Cyber-Versicherung: unverzichtbarer Schutz oder sinnlose Ausgabe?

Da es sich bei der Cyberversicherung um ein relativ neues Versicherungsprodukt handelt, ist es verständlich, dass viele Unternehmen mit den angebotenen Produkten nicht so vertraut sind, wie sie es sein könnten.

Unternehmen, die sich gegen Bedrohungen wie Ransomware absichern wollen, müssen oft feststellen, dass die Prämien hoch sind und die Policen mit Ausschlüssen gespickt sind. Erschwerend kommt hinzu, dass viele Versicherer Cyber-Versicherungen in einer Reihe von Produkten bündeln, was es den Käufern erschwert, zu entscheiden, was für sie am besten geeignet ist. 

Dies ist zum Teil der Grund dafür, dass viele Unternehmen überhaupt keine Cyber-Versicherung haben - rund 75 % der australischen Unternehmen sind nicht versichert, wobei die Zahl bei kleinen und mittleren Unternehmen noch höher ist. Lohnt sich also eine Cyberversicherung?  

Cyberangriffe sind eine existenzielle Bedrohung - und Versicherungen werden nur unzureichend in Anspruch genommen

Cyberkriminalität kann verheerend sein: Das Australian Cyber Security Centre schätzt die durchschnittlichen Kosten eines Vorfalls auf über 39.000 Dollar für kleine Unternehmen und 62.000 Dollar für große Unternehmen. Der ACSC bezeichnet Ransomware als "die zerstörerischste Cyberkriminalität", und IBM schätzt die durchschnittlichen weltweiten Kosten eines erfolgreichen Ransomware-Angriffs auf weitaus höhere 4,5 Millionen Dollar. Berücksichtigt man die Kosten für Untersuchung, Wiederherstellung, Kundensupport, Bußgelder, Rechtskosten und Rufschädigung, so wird deutlich, dass Ransomware die Existenz von Unternehmen bedrohen kann.

Viele von uns versichern ihre Häuser, Autos und Besitztümer, ohne darüber nachzudenken. Doch angesichts des kolossalen Risikos von Ransomware nutzen viele Unternehmen keine Versicherung. Berichten zufolge hatte Medibank, das Opfer einer der schlimmsten Cyberattacken der letzten Zeit, "in der Vergangenheit eine Cyberversicherung in Erwägung gezogen", aber "angesichts der restriktiven Art der Deckung in Verbindung mit einer Bewertung des damit verbundenen Risikos die Entscheidung getroffen, sich selbst zu versichern".

Mit dieser Entscheidung ist sie nicht allein. Die ersten Cyber-Versicherungspolicen wurden in den späten 90er Jahren abgeschlossen, und zunächst wuchs der Sektor nur langsam. Der Weltmarkt ist jetzt viel stärker - er soll bis 2027 ein Volumen von 20 Milliarden Dollar erreichen. Aber auch wenn das Bewusstsein jetzt viel größer ist, ist die Akzeptanz immer noch bestenfalls lückenhaft. 

Versicherer und ihre Kunden haben ein Problem

Ein Teil des Problems liegt in der sich verändernden Natur der Cyber-Bedrohungen selbst. Fernarbeit hat weltweit neue Angriffsflächen eröffnet, Online-Betrügereien haben sich vervielfacht, und kriminelle Banden sind immer raffinierter geworden. Ransomware-Vorfälle sind immer häufiger und schwerwiegender geworden und machen mittlerweile 75 % der Cyberversicherungsansprüche aus.

Das Ergebnis? Die Versicherer haben Schwierigkeiten, Gewinne zu erzielen. Im Jahr 2021 stellte Fitch Ratings fest, dass das Verhältnis von Verlusten zu verdienten Prämien im vergangenen Jahr 73 % betrug. Besorgte US-amerikanische und europäische Versicherer halbierten die von ihnen angebotene Cyber-Deckung im Jahr 2021. In Australien haben sich die Kosten für eine Cyberversicherung in den letzten drei Jahren jedes Jahr verdoppelt, was einige Unternehmen dazu veranlasst hat, zweimal darüber nachzudenken, ob sie eine Versicherung abschließen wollen. Von den Unternehmen, die eine Cyberversicherung abgeschlossen haben, sind viele unsicher, wie weit ihr Schutz reicht. "Bei mir laufen die Telefone heiß, weil sich Unternehmen fragen, wie ihre Police bei einem Hack wie dem von Optus reagieren würde", sagt Kelly Butler, Chief Client Officer beim Versicherungsmakler Marsh, nachdem Australien im Oktober und November 2022 von einer Welle von Angriffen heimgesucht wurde. 

Cyber-Versicherung ist nicht für jedes Unternehmen geeignet

Diese Art von Markt führt zu einem Versicherungsprodukt, das nicht für jedes Unternehmen geeignet ist. Die Prämien sind hoch und die Versicherer sind möglicherweise nur bereit, Daten zu einem Bruchteil ihres tatsächlichen Wertes zu versichern. Policen decken möglicherweise keine Lösegeldzahlungen oder Angriffe von staatlich gelenkten Gruppen ab, und die Haftung kann bei bestimmten Angriffsvektoren (einschließlich Ransomware) eingeschränkt sein. Einige Policen decken nur die ersten Maßnahmen ab und schließen längerfristige Wiederherstellungskosten vollständig aus.

Die Cyber-Versicherung ist nicht nur ein risikoreiches Geschäft, sondern auch ein neues. Während Hausrat- oder Autoversicherer Jahrzehnte oder sogar Jahrhunderte Zeit hatten, um zu reifen, ist die Cybersicherheit noch ein junger Sektor. Das Sammeln von Informationen über die von Ihnen verwendeten Schlösser, die Art Ihres Eigentums, die Häufigkeit, mit der Sie Ihr Eigentum unbeaufsichtigt lassen, und die örtliche Kriminalitätsrate ist im Vergleich zu den sich rasch entwickelnden Cyber-Bedrohungen, dem sich ändernden rechtlichen Umfeld und den sich ständig verändernden Angriffsflächen relativ einfach zu erfassen und zu bewerten. Infolgedessen gibt es weniger Transparenz und Standardisierung bei Cyber-Versicherungen, was bedeutet, dass einige Unternehmen einfach die billigsten Optionen wählen - nur um dann im Schadensfall einen Schlag zu bekommen. 

Wie Sie die richtige Cyberversicherung für Ihr Unternehmen finden

Es gibt zahlreiche Fälle aus der Praxis, in denen Cyber-Versicherungsansprüche gescheitert sind: 2022 verlor das Kfz-Dienstleistungsunternehmen Inchcape vor dem Bundesgericht seine Klage gegen seine Versicherer. Das bedeutet nicht, dass eine Cyber-Versicherung nie funktioniert, aber es bedeutet, dass Unternehmen sorgfältig über die Partnerschaft nachdenken müssen, die sie mit Versicherern eingehen. Unternehmen, die sich für eine Cyberversicherung interessieren, können einige Schritte unternehmen, um sicherzustellen, dass sie die Produkte erhalten, die ihren Bedürfnissen am besten entsprechen.

1. Akzeptieren Sie, dass die Cyberversicherung kein Allheilmittel ist

Zunächst ist zu betonen, dass eine Cyberversicherung kein Allheilmittel für die Cybersicherheit ist. Sie können nicht alle Cyber-Risiken an Dritte auslagern. Jedes Unternehmen sollte seine Anlagen mit einem mehrschichtigen Satz von Sicherheitstools schützen, unterstützt durch eine umfassende Sensibilisierungsschulung und einen gut durchdachten Plan zur Reaktion auf Zwischenfälle. Ohne diese Maßnahmen werden viele Versicherer Sie gar nicht erst für eine Police in Betracht ziehen.

2. Kennen Sie Ihre Bedürfnisse

Jede Organisation ist anders. Überlegungen, welche Daten Sie haben, wo sie gespeichert sind, wie hoch die Kosten für ihren Schutz sind und wie sich ihr Verlust auswirken würde, sollten in Ihre Cyberstrategie einfließen. Diese Faktoren, insbesondere wenn sie mit Hilfe eines risikobasierten Modells mit einem Dollarwert bewertet werden, können Ihnen helfen, den besten Versicherer und die beste Deckungssumme zu ermitteln. Einige Versicherer sind rationeller und können niedrigere Prämien anbieten, während andere über umfangreichere Ressourcen und Infrastrukturen verfügen und in der Lage sind, Schadensfälle zu bearbeiten oder Systeme schneller zu korrigieren. Anhand dieser Vergleiche können Sie auch herausfinden, ob Sie - wie die Medibank - lieber auf eine Vollkaskoversicherung verzichten und zumindest einige Verluste in Kauf nehmen.

3. Seien Sie sich bewusst, dass die Versicherer aktive Akteure im Bereich der Cybersicherheit sind

Versicherer sind nicht einfach nur passive Risikoübernehmer. Viele werden Ihre Sicherheitslage abfragen, bevor sie an Bord kommen. Sie können Pen-Tests und Port-Mapping durchführen, um Schwachstellen zu bewerten, Ihre Reaktion auf Vorfälle zu überprüfen und über Bedrohungen zu berichten, die speziell für Ihren Sektor gelten. Einige von ihnen können eine Eskalation von Angriffen verhindern, indem sie Bedrohungen analysieren und Daten austauschen, oder sie übernehmen die Führung bei Lösegeldverhandlungen oder bei der Kontaktaufnahme mit Kunden.

4. Risikomanagement durch einen hybriden Ansatz, wo dies angemessen ist

Verschiedene Versicherungsstufen können für verschiedene Unternehmen geeignet sein. Eine geringere Deckung und ein besseres Risikomanagement durch bessere Abwehrmaßnahmen oder die Inanspruchnahme konzerneigener Versicherer (firmeneigene Versicherungsgesellschaften, die zum selben Unternehmen gehören) können eine bessere Möglichkeit sein, die Prämien zu verwalten und die Versicherung für den Fall zu reservieren, dass Sie sie wirklich brauchen.

Bei der Wahl eines Cyber-Versicherers geht es also nicht nur darum, Preise zu vergleichen, sondern eine Partnerschaft einzugehen. Und wie immer sollten Sie sich über die Grenzen und Möglichkeiten im Klaren sein, bevor Sie die Unterschrift auf der gepunkteten Linie leisten. 

Angesichts der zunehmenden Verbreitung von Ransomware ist eine Cyberversicherung ein Muss

Kein Unternehmen sollte eine Cyberversicherung als Ersatz für grundlegende Sicherheitsmaßnahmen betrachten, und angesichts der zunehmenden Ransomware-Bedrohungen müssen Organisationen zumindest einen Teil der Verantwortung für ihre Sicherheitslage übernehmen. Und obwohl Sie auf steigende Prämien und Ausschlüsse achten sollten, sollte die Cyberversicherung ein wesentlicher Bestandteil Ihrer Sicherheitsstrategie sein. Wenn die Zeitspanne lang genug ist, wird jeder irgendwann durchbrochen. Eine Cyberversicherung bietet Schutz für den schlimmsten Fall, und der richtige Partner kann ein wichtiger Verbündeter im langen, einsamen Kampf gegen die Cyberschurken sein.