriffe von morgen sehen möglicherweise anders aus, als die von heute: Während heute Ransomware, staatlich organisiertes Hacking und ein starker Trend zu „automatisiertem“ und KI basierten Cyber-Attacken festzustellen ist, wird morgen mit (un-)Sicherheit ein anderer Trend vorherrschen.

Für Cyber-Versicherungen ist ein Schutz in Höhe von X bezüglich Risiko und Unternehmensgröße nur schwer möglich. Die Unternehmen selbst sind darum dabei, Selbstversicherungsmechanismen aufzustocken, die von Rückstellungen von Kapital für künftige Cyberangriffe bis zur Schaffung spezifischer Risikofinanzierungsaktivitäten reichen zB. durch Captive-Versicherer. Im Laufe der Zeit sollten diese Selbstversicherungen aber vollständig durch den Schutz durch eine externen Insurer ersetzt werden können.

Damit Versicherer auf jede aktuelle und zukünftige Bedrohung reagieren können, müssen sie sich aber auch daran gewöhnen, dem Sektor mehr Kapital zuzuweisen: Nur so können Sie Cyberangriffe und deren Versicherbarkeit, wie Ihre traditionellen, ausgereiften Geschäftsbereiche behandeln. Bis dahin müssen Unternehmen jeweils selbst, mit Hilfe geeigneter Lösungen in den Schutz investieren und bestenfalls eng mit ihren Versicherern zusammenarbeiten, um die -gemeinsam- erzielte Sicherheit zu erhöhen.

Die spezifischen Anforderungen für den Abschluss einer Cybersicherheits-Police können je nach Versicherer und Art der angebotenen Police variieren. Hier einige allgemeine Anforderungen, die Versicherer bei der Bewertung eines potenziellen Versicherungsnehmers berücksichtigt oder berücksichtigen sollte: 

Bereits vorhandene Sicherheitskontrollen: Die Versicherer werden in der Regel die vorhandenen Cybersicherheitsmaßnahmen, das sind bisher oft eher die klassische Methoden wie etwa Firewalls, Antivirensoftware oder andere oft antiquierte Sicherheitstools, prüfen. Unternehmen, die hier über eine stabile Sicherheitsmaßnahmen verfügen, werden im ersten Schritt als risikoärmer eingestuft und erhalten dadurch möglicherweise günstigere Tarife.

Risikobewertung: Versicherer sollten eine Risikobewertung der Systeme und Daten des Unternehmens vornehmen, um daraus die potenzielle Gefährdung durch Cyber-Risiken zu beurteilen. Anhand der Ergebnisse dieser Bewertung kann dann eine maßgeschneiderte Versicherungspolice entwickelt werden, die den spezifischen Anforderungen des Unternehmens entspricht.

Incident Response Plan: Ein Plan für die adäquate Reaktion auf Vorfälle ist ein wichtiger Bestandteil jeder Cybersicherheitsstrategie. Die Versicherer sollten von den Versicherungsnehmern einen detaillierten Reaktionsplan verlangen, in dem die im Falle eines Cyberangriffs zu ergreifenden Maßnahmen beschrieben werden.

Schulung und Ausbildung: Insurer sollten sehen und prüfen, dass die Mitarbeiter regelmäßig in der Cybersicherheit geschult werden, da dies dazu beitragen kann, das Risiko menschlicher Fehler, die zu einem Cybervorfall führen, zu verringern.

Einhaltung von Vorschriften: Unternehmen sollten nachweisen, dass sie die einschlägigen Vorschriften und Standards einhalten, z. B. die DSGVO oder industriespezifische Standards wie den Payment Card Industry Data Security Standard (PCI DSS).

Frühere Vorfälle: Die Versicherer sollten auch frühere Vorfälle auswerten, um die Art und Schwere früherer Cyberangriffe oder Datenschutzverletzungen zu verstehen und darauf Verbesserungen für die Zukunft abzuleiten.

Insgesamt wollen die Versicherer das mit einem Versicherungsnehmer verbundene potenzielle Risiko bewerten, bevor sie Cyber Versicherungsschutz anbieten, und sie werden bei ihrer Entscheidung eine Reihe von Faktoren berücksichtigen müssen um auf dem Police ein, für beide Seiten interressantes Konstrukt zu unterzeichnen.

