Bessere Sicherheitsmaßnahmen können Cyber-Versicherungsprämien senken
Wenn Sie Ihre Sicherheit durch bessere Kontrollen, eine stärkere Sensibilisierung der Mitarbeiter und ein offizielles Sicherheitsbudget verstärken, können Sie auch Ihre Cyberversicherungsprämie senken.
Wichtige Punkte
- Um ihr Sicherheitsrisiko auszulagern, kaufen immer mehr Unternehmen Cybersecurity-Policen.
- Die Branche, der Standort, der Umsatz und die immateriellen Vermögenswerte eines Unternehmens fließen in die Prämienberechnung der Versicherer ein.
- Bessere Sicherheitsmaßnahmen können dazu beitragen, die Prämien in Grenzen zu halten.
- Doch angesichts der zunehmenden Cyber-Bedrohungen und der steigenden Zahl von Schadensfällen werden die Cyber-Versicherungsprämien wahrscheinlich weiter steigen.
Kluge Unternehmen wappnen sich gegen Ransomware und andere Cybergefahren. Dabei können sie auch ihre Cyberversicherungsprämien senken.
"Immer mehr Menschen schließen eine Cyberversicherung ab, weil das Bewusstsein dafür geschärft wurde, und diese Entwicklung beschleunigt sich aufgrund der zunehmenden Abhängigkeit von der Technologie während des Lockdowns," sagt Jennifer Braney, Maklerin bei Capsicum Reinsurance Brokers LLP, einem großen Anbieter von Cyber-Rückversicherungen.
Cybersecurity-Policen decken die Kosten für die Wiederherstellung von Daten und die rechtliche Haftung ab und zahlen sogar für Verhandlungsführer, die sich in der Muttersprache der böswilligen Akteure unterhalten können.[i] Der Umfang dieser Policen variiert, und die Versicherer können Incident-Response-Dienste und Entschädigungen anbieten, die die Kosten für die Wiederherstellung und jegliche Haftung im Zusammenhang mit dem Cybervorfall abdecken.
Um den Preis für ihre Policen festzulegen, prüfen die Versicherer viele Facetten eines Unternehmens, angefangen bei der Frage, ob es proaktiv und auf Widerstandsfähigkeit bedacht ist, bis hin zu seinem Bewusstsein, seinem Verständnis und seiner Herangehensweise an die Verwaltung des Risikos. Sie sind der Ansicht, dass eine Cybersicherheitsversicherung nicht die einzige Verteidigung eines Unternehmens gegen Cyberrisiken sein sollte; eine starke organische Cybersicherheit sollte an erster Stelle stehen.[ii]
"Die Versicherer erwarten von den Unternehmen, dass sie bestimmte Standards für Sicherheitskontrollen einhalten und nachweisen können, wie ernst sie das Thema nehmen", erklärt Sebastien Plummer, ebenfalls Makler bei Capsicum. "Wenn sie keine Kontrollen eingerichtet haben, heißt das nicht, dass sie keine Cyber-Versicherung abschließen können - sie müssen nur möglicherweise mehr dafür bezahlen.
Die Ernennung eines Sicherheitschefs oder eines großen Sicherheitsteams scheint der beste Weg zu sein, um ein Sicherheitsdenken zu demonstrieren, aber es ist noch aussagekräftiger, über ein Sicherheitsbudget zu verfügen, das auf jährlicher Basis zugewiesen wird. Weitere Faktoren, die in die Bewertung eines Versicherers einfließen, sind das Engagement des CEO und die Frage, ob der CTO und der CISO dem CEO direkt unterstellt sind, um zu zeigen, dass die Geschäftsleitung die Cybersicherheit ernst nimmt. Um dies zu beurteilen, führen einige Versicherer Gespräche mit dem CFO oder CTO.
