Autor: KN

Die spezifischen Anforderungen für den Abschluss einer Cybersicherheits-Police können je nach Versicherer und Art der angebotenen Police variieren. Hier einige allgemeine Anforderungen, die Versicherer bei der Bewertung eines potenziellen Versicherungsnehmers berücksichtigt oder berücksichtigen sollte: 

Bereits vorhandene Sicherheitskontrollen: Die Versicherer werden in der Regel die vorhandenen Cybersicherheitsmaßnahmen, das sind bisher oft eher die klassische Methoden wie etwa Firewalls, Antivirensoftware oder andere oft antiquierte Sicherheitstools, prüfen. Unternehmen, die hier über eine stabile Sicherheitsmaßnahmen verfügen, werden im ersten Schritt als risikoärmer eingestuft und erhalten dadurch möglicherweise günstigere Tarife.

Risikobewertung: Versicherer sollten eine Risikobewertung der Systeme und Daten des Unternehmens vornehmen, um daraus die potenzielle Gefährdung durch Cyber-Risiken zu beurteilen. Anhand der Ergebnisse dieser Bewertung kann dann eine maßgeschneiderte Versicherungspolice entwickelt werden, die den spezifischen Anforderungen des Unternehmens entspricht.

Incident Response Plan: Ein Plan für die adäquate Reaktion auf Vorfälle ist ein wichtiger Bestandteil jeder Cybersicherheitsstrategie. Die Versicherer sollten von den Versicherungsnehmern einen detaillierten Reaktionsplan verlangen, in dem die im Falle eines Cyberangriffs zu ergreifenden Maßnahmen beschrieben werden.

Schulung und Ausbildung: Insurer sollten sehen und prüfen, dass die Mitarbeiter regelmäßig in der Cybersicherheit geschult werden, da dies dazu beitragen kann, das Risiko menschlicher Fehler, die zu einem Cybervorfall führen, zu verringern.

Einhaltung von Vorschriften: Unternehmen sollten nachweisen, dass sie die einschlägigen Vorschriften und Standards einhalten, z. B. die DSGVO oder industriespezifische Standards wie den Payment Card Industry Data Security Standard (PCI DSS).

Frühere Vorfälle: Die Versicherer sollten auch frühere Vorfälle auswerten, um die Art und Schwere früherer Cyberangriffe oder Datenschutzverletzungen zu verstehen und darauf Verbesserungen für die Zukunft abzuleiten.

Insgesamt wollen die Versicherer das mit einem Versicherungsnehmer verbundene potenzielle Risiko bewerten, bevor sie Cyber Versicherungsschutz anbieten, und sie werden bei ihrer Entscheidung eine Reihe von Faktoren berücksichtigen müssen um auf dem Police ein, für beide Seiten interressantes Konstrukt zu unterzeichnen.

Gegen Vorurteile ist kein Kraut gewachsen. So ist es auch bei der Cybersicherheit. Diese sei für das Unternehmen zu teuer: Viele Manager in Firmen sind der Meinung, dass die Umsetzung solider Cybersicherheitsmaßnahmen zu teuer ist und ignorieren das Thema daher ganz. Die Begründung mit einer aktuellen (Energie, Pandemie, Finanz, Krieg) Krise sind dann schnell zu Stelle. Nur können die Kosten eines Cyberangriffs jedoch viel höher sein, als die Kosten für die Implementierung von Cybersicherheitsmaßnahmen es je werden.

Und dann wäre da noch, dass Cybersicherheit schlichtweg zu kompliziert ist: Manche Menschen, Manager und Unternehmer denken, dass Cybersicherheit zu kompliziert ist, um sie zu verstehen und umzusetzen. Es gibt jedoch zahlreiche Instanzen, online, offline, von Anbietern, Behörden oder Versicherern, die Einzelpersonen und Unternehmen dabei helfen können, ihre Cybersicherheitslage zu verbessern.