Gegen Vorurteile ist kein Kraut gewachsen. So ist es auch bei der Cybersicherheit. Diese sei für das Unternehmen zu teuer: Viele Manager in Firmen sind der Meinung, dass die Umsetzung solider Cybersicherheitsmaßnahmen zu teuer ist und ignorieren das Thema daher ganz. Die Begründung mit einer aktuellen (Energie, Pandemie, Finanz, Krieg) Krise sind dann schnell zu Stelle. Nur können die Kosten eines Cyberangriffs jedoch viel höher sein, als die Kosten für die Implementierung von Cybersicherheitsmaßnahmen es je werden.

Und dann wäre da noch, dass Cybersicherheit schlichtweg zu kompliziert ist: Manche Menschen, Manager und Unternehmer denken, dass Cybersicherheit zu kompliziert ist, um sie zu verstehen und umzusetzen. Es gibt jedoch zahlreiche Instanzen, online, offline, von Anbietern, Behörden oder Versicherern, die Einzelpersonen und Unternehmen dabei helfen können, ihre Cybersicherheitslage zu verbessern.

Vrurteil Nummer 3: Cybersicherheit ist nur für große Unternehmen notwendig: Viele kleine Unternehmen und Einzelpersonen sind der Meinung, dass Cyberkriminelle nur großen Unternehmen angreifen und daher die Cybersicherheit nicht ernst nehmen. Das ist laut Statistik und aus den Erfahrungen der letzten Jahre falsch: Auch kleine Unternehmen und Privatpersonen sind dem Risiko von Cyberangriffen ausgesetzt, auch hier kann der Schaden, ind er Relation zur Unternehmensgröße verherend sein.

Die Cybersicherheit liegt in der alleinigen Verantwortung der IT-Abteilungen: Viele Menschen glauben, dass die Cybersicherheit in der alleinigen Verantwortung der IT-Abteilungen liegt, und sind sich nicht bewusst, dass jeder in einem Unternehmen eine Rolle beim Schutz digitaler Werte zu spielen hat.

Cybersecurity ist für meine Branche nicht wichtig: Einige Branchen denken, sie hätten Daten, die wenig sensitve sind und halten andere, wie das Gesundheits-  oder das Finanzwesen für stärker reguliert und mit mehr Anforderungen an die Cybersicherheit. Das mag wohl sein, Jedoch haben alle Branchen Daten, die sie gerne für sich behalten würden und Systeme die weiterlaufen sollen .Also sind auch sie dem Risiko von Cyberangriffen ausgesetzt und sollten die Cybersicherheit ernst nehmen.

Zusammenfassend ist es für die Verantwortlichen wichtig, diese Vorurteile, etwa im eigenen Management zu erkennen und zu beseitigen, um sicherzustellen, dass die notwendigen Schritte unternommen werden können, um sensible Daten und digitale Assets vor Cyberbedrohungen zu schützen.

Warum eine Kombination aus richtiger Cyber-Versicherung und Least Privilege Datensicherheits-Strategie das Mittel der Wahl ist.

Was eine Cybersicherheitsversicherung an Cyber-Bedrohungen abdecken kann: Versicherungsschutz für Ransomware-Zahlungen und andere Arten von Cyber-Erpressung, falls Malware den Usern den Zugang zu ihren Systemen zu verweigern und die Erpresser drohen, sensible Informationen öffentlich zu machen, Nach einer Zahlung der geforderten Summe entfernen die Hacker die Schadsoftware, aber leider nicht immer….

Viele Cybersecurity-Policen decken zudem eine Kompromittierung von Geschäfts-E-Mails (BEC) und andere Social-Engineering-Angriffen ab. Beim BEC-Betrug bringt ein Hacker zum Beispiel einen Mitarbeiter dazu, Überweisungen auf das Bankkonto des Hackers vorzunehmen, indem sie das kompromittierte oder gefälschte E-Mail-Konto eines Mitarbeiters benutzen.

Verluste aus der normalen Geschäftstätigkeit und durch die Angriffe bedingte Kosten: Der Verlust von Geschäftseinkünften aufgrund eines Cyberangriffs, etwa Verluste durch einen Angriff auf einen Dritten, z. B. einen Lieferanten oder Partner, den Abbruch der Lieferkette, stehende Bänder etc. und zusätzliche Kosten wie etwa für die Forensik können durch Cybersecurity-Versicherungspolicen abgedeckt werden.

Identitätsdiebstahl kann auch Unternehmen treffen, daher kann Versicherungsschutz auch Verluste auffangen, die durch betrügerische Nutzung der digitalen Identität des Unternehmens entstehen und etwa in Form von betrügerisch zustande gekommenen Krediten oder unrechtmäßig unterzeichneten Verträgen erfolgen.

Außerdem kann für leitende Angestellte eine Deckung versichert werden um sie zu schützen, wenn sie in Verbindung mit einem gedeckten Cyber-Ereignis haftbar sind..

Unternehmen sind auf das Vertrauen ihrer Kunden angewiesen und wenn sie Opfer eines Cyberangriffs werden, kann dies für einige Zeit zu erheblichen Geschäftseinbußen führen. Die Deckung für Rufschädigung soll den Versicherten für Einkommensverluste, die durch Rufschädigung nach einem Cybersecurity-Ereignis entstehen entschädigen.

Für Versicherer ist ein unvorhergesehenes Ereignis, ein zufälliges Ereignis oder ein Ereignis mit ungewissem Ausgang. Im Zusammenhang mit Versicherungen ergänzt eine Eventualversicherung eine Hauptpolice oder deckt entfernte Risiken ab, die die Hauptpolice nur langsam abdecken würde.

Cyberbedrohungen sind in Bezug auf ihre Hartnäckigkeit und ihren Schweregrad gefährlicher denn je. Und auch Ihr Ausmaß nimmt ständig weiter zu: Die Zahl der Sicherheitsverletzungen etwa stieg von 2020 bis 2021 um 15,1 %, die Kosten pro Sicherheitsverletzung nahmen im gleichen Zeitraum um 24,5 % zu.

Cybersicherheit hat für Organisationen aller Art oberste Priorität. Von Unternehmen über Regierungsbehörden bis hin zu gemeinnützigen Organisationen müssen Führungskräfte eine wachsende Zahl von Cyber-Bedrohungen, Risiken und Schwachstellen berücksichtigen. Die Kosten für die Bewältigung eines Cybervorfalls können schwindelerregend sein, und daher muss heute jede Entscheidung an ihren Auswirkungen auf das Cyber-Risikoprofil der Organisation gemessen werden.

Unterschiedlich ist nun die Reaktion auf dieses Bedrohungs-Szenario: Manchen Unternehmen reagieren auf die wachsenden Cyber-Bedrohungen, indem sie sich Cyber-Sicherheitskontrollen und -systeme zulegen, andere Unternehmen gehen mit der Cyber-Unsicherheit wie mit jedem anderen Risiko um: Sie versuchen das Cyber-Risiko zu mindern, mit dem Abschluss einer Cyber Versicherung zu mindern.

Cyber-Sicherheit macht auch 2023 keine Pause: Eine Ransomware-Branche, die alle Wachstumsrekorde bricht, die Rolle des CISOs, der für die Resilienz moderner Unternehmen immer wichtiger wird, aber leider auch Stolz ( getreu dem Motto: „uns ist noch nie was passiert!“) und Einfallslosigkeit und ein Fachkräftemangel, besonders in Deutschland, der wirksame Antworten oft missen lässt.

Ähnlich wie in den Vorjahren führen Ransomware-Angriffe, Datenschutzverletzungen und betrügerische Aktivitäten wie Email Compromise (BEC) auch 2022 die Liste der Cyberkriminalität an. Der globale gesamtwirtschaftliche Schaden der Cyberkriminalität ist enorm, aber für Versicherer, Cyber-Security Hersteller und Cybersecurity Ventures schätzt, dass die globalen wirtschaftlichen Kosten von Cyberkriminalität in den nächsten fünf Jahren um 15% pro Jahr steigen werden und bis 2025 10,5 Billionen US-Dollar erreichen. Kein Wunder, denn die Welt der Cyberkriminalität entwickelt sich rasant, beispielsweise durch organisierte Zusammenarbeit oder den Einsatz von Automatisierung und künstlicher Intelligenz, um Synergien zu schaffen, um Schwachstellen möglichst schnell und gewinnbringend auszunutzen: Hinzu kommen neue Trends wie etwa ChatGPT, welche schneller Einzug in Unternehmen und Privathaushalte genommen haben, als ihre jeweiligen Sicherheitseinrichtungen zum Schutz vor kollateralen Cyber-Threats.
Abgesehen von cyberkriminellen Aktivitäten waren auch Nationalstaaten noch nie so aktiv im (kriegerischen) Cyberspace unterwegs wie heute.