Die Schadenquoten infolge von Ransomware-Vorfällen und Angriffen auf digitale Lieferketten waren 2023 weiterhin hoch. Dennoch bleiben die Prämien im CyberVersicherungsmarkt stabil, denn neue Anbieter machen den etablierten Versicherern Konkurrenz – mit innovativen Konzepten und teilweise kostenlosen Services.
Eine kleine Sicherheitslücke beim Software-Anbieter Progress hatte es in sich: Hacker drangen im Juni 2023 in die Datenaustausch-Software MOVEit ein und erlangten dadurch Zugang zu allen die Software nutzenden Unternehmen und Privatpersonen. Bekannt sind bislang über 60 Millionen betroffene User, deren Daten abgeossen sind – der angeblich größte Dateiübertragungs-Hack aller Zeiten. Die Schäden, die durch einen Datenverlust entstehen, reichen von DSGVO-Verfahren über die Benachrichtigung betroffener Dritter (Kunden, Geschäftspartner, Mitarbeiter) bis hin zu Haftungsverpichtungen gegenüber den Geschädigten.
Für Cyber-Kriminelle ist das effizient und liegt im Trend: lieber einen Cloud-Anbieter angreifen als ein einzelnes Unternehmen – größerer Erfolg bei gleichbleibendem Aufwand. Für Unternehmen verursachen derartige Datendiebstähle jedes Jahr Kosten in Millionen-Höhe.
Die meisten Unternehmen nutzen mittlerweile die Cloud oder lagern Daten an sonstige externe Auftragsdatenverarbeiter aus, um Kosten und IT-Ressourcen zu sparen sowie efzienter mit den Daten umzugehen. Wenn die Systeme Dritter jedoch zum Einfallstor für Hacker werden, wirft dies viele Fragen für Risikomanager und Versicherungsverantwortliche auf. Auch Monate nach dem vermeintlich größten Datendiebstahl des Jahres 2023 steigen die Opferzahlen unter Privatpersonen und Firmen weiter an. Stand Ende Oktober 2023 waren ca. 2.560 Unternehmen vom Datenleck betroffen. Laut Datenschutzgrundverordnung sind sie für die Daten ihrer Kunden, Mitarbeiter und Geschäftspartner verantwortlich und haften bei Verlust – und zwar auch dann, wenn sie diese an einen externen Dienstleister auslagern. Wie können sich Unternehmen vor Haftungsschäden schützen? Was können sie versichern? Und werden sie den hohen IT-Anforderungen der Cyber-Versicherer noch gerecht?
Nur wer seine Risiken kennt, kann sich adäquat absichern – mit Sicherheitsvorkehrungen in der IT ebenso wie mit Deckungskonzepten für die Restrisiken. Der Fahrplan lautet: Risiken erkennen, ITResilienz stärken und verbleibende Risiken mittels Versicherung minimieren.
01
Unternehmen, die sich vor Haftungsschäden schützen wollen, müssen ihr Cyber-Risikoprol und die Bedrohungslage innerhalb ihrer digitalen Lieferkette genau kennen. Um sich einen Überblick über die eigenen Cyber-Verlustpotenziale zu verschaffen, sollten sie auf Daten und datengetriebene Analysen setzen: Leistungsstarke aktuarielle Modelle liefern heute eine umfassende Bibliothek von Cyber-Risikoszenarien – passgenau für einzelne Branchen und Unternehmen. Vorhersage-Tools zeigen auf:
Zugleich liefert die professionelle Cyber-Risikoquantifizierung übersichtliche Management-Reports zu den ermittelten Cyber-Risiken, zu deren nanziellen Auswirkungen und zu relevanten Versicherungsstrategien.
Wie der MOVEit-Vorfall eindrücklich zeigt, gehören zum Cyber-Raum einer Organisation auch Partner und Dienstleister. Also gilt es ebenso zu überprüfen, wie die eigenen Lieferanten in puncto Cyber-Sicherheit aufgestellt sind. Externe Dienstleister sollten beispielsweise eine ISO-zertifizierte Informationssicherheit vorweisen können (insbesondere ISO 27001) und darüber hinaus Schutzmechanismen etabliert haben, die einen Zugriff durch unbefugte Dritte verhindern, etwa Multi-Faktor-Authentifizierungen. Das gilt sowohl für große Organisationen als auch kleinere Dienstleister. Sind derartige Schutzmaßnahmen nicht vorhanden, ist es durchaus ratsam, den Anbieter zu wechseln. Durch diese ordnungsgemäße Prüfung und Auswahl der Lieferanten lässt sich das Schadenpotenzial weiter minimieren.
02
Dennoch können alle Vorsichtsmaßnahmen einen Vorfall nicht gänzlich verhindern. Ein Restrisiko bleibt immer. Eine Cyber-Versicherung deckt zwar alle relevanten Kosten, die aus Betriebsunterbrechungen und Datenschutzverletzungen entstehen. Auch bei einem Angriff auf Auftragsdatenverarbeiter deckt sie sowohl die Kosten für Datenschutzverfahren als auch die Haftpichtansprüche von Kunden, Geschäftspartnern oder Mitarbeitern ab. Ein Einkauf von Versicherungsschutz ist jedoch nur unter hohen IT-Sicherheitsauagen möglich.
Deshalb müssen Organisationen ihre Systeme kontinuierlich auf Schwachstellen prüfen und diese beheben sowie ihre Infrastruktur laufend an verschärfte gesetzliche Rahmenbedingungen anpassen. Dafür bedarf es eines angemessenen Budgets. Ohne dieses haben IT-Sicherheitsverantwortliche wenig Spielraum, um das vom Versicherer geforderte Mindestniveau umzusetzen.
Aber auch bei der Implementierung von konkreten Maßnahmen gibt es wiederkehrende Problemgebiete: Viele Firmen führen keine Phishing-Simulationen oder Mitarbeiterschulungen durch – dabei ist bekanntermaßen der Faktor „Mensch“ das größte Einfallstor für Cyber-Attacken. Auch fehlen häufig Business-Continuity-Pläne, die den Betrieb im Notfall aufrechterhalten sowie Schutzmechanismen für Remote Work, etwa die Multi-Faktor-Authentizierung oder die Kontrolle über die Zugriffsberechtigungen der Mitarbeiter und die betrieblich genutzten Privatgeräte.
Schwierig ist dies oft für kleine und mittelständische Unternehmen, denn es mangelt dort häug an Ressourcen, IT-Erfahrung und dem entsprechenden Budget. KMU protieren somit besonders von den zusätzlichen Services der neuen Versicherungsplayer im Markt.
03
Aufgrund der wachsenden Zahl an Cyber-Angriffen mussten Versicherer in den letzten Jahren ihre Prämien deutlich erhöhen. Zugleich wurden die Kapazitäten knapp, weil die Nachfrage stieg und Versicherer vorsichtiger zeichneten. Diese Situation hat sich neuerdings gewandelt: Der Markt hat sich stabilisiert, auch weil neue Wettbewerber zusätzliche Kapazitäten geschaffen haben.
Mit dem Markteinstieg der Neuanbieter ist auch der Wettbewerb im Hinblick auf die IT-Security-Dienstleistungen durch Versicherer deutlich gestiegen. Im Angebot sind nunmehr zahlreiche, teilweise sogar kostenlose Dienstleistungen, die Unternehmen helfen, zumindest einen Teil der hohen IT-Vorgaben zu erfüllen und eine Cyber-Versicherungslösung überhaupt erst in Anspruch nehmen zu können.
Einige Beispiele:
Dennoch decken auch diese Sonderleistungen nicht den gesamten Anforderungskatalog der Cyber-Versicherer ab. Nach wie vor bestehen Einschränkungen bei Angriffen auf digitale Lieferketten (z.B. Sublimitierungen) oder auf CloudDienste. Dafür können Unternehmen auf alternative Lösungen zurückgreifen wie zum Beispiel Cloud-Ausfallversicherungen. Damit lassen sich cloud-bedingte IT-Ausfälle sowie mögliche Haftungsverpichtungen absichern.
Besonders attraktiv sind die innovativen Angebote für KMU – aber auch für Großunternehmen und Konzerne entsteht allmählich ein Markt. Obgleich diese mehr Inhouse-Ressourcen zur Verfügung haben, bedeuten die wachsenden Sicherheitsansprüche doch hohe Kosten – nicht unmöglich, dass auch sie zunehmend auf Versicherer mit erweitertem Service-Angebot zurückgreifen.
In Zukunft werden die Anforderungen an IT Security weiter steigen – vor allem langfristig werden sich Kunden jeder Größe dorthin orientieren, wo sie maximale Unterstützung erhalten.
Neue Anbieter entspannen den Markt in der Cyber-Versicherung. Nichtsdestotrotz bleiben die Anforderungen an die technischen Schutzmaßnahmen hoch. Mehr noch: Unternehmen müssen zunehmend auf Angriffe auf Cloud-Dienstleister oder sonstige Lieferanten gefasst sein und sich dahingehend zusätzlich absichern. Die Lösungen neuer Anbieter mit zusätzlichen Services und spezialisierten Cloud-Ausfallversicherungen werden immer beliebter. Mit professioneller Hilfe im Rahmen einer Cyber-Risikoquantifizierung lassen sich Marktangebote vergleichen, die beste Option wählen und eine risikogerechte Versicherungsstrategie entwickeln.
Quelle: Der Artikel ist zuerst erschienen in Die VersicherungsPraxis 2/2024 (VP 2/2024)