Kleinere Unternehmen, größere Anfälligkeit
Im Vergleich zu Großunternehmen sind sich kleine und mittlere Unternehmen und Start-ups ihrer Schwachstellen und Risiken oft weniger bewusst und können Cyber-Bedrohungen weniger gut abwehren. Möglicherweise fehlen ihnen auch die Ressourcen, um ein ganzes Sicherheitsteam für die Überwachung ihrer Abwehrmaßnahmen zu beschäftigen, aber sie können dies durch die Beauftragung eines Cybersicherheitsdienstes ausgleichen.
"Outsourcing ist finanziell sinnvoll und kann sicherstellen, dass sie ihren Mitbewerbern immer einen Schritt voraus sind", sagt Plummer. Auf diese Weise können sie vermeiden, zu den "tief hängenden Früchten" zu werden, die schlechte Akteure anziehen. "Ein Service bietet Ihnen eine 800er-Nummer, über die Sie das A-Team anrufen können, das sich um Ihre Veranstaltung kümmert, und zwar von Leuten, die extrem erfahren sind und genau wissen, was in diesem zeitkritischen Moment zu tun ist", erklärt er.
Faktoren, die die Prämien beeinflussen
Weitere Faktoren, die bei der Berechnung der Prämien eine Rolle spielen, sind die Branche des Unternehmens, sein Standort und vor allem sein Umsatz. "Der Umsatz ist wahrscheinlich die wichtigste Rating-Kennzahl, die den Underwritern hilft, die potenziellen finanziellen Auswirkungen eines Cyber-Ereignisses zu verstehen", sagt Plummer.
Ein weiterer Aspekt ist der Wert der immateriellen Vermögenswerte des Unternehmens und der Daten, die es über seine Kunden sammelt. Diese Daten, die als PII (Personal Identifiable Information) bekannt sind, werden von den Versicherern mit einem Dollarwert bewertet.
Es wird erwartet, dass Branchen, die größeren Datenschutzrisiken ausgesetzt sind, wie Finanzdienstleistungen, das Gesundheitswesen und der Einzelhandel, über robustere Sicherheitsmaßnahmen verfügen.[iii] Der Einzelhandel mit seinen Kundendatenbanken und Kundenbindungsprogrammen sowie Regierungsbehörden, die große Mengen an persönlichen Daten von US-Bürgern sammeln, werden häufig von böswilligen Akteuren ins Visier genommen.[iv] Laut einer aktuellen Wall Street Journal Pro-Umfrage bieten jedoch nur 42 % der Regierungsbehörden Schulungen zur Cybersicherheit an.[v]
Die Versicherer prüfen, wie wahrscheinlich es ist, dass sich bösartige Akteure auf die Branche konzentrieren, in der der Versicherungsnehmer tätig ist,[vi] , und sie wägen die verschiedenen Eigenschaften des Unternehmens anhand ihrer eigenen Modelle ab, um das Risiko zu bewerten. "Jede Branche hat ihre eigene Gefährdung, ihre eigene Art von sensiblen Informationen", sagt Plummer und fügt hinzu, dass die Versicherungsvertreter dies bei der Bewertung der Wahrscheinlichkeit eines Angriffs auf ein Unternehmen berücksichtigen.
Schulung zum Sicherheitsbewusstsein
Mitarbeiter- und Führungskräfteschulungen sollten für alle Unternehmen, ob groß oder klein, Priorität haben.[vii] Sie fließen nicht nur in die Tarifgestaltung der Versicherer ein, sondern können auch das Sicherheitsbewusstsein der Mitarbeiter erhöhen und damit das Cyberrisiko erheblich verringern. Die WSJ Pro-Umfrage ergab, dass Unternehmen, die Schulungen für Führungskräfte anbieten, besser in der Lage sind, kritische Daten zu identifizieren und zu schützen (84 % im Vergleich zu 72 %), dass sie mit größerer Wahrscheinlichkeit über eine Cyber-Versicherung verfügen (63 % im Vergleich zu 51 %) und dass sie viel wahrscheinlicher einen Plan für die Reaktion auf Vorfälle aufgestellt haben (84 % im Vergleich zu 70 %).[viii]
Schulungen zum Sicherheitsbewusstsein tragen auch dazu bei, einem Versicherer zu zeigen, dass das Unternehmen die Cybersicherheit ernst nimmt, was dazu beitragen kann, die Prämie für eine Cyber-Police in Grenzen zu halten.
Der Kursausblick
Der Markt für Cyberversicherungen ist in Nordamerika auf schätzungsweise 2 Milliarden US-Dollar und weltweit auf 3 Milliarden US-Dollar angewachsen und ist damit die am schnellsten wachsende Versicherungskategorie, und die USA sind der größte Cyberversicherungsmarkt. Während viele große Unternehmen mit hohem Datenschutzrisiko bereits über Cyberprogramme verfügen, wächst der Markt für kleine und mittlere Unternehmen rasant - seit 2017 um 61 %. [ix]
Da die Zahl von Ransomware und anderen Arten von Cyberangriffen weiter zunimmt, werden die Kosten für Cyberversicherungen in den nächsten Jahren voraussichtlich um 5 bis 25 % steigen.[x] Aber auch die wachsende Beliebtheit dieser Policen trägt zu den höheren Prämien bei. Dazu Plummer: "Cyber-Versicherungen sind eine wirklich greifbare Möglichkeit, Risiken aus der eigenen Bilanz zu verlagern. Aber da die Zahl der Schadensfälle zunimmt, ist es nicht überraschend, dass auch die Prämien steigen."
Die Quintessenz
Die Einrichtung von Sicherheitskontrollen wie sicheren E-Mail-Gateways, Endpunktschutz und einer Firewall, der Nachweis, dass die Unternehmensleitung das Problem ernst nimmt, die Durchführung von Sensibilisierungsschulungen und die Festlegung eines jährlichen Sicherheitsbudgets können dazu beitragen, die Versicherungsprämien und Selbstbeteiligungen eines Unternehmens im Bereich Cybersicherheit zu senken. Doch auch wenn diese Maßnahmen die Kosten für eine Police niedrig halten können, wird erwartet, dass die Prämien für Cyber-Versicherungen in den nächsten Jahren um 5 % bis 25 % steigen werden, da die Zahl der Bedrohungen zunimmt und mehr Schadenersatzansprüche geltend gemacht werden.
[i] "Versicherer wollen Ransomware-Risiko eindämmen, da Cyber-Raten in den USA steigen," Reuters
[ii] "Cyber-Versicherungspolicen entwickeln sich weiter, um neuen Risiken zu begegnen - und die Prämien spiegeln dies wider," CIO Dive
[iii] "Using Cyber-Insurance to Improve Cyber-Security: Legislative Lösungen für den Versicherungsmarkt," Weißes Haus Obama
[iv] Postpandemische Cyberangriffe zielen auf anfällige Branchen, Cyber Resilience Insights
[v] "Welche Branchen sind nicht auf einen Cyberangriff vorbereitet?" Wall Street Journal
[vi] "The Role of Cyber Insurance in Securing the Private Sector," FDD
[vii] Die Rolle der Schulung von Führungskräften beim Aufbau einer Kultur der Cybersicherheit, Einblicke in die Cyber-Resilienz
[viii] "Welche Branchen sind nicht auf einen Cyberangriff vorbereitet?" Wall Street Journal
[ix] "Was passiert mit dem US-Cyber-Markt," Risiko & Versicherung
[x] "Versicherer wollen Ransomware-Risiko eindämmen, da Cyber-Raten in den USA steigen," Reuters
Abonnieren Sie Cyber Resilience Insights für weitere Artikel wie diesen
Erhalten Sie die neuesten Nachrichten und Analysen aus der Cybersicherheitsbranche direkt in Ihren Posteingang
Anmeldung erfolgreich
Vielen Dank, dass Sie sich für den Erhalt von Updates aus unserem Blog angemeldet haben
Wir bleiben in Kontakt!