E-Mail-Sicherheit

    Cyber-Risiko, Cyber-Versicherung und die Kosten von Unterbrechungen

    So sieht es mit der Cyberversicherung aus.

    by Michael Madon
    gettyimages-860508768.jpg

    Unternehmen, die eine Cyberversicherung abschließen, beklagen sich manchmal darüber, dass sie nicht wissen, was sie kaufen, was sie abdeckt und was nicht, wie sie im Vergleich zu den Angeboten der Konkurrenz abschneidet und was sie wirklich wert ist.

    Ein Ovum-Bericht, der von FICO in Auftrag gegeben wurde, berichtet, dass nur ein Viertel der Führungskräfte und leitenden Sicherheitsbeauftragten der Meinung ist, dass die Prämien das Risikoprofil ihres Unternehmens genau widerspiegeln. Noch weniger hielten die Preisgestaltung von Cyber-Haftpflichtversicherungen für "klar und transparent." Zusätzlich zu diesen Faktoren kann die Einführung von Cyber-Versicherungen als praktikable Option für Unternehmen sogar noch mehr Anreize für Bedrohungsakteure schaffen, durch bösartige Angriffe Schaden anzurichten.

    Es gibt langfristige Lösungen, um die Intransparenz bei der Preisgestaltung von Cyber-Versicherungen zu verringern, aber auch die Sichtweise des Versicherers in Bezug auf das zusätzliche Bedrohungsrisiko sollte berücksichtigt werden.

    Die Frage des Cyber-Versicherungsanbieters: Welche Risiken gehen wir ein?

    Wenn neue Versicherungsmärkte entstehen, stehen die Versicherer in der Regel vor der Herausforderung, das Risiko auf der Grundlage begrenzter historischer Daten zu quantifizieren und zu bewerten. Bei Cyber-Versicherungen ist dies ein besonders ärgerliches Problem, da viele Angriffe traditionell nicht gemeldet wurden. Wie Deloitte anmerkt, verlangen die Regierungen jetzt eine Meldung, wenn personenbezogene Daten offengelegt werden. Andere Angriffe, die ein großes Cyber-Risiko darstellen, können jedoch immer noch unter dem Radar fliegen.

    Selbst wenn ein Anbieter von Cyber-Haftpflichtversicherungