Die Schadenquoten infolge von Ransomware-Vorfällen und Angriffen auf
digitale Lieferketten waren 2023 weiterhin hoch. Dennoch bleiben die
Prämien im CyberVersicherungsmarkt stabil, denn neue Anbieter machen den
etablierten Versicherern Konkurrenz – mit innovativen Konzepten und
teilweise kostenlosen Services.
Eine kleine Sicherheitslücke beim Software-Anbieter Progress hatte es in
sich: Hacker drangen im Juni 2023 in die Datenaustausch-Software MOVEit ein
und erlangten dadurch Zugang zu allen die Software nutzenden Unternehmen
und Privatpersonen. Bekannt sind bislang über 60 Millionen betroffene User,
deren Daten abgeossen sind – der angeblich größte Dateiübertragungs-Hack
aller Zeiten. Die Schäden, die durch einen Datenverlust entstehen, reichen
von DSGVO-Verfahren über die Benachrichtigung betroffener Dritter (Kunden,
Geschäftspartner, Mitarbeiter) bis hin zu Haftungsverpichtungen gegenüber
den Geschädigten.
Für Cyber-Kriminelle ist das effizient und liegt im Trend: lieber einen
Cloud-Anbieter angreifen als ein einzelnes Unternehmen – größerer Erfolg
bei gleichbleibendem Aufwand. Für Unternehmen verursachen derartige
Datendiebstähle jedes Jahr Kosten in Millionen-Höhe.
Haften Unternehmen bei Angriff auf ihren externen Dienstleister?
Die meisten Unternehmen nutzen mittlerweile die Cloud oder lagern Daten an
sonstige externe Auftragsdatenverarbeiter aus, um Kosten und IT-Ressourcen
zu sparen sowie efzienter mit den Daten umzugehen. Wenn die Systeme
Dritter jedoch zum Einfallstor für Hacker werden, wirft dies viele Fragen
für Risikomanager und Versicherungsverantwortliche auf. Auch Monate nach
dem vermeintlich größten Datendiebstahl des Jahres 2023 steigen die
Opferzahlen unter Privatpersonen und Firmen weiter an. Stand Ende Oktober
2023 waren ca. 2.560 Unternehmen vom Datenleck betroffen. Laut
Datenschutzgrundverordnung sind sie für die Daten ihrer Kunden, Mitarbeiter
und Geschäftspartner verantwortlich und haften bei Verlust – und zwar auch
dann, wenn sie diese an einen externen Dienstleister auslagern. Wie können
sich Unternehmen vor Haftungsschäden schützen? Was können sie versichern?
Und werden sie den hohen IT-Anforderungen der Cyber-Versicherer noch
gerecht?
Nur wer seine Risiken kennt, kann sich adäquat absichern – mit
Sicherheitsvorkehrungen in der IT ebenso wie mit Deckungskonzepten für die
Restrisiken. Der Fahrplan lautet: Risiken erkennen, ITResilienz stärken und
verbleibende Risiken mittels Versicherung minimieren.
01
Am Anfang steht die Risikoprüfung
Unternehmen, die sich vor Haftungsschäden schützen wollen, müssen ihr
Cyber-Risikoprol und die Bedrohungslage innerhalb ihrer digitalen
Lieferkette genau kennen. Um sich einen Überblick über die eigenen
Cyber-Verlustpotenziale zu verschaffen, sollten sie auf Daten und
datengetriebene Analysen setzen: Leistungsstarke aktuarielle Modelle liefern
heute eine umfassende Bibliothek von Cyber-Risikoszenarien – passgenau für
einzelne Branchen und Unternehmen. Vorhersage-Tools zeigen auf:
- welche Cyber-Risiken mit welcher Wahrscheinlichkeit eintreten,
- in welchem Szenario mit welchen Schäden zu rechnen ist,
- welchen Umfang und welche Höhe eine angemessene Versicherung haben sollte.
Zugleich liefert die professionelle Cyber-Risikoquantifizierung
übersichtliche Management-Reports zu den ermittelten Cyber-Risiken, zu
deren nanziellen Auswirkungen und zu relevanten Versicherungsstrategien.
Wie der MOVEit-Vorfall eindrücklich zeigt, gehören zum Cyber-Raum einer
Organisation auch Partner und Dienstleister. Also gilt es ebenso zu
überprüfen, wie die eigenen Lieferanten in puncto Cyber-Sicherheit
aufgestellt sind. Externe Dienstleister sollten beispielsweise eine
ISO-zertifizierte Informationssicherheit vorweisen können (insbesondere ISO
27001) und darüber hinaus Schutzmechanismen etabliert haben, die einen
Zugriff durch unbefugte Dritte verhindern, etwa
Multi-Faktor-Authentifizierungen. Das gilt sowohl für große Organisationen
als auch kleinere Dienstleister. Sind derartige Schutzmaßnahmen nicht
vorhanden, ist es durchaus ratsam, den Anbieter zu wechseln. Durch diese
ordnungsgemäße Prüfung und Auswahl der Lieferanten lässt sich das
Schadenpotenzial weiter minimieren.
02
Digitale Resilienz stärken
Dennoch können alle Vorsichtsmaßnahmen einen Vorfall nicht gänzlich
verhindern. Ein Restrisiko bleibt immer. Eine Cyber-Versicherung deckt zwar
alle relevanten Kosten, die aus Betriebsunterbrechungen und
Datenschutzverletzungen entstehen. Auch bei einem Angriff auf
Auftragsdatenverarbeiter deckt sie sowohl die Kosten für
Datenschutzverfahren als auch die Haftpichtansprüche von Kunden,
Geschäftspartnern oder Mitarbeitern ab. Ein Einkauf von Versicherungsschutz
ist jedoch nur unter hohen IT-Sicherheitsauagen möglich.