Vrurteil Nummer 3: Cybersicherheit ist nur für große Unternehmen notwendig: Viele kleine Unternehmen und Einzelpersonen sind der Meinung, dass Cyberkriminelle nur großen Unternehmen angreifen und daher die Cybersicherheit nicht ernst nehmen. Das ist laut Statistik und aus den Erfahrungen der letzten Jahre falsch: Auch kleine Unternehmen und Privatpersonen sind dem Risiko von Cyberangriffen ausgesetzt, auch hier kann der Schaden, ind er Relation zur Unternehmensgröße verherend sein.

Die Cybersicherheit liegt in der alleinigen Verantwortung der IT-Abteilungen: Viele Menschen glauben, dass die Cybersicherheit in der alleinigen Verantwortung der IT-Abteilungen liegt, und sind sich nicht bewusst, dass jeder in einem Unternehmen eine Rolle beim Schutz digitaler Werte zu spielen hat.

Cybersecurity ist für meine Branche nicht wichtig: Einige Branchen denken, sie hätten Daten, die wenig sensitve sind und halten andere, wie das Gesundheits-  oder das Finanzwesen für stärker reguliert und mit mehr Anforderungen an die Cybersicherheit. Das mag wohl sein, Jedoch haben alle Branchen Daten, die sie gerne für sich behalten würden und Systeme die weiterlaufen sollen .Also sind auch sie dem Risiko von Cyberangriffen ausgesetzt und sollten die Cybersicherheit ernst nehmen.

Zusammenfassend ist es für die Verantwortlichen wichtig, diese Vorurteile, etwa im eigenen Management zu erkennen und zu beseitigen, um sicherzustellen, dass die notwendigen Schritte unternommen werden können, um sensible Daten und digitale Assets vor Cyberbedrohungen zu schützen.

Warum eine Kombination aus richtiger Cyber-Versicherung und Least Privilege Datensicherheits-Strategie das Mittel der Wahl ist.

Was eine Cybersicherheitsversicherung an Cyber-Bedrohungen abdecken kann: Versicherungsschutz für Ransomware-Zahlungen und andere Arten von Cyber-Erpressung, falls Malware den Usern den Zugang zu ihren Systemen zu verweigern und die Erpresser drohen, sensible Informationen öffentlich zu machen, Nach einer Zahlung der geforderten Summe entfernen die Hacker die Schadsoftware, aber leider nicht immer….

Viele Cybersecurity-Policen decken zudem eine Kompromittierung von Geschäfts-E-Mails (BEC) und andere Social-Engineering-Angriffen ab. Beim BEC-Betrug bringt ein Hacker zum Beispiel einen Mitarbeiter dazu, Überweisungen auf das Bankkonto des Hackers vorzunehmen, indem sie das kompromittierte oder gefälschte E-Mail-Konto eines Mitarbeiters benutzen.

Verluste aus der normalen Geschäftstätigkeit und durch die Angriffe bedingte Kosten: Der Verlust von Geschäftseinkünften aufgrund eines Cyberangriffs, etwa Verluste durch einen Angriff auf einen Dritten, z. B. einen Lieferanten oder Partner, den Abbruch der Lieferkette, stehende Bänder etc. und zusätzliche Kosten wie etwa für die Forensik können durch Cybersecurity-Versicherungspolicen abgedeckt werden.

Identitätsdiebstahl kann auch Unternehmen treffen, daher kann Versicherungsschutz auch Verluste auffangen, die durch betrügerische Nutzung der digitalen Identität des Unternehmens entstehen und etwa in Form von betrügerisch zustande gekommenen Krediten oder unrechtmäßig unterzeichneten Verträgen erfolgen.

Außerdem kann für leitende Angestellte eine Deckung versichert werden um sie zu schützen, wenn sie in Verbindung mit einem gedeckten Cyber-Ereignis haftbar sind..

Unternehmen sind auf das Vertrauen ihrer Kunden angewiesen und wenn sie Opfer eines Cyberangriffs werden, kann dies für einige Zeit zu erheblichen Geschäftseinbußen führen. Die Deckung für Rufschädigung soll den Versicherten für Einkommensverluste, die durch Rufschädigung nach einem Cybersecurity-Ereignis entstehen entschädigen.

Für Versicherer ist ein unvorhergesehenes Ereignis, ein zufälliges Ereignis oder ein Ereignis mit ungewissem Ausgang. Im Zusammenhang mit Versicherungen ergänzt eine Eventualversicherung eine Hauptpolice oder deckt entfernte Risiken ab, die die Hauptpolice nur langsam abdecken würde.

Cyberbedrohungen sind in Bezug auf ihre Hartnäckigkeit und ihren Schweregrad gefährlicher denn je. Und auch Ihr Ausmaß nimmt ständig weiter zu: Die Zahl der Sicherheitsverletzungen etwa stieg von 2020 bis 2021 um 15,1 %, die Kosten pro Sicherheitsverletzung nahmen im gleichen Zeitraum um 24,5 % zu.

Cybersicherheit hat für Organisationen aller Art oberste Priorität. Von Unternehmen über Regierungsbehörden bis hin zu gemeinnützigen Organisationen müssen Führungskräfte eine wachsende Zahl von Cyber-Bedrohungen, Risiken und Schwachstellen berücksichtigen. Die Kosten für die Bewältigung eines Cybervorfalls können schwindelerregend sein, und daher muss heute jede Entscheidung an ihren Auswirkungen auf das Cyber-Risikoprofil der Organisation gemessen werden.

Unterschiedlich ist nun die Reaktion auf dieses Bedrohungs-Szenario: Manchen Unternehmen reagieren auf die wachsenden Cyber-Bedrohungen, indem sie sich Cyber-Sicherheitskontrollen und -systeme zulegen, andere Unternehmen gehen mit der Cyber-Unsicherheit wie mit jedem anderen Risiko um: Sie versuchen das Cyber-Risiko zu mindern, mit dem Abschluss einer Cyber Versicherung zu mindern.

Cyber-Sicherheit macht auch 2023 keine Pause: Eine Ransomware-Branche, die alle Wachstumsrekorde bricht, die Rolle des CISOs, der für die Resilienz moderner Unternehmen immer wichtiger wird, aber leider auch Stolz ( getreu dem Motto: „uns ist noch nie was passiert!“) und Einfallslosigkeit und ein Fachkräftemangel, besonders in Deutschland, der wirksame Antworten oft missen lässt.

Ähnlich wie in den Vorjahren führen Ransomware-Angriffe, Datenschutzverletzungen und betrügerische Aktivitäten wie Email Compromise (BEC) auch 2022 die Liste der Cyberkriminalität an. Der globale gesamtwirtschaftliche Schaden der Cyberkriminalität ist enorm, aber für Versicherer, Cyber-Security Hersteller und Cybersecurity Ventures schätzt, dass die globalen wirtschaftlichen Kosten von Cyberkriminalität in den nächsten fünf Jahren um 15% pro Jahr steigen werden und bis 2025 10,5 Billionen US-Dollar erreichen. Kein Wunder, denn die Welt der Cyberkriminalität entwickelt sich rasant, beispielsweise durch organisierte Zusammenarbeit oder den Einsatz von Automatisierung und künstlicher Intelligenz, um Synergien zu schaffen, um Schwachstellen möglichst schnell und gewinnbringend auszunutzen: Hinzu kommen neue Trends wie etwa ChatGPT, welche schneller Einzug in Unternehmen und Privathaushalte genommen haben, als ihre jeweiligen Sicherheitseinrichtungen zum Schutz vor kollateralen Cyber-Threats.
Abgesehen von cyberkriminellen Aktivitäten waren auch Nationalstaaten noch nie so aktiv im (kriegerischen) Cyberspace unterwegs wie heute.

Die meisten der großen Versicherungsgesellschaften bieten ihren Kunden inzwischen Cybersicherheitsversicherungen an. Der Versicherungs-Kunde kann hierbei davon ausgehen, dass er gegen die anfallenden, teils erheblichen Kosten, die durch die physische Zerstörung oder den Diebstahl von Daten entstehen, versichert ist. Zu diesen Ausgaben gehören in der Regel Kosten durch das: Eingehen, sprich Bezahlen, von Erpressungsforderungen aus einem Ransomware-Angriff; die Benachrichtigung der betroffenen Kunden, wenn ein Data Breach stattgefunden hat; Anwaltskosten, die infolge von Datenschutzverletzungen erhoben werden. Oft werden auch die Honorare der, so genannten Forensiker, die zur Wiederherstellung kompromittierter Daten beitragen sollen, übernommen und die Wiederherstellung der Identitäten von Kundendaten bezahlt, auch eine falls möglich, quantifizierbare Wiederherstellung von Daten, die verändert oder gestohlen wurden oder deren Reparieren oder Ersetzen möglich ist, wird gecovert.

Hier kommt auch schon das große „Aber“: Viele Cybersecurity-Versicherungspolicen decken nur die Erstschäden ab, Haftpflichtschäden nur wenige, manche wiederum schließen Sicherheitsprobleme aus, die von Menschen verursacht werden, wie z. B. schlechtes Konfigurationsmanagement oder unvorsichtiger- bzw. falscher Umgang mit digitalen Ressourcen. Andere Probleme, die von Cybersicherheitsversicherungen ausgeschlossen werden, sind folgende: Bereits bestehende oder frühere Sicherheitsverletzungen oder Cyber-Ereignisse, z. B. Vorfälle, die vor dem Abschluss der Police aufgetreten sind; Angriffe, die von Mitarbeitern oder Insidern initiiert und verursacht wurden; Infrastrukturausfälle, die nicht durch einen gezielten Cyberangriff verursacht wurden; Versäumnisse, wenn bekannte Schwachstellen nicht behoben werden, z. B. wenn ein Unternehmen, weiß, dass eine Schwachstelle besteht, diese aber nicht behebt und dann durch diese Schwachstelle Opfer eines Angriffes wird. Außerdem explizit nicht abgedeckt sind Kosten für die Verbesserung von Technologiesystemen, einschließlich des laufende Verbessern der Cybersicherheit von Systemen oder Anwendungen.

Ransomware und Cyberangriffe auf Supply Chains und kritische Infrastruktur (Kritis)  stellen eine größere Bedrohung für Unternehmen und die Gesellschaft dar als das jemals zuvor auch nur annähernd der Fall war: Überlebens- und Systemrisiken für Unternehmen und so genannte Kumulrisiken für Versicherer sind die Folgen. Eine angemessene Cybersicherheit erhöht die Resilienz der Unternehmen und ist gleichzeitig Voraussetzung für einen finanziell Vertretbaren Zugang zum Versicherungsmarkt. 

Mit dem Fortschritt der Digitalisierung Bereichen von Wirtschaft und Gesellschaft müssen Versicherungs- und Softwareunternehmen Ihr Angebot an Cyber-Produkten noch stärker an den funktionalen und finanziellen Kundenbedürfnissen und einer zunehmenden digitalen Abhängigkeit ausrichten. Versicherer bieten Schutz und unterstützen die Produktivität und Leistungsfähigkeit der Versicherten. Cyber Security Software schafft die Voraussetzung, quasi den Sicherheitsgurt, damit die Balance zwischen Sicherheit und Versicherungs-Beiträgen und eine nicht oder nur begrenzte Schadenshöhe für beide ensteht.

Die Versicherer können im volatilen Cybergeschäft für eine Balance zwischen dem Angebot attraktiver Lösungen für die Kunden und der Aufrechterhaltung der notwendigen Nachhaltigkeit und Rentabilität sorgen, die Aufrechterhaltung eines nachhaltigen Cyber-Versicherungsmarktes ist neben klugem Underwriting und Risikomanagement nur durch eine noch stärkere Zusammenarbeit zwischen den Versicherern und den Herstellern von Lösungen zu CyberSecurity möglich.