close
Share with your friends

COVID-19 ist der ungewollte Turbo für die Digitalisierung und damit auch für die Kehrseite der Medaille – die Cyberkriminalität. Der Markt für Cyber Insurance-Produkte wird immer größer und umfangreicher. Ein Vergleich ist selbst für den IT- & Versicherungs-Experten nicht immer leicht. Zugleich häufen sich die Vorfälle, die Licht- und Schattenseiten sowie Plan und Wirklichkeit schmerzhaft offenbaren.

Cyberversicherungen: Nachfrage am Markt

„Wer das Morgen nicht bedenkt, wird Kummer haben, bevor das Heute zu Ende geht.“ – solche und ähnliche Zitate sind in Bezug auf Cyberkriminalität und die voranschreitende Digitalisierung inzwischen zur Realität geworden. Natürlich sprach Konfuzius vor über 2500 Jahren noch nicht von Internetbetrug oder Ransomware – doch heute gilt: die Vorsorge ist besonders im Bereich der IT-Angriffsfläche ein wichtiger Bestandteil der Unternehmensstrategie geworden.

Der Cyber Insurance-Markt boomt: Mit prognostizierten Wachstumsraten von jährlich über 25 Prozent und einem 28 Mrd USD Markt in 2026 wollen sich nur die wenigsten Versicherungsunternehmen diese Chance entgehen lassen.

Waren Unternehmen in den letzten Jahren noch zögerlich, so schaffen COVID-19 und damit die stark voranschreitende Digitalisierung, ansteigende Angriffe und eine strengere Regulierung von Cyber Security-Maßnahmen einen Anreiz, sich mit dem Thema Cyber Insurance zu beschäftigen.

Blick auf die Praxis

„Die Frage ist nicht ob man Opfer einer Cyberattacke wird, sondern wann und wie schlimm.“ – diese Tatsache hat inzwischen die meisten Geschäftsführer und Vorstände dazu veranlasst, Investitionen hinsichtlich digitaler Sicherheit und des Aufbaus von Resilienz zu tätigen. Gemäß der aktuellen Cyber Security-Studie 2020 besitzen 25 Prozent der Unternehmen einen Versicherungsschutz im Bereich Cyber – Tendenz steigend.

Die Fülle der unterschiedlichen Angebote und Optionen führt jedoch auch zu einer Verwirrung bei Kunden und damit zu falschen Entscheidungen in Bezug auf die angestrebte Deckung.

Plan und Wirklichkeit

Durch die Häufung der Vorfälle zeigen sich die ersten Hürden in der Praxis und Unterschiede zwischen Plan und Wirklichkeit. Die wichtigsten werden im Folgenden kurz aufgezeigt:

  1. Bevor Cyber Insurance-Deckungen gewährt werden, erfolgt typischerweise eine Analyse der wichtigsten Security-Prozesse und Reifegrade über Fragebögen, Zertifizierungen und Vor-Ort-Prüfungen. Diese „Point in Time-Betrachtungen“ sind jedoch oft nicht ausreichend und erkennen nicht die tiefer liegenden strukturellen IT-Altlasten und Schwachstellen, welche zB bei Ransomware-Angriffen zu hohen Schäden führen können. Technische Cyber Ratings können hier helfen, geben oft aber nur eine limitierte Sicht von außen.
  2. Oft wird der Billigstbieter ausgewählt: Der Kunde beschäftigt sich bei Abschluss der Versicherung viel zu wenig mit dem Produkt und den angebotenen Paketen. So erwarten sich viele Kunden Soforthilfe und 24/7-Erreichbarkeit des Cyber Insurance-Dienstleisters. Zwei bis acht Stunden sind aber Standard und im Ernstfall oft zu langsam.
  3. Der Security-Dienstleister wird fast ausschließlich erst im Ernstfall kontaktiert. Eine verpflichtende Vorerhebung der technischen und prozessualen Rahmenbedingungen muss dann mühsam und unter Druck durchgeführt werden. Oft fehlen zusätzlich technische Protokollierungen oder Verantwortlichkeiten und kosten wertvolle Stunden. Beweismittel können dadurch unwiederbringlich verloren gehen.
  4. Der Dienstleister muss erst aus dem Ausland einfliegen bzw ist auf Grund von Kapazitätsengpässen nicht verfügbar. Besonders in diesen Fällen ist eine pragmatische Abwicklung mit alternativen (zertifizierten) lokalen Anbietern für die Kundenzufriedenheit und zur Verhinderung von Folgeschäden wichtig.
  5. Der Kunde benötigt besonders bei größeren Vorfällen neben technischer Hilfe auch Unterstützung in der Koordination des Vorfalls, der rechtlichen Beratung in Bezug auf Datenschutz-/Aktien-/NIS-Meldungen, Kommunikationsstrategien intern und extern, technische Umsetzungsunterstützung etc.
  6. Eine Übung der wichtigsten Szenarien sollte verpflichtend sein und würde auch Schwachstellen in der Technik, der Kommunikation und der Prozesse aufzeigen.
  7. Die Abwicklung der Kosten ist dem Kunden oft nicht klar. Wird der Dienstleister vom Versicherer gestellt und bezahlt oder muss ich jemanden bestellen und die entstandenen Kosten erst später geltend machen? Wer bekommt im Ernstfall den Bericht und was passiert bei groben Mängeln in der Infrastruktur (Patches nicht eingespielt, Konfigurationsschwächen usw)?
  8. Die Aufräumarbeiten und das Umsetzen von Security-Maßnahmen nach Vorfällen verursacht ein Vielfaches der Security-Vorfallskosten. Ohne eine verpflichtende Nachbetrachtung von erfolgreichen Angriffen wird es zu weiteren Vorfällen kommen.

Fit für die Zukunft werden

Kurzum zeigt sich in der Realität, dass das Produkt Cyberversicherung besonders in größeren Unternehmen mit komplexen Infrastrukturen und Prozessen noch einiges an Produktpflege und Finetuning benötigt. Dies gilt besonders für die Erarbeitung der optimalen Deckung und die notwendigen Prozesse und Unterstützungsleistungen vor, während und nach erfolgreichen Angriffen, um die Schäden und Ausfälle so gering wie möglich zu halten.

Denn eines ist gewiss: Mit dem exponentiellen Wachstum von Blockchain, Robotics, Künstliche Intelligenz, Machine Learning, Nanotechnologie usw werden wir nie wieder so wenig Technologie und Digitalisierung in unserem Leben haben wie heute. Doch wo Licht ist, ist auch Schatten: Während wir noch an den Security-Basics und -Altlasten arbeiten, entstehen jeden Tag neue Angriffsszenarien und Technologien, die auch Kriminelle für ihre Cyberattacken verwenden.