Deshalb müssen Organisationen ihre Systeme kontinuierlich auf
Schwachstellen prüfen und diese beheben sowie ihre Infrastruktur laufend an
verschärfte gesetzliche Rahmenbedingungen anpassen. Dafür bedarf es eines
angemessenen Budgets. Ohne dieses haben IT-Sicherheitsverantwortliche wenig
Spielraum, um das vom Versicherer geforderte Mindestniveau umzusetzen.
Aber auch bei der Implementierung von konkreten Maßnahmen gibt es
wiederkehrende Problemgebiete: Viele Firmen führen keine
Phishing-Simulationen oder Mitarbeiterschulungen durch – dabei ist
bekanntermaßen der Faktor „Mensch“ das größte Einfallstor für
Cyber-Attacken. Auch fehlen häufig Business-Continuity-Pläne, die den
Betrieb im Notfall aufrechterhalten sowie Schutzmechanismen für Remote
Work, etwa die Multi-Faktor-Authentizierung oder die Kontrolle über die
Zugriffsberechtigungen der Mitarbeiter und die betrieblich genutzten
Privatgeräte.
Schwierig ist dies oft für kleine und mittelständische Unternehmen, denn es
mangelt dort häug an Ressourcen, IT-Erfahrung und dem entsprechenden
Budget. KMU protieren somit besonders von den zusätzlichen Services der
neuen Versicherungsplayer im Markt.
03
Versicherungsstrategie aufsetzen – neue Anbieter prüfen
Aufgrund der wachsenden Zahl an Cyber-Angriffen mussten Versicherer in den
letzten Jahren ihre Prämien deutlich erhöhen. Zugleich wurden die
Kapazitäten knapp, weil die Nachfrage stieg und Versicherer vorsichtiger
zeichneten. Diese Situation hat sich neuerdings gewandelt: Der Markt hat
sich stabilisiert, auch weil neue Wettbewerber zusätzliche Kapazitäten
geschaffen haben.
Mit dem Markteinstieg der Neuanbieter ist auch der Wettbewerb im Hinblick
auf die IT-Security-Dienstleistungen durch Versicherer deutlich gestiegen.
Im Angebot sind nunmehr zahlreiche, teilweise sogar kostenlose
Dienstleistungen, die Unternehmen helfen, zumindest einen Teil der hohen
IT-Vorgaben zu erfüllen und eine Cyber-Versicherungslösung überhaupt erst
in Anspruch nehmen zu können.
Einige Beispiele:
- Zugang zu einem Incident Response Netzwerk mit externen Dienstleistern –
insb. Rechtsberatung, IT-Sicherheit und Krisenkommunikation – im
Krisenfall. Diese Leistung ist bereits seit einigen Jahren Bestandteil von
Cyber-Versicherungen.
- Sensibilisierung der Mitarbeiter durch gefälschte Phishing-E-Mails und
regelmäßige Schulungen durch Tutorials
- Automatische, regelmäßige Prüfung der IT-Systeme: Wird eine
Schwachstelle gefunden, wird der IT-Manager benachrichtigt, um diese zu
beheben.
- Lieferantenmanagement: Analysen des Cyber-Risikoprofils von Zulieferern
- Active Directory Scans, die alle Berechtigungen auslesen und anhand von
Reports etwaige Auffälligkeiten aufzeigen.
- Vorlagen für Notfallpläne
- Best Practices und Guidelines für das richtige Management von
Cyber-Risiken
Dennoch decken auch diese Sonderleistungen nicht den gesamten
Anforderungskatalog der Cyber-Versicherer ab. Nach wie vor bestehen
Einschränkungen bei Angriffen auf digitale Lieferketten (z.B.
Sublimitierungen) oder auf CloudDienste. Dafür können Unternehmen auf
alternative Lösungen zurückgreifen wie zum Beispiel
Cloud-Ausfallversicherungen. Damit lassen sich cloud-bedingte IT-Ausfälle
sowie mögliche Haftungsverpichtungen absichern.
Neue Anbieter: Konkurrenz für die Etablierten
Besonders attraktiv sind die innovativen Angebote für KMU – aber auch für
Großunternehmen und Konzerne entsteht allmählich ein Markt. Obgleich diese
mehr Inhouse-Ressourcen zur Verfügung haben, bedeuten die wachsenden
Sicherheitsansprüche doch hohe Kosten – nicht unmöglich, dass auch sie
zunehmend auf Versicherer mit erweitertem Service-Angebot zurückgreifen.
In Zukunft werden die Anforderungen an IT Security weiter steigen – vor
allem langfristig werden sich Kunden jeder Größe dorthin orientieren, wo
sie maximale Unterstützung erhalten.
Fazit
Neue Anbieter entspannen den Markt in der Cyber-Versicherung.
Nichtsdestotrotz bleiben die Anforderungen an die technischen
Schutzmaßnahmen hoch. Mehr noch: Unternehmen müssen zunehmend auf Angriffe
auf Cloud-Dienstleister oder sonstige Lieferanten gefasst sein und sich
dahingehend zusätzlich absichern. Die Lösungen neuer Anbieter mit
zusätzlichen Services und spezialisierten Cloud-Ausfallversicherungen werden
immer beliebter. Mit professioneller Hilfe im Rahmen einer
Cyber-Risikoquantifizierung lassen sich Marktangebote vergleichen, die beste
Option wählen und eine risikogerechte Versicherungsstrategie entwickeln.
Quelle: Der Artikel ist zuerst erschienen in Die VersicherungsPraxis
2/2024 (VP 2/2024)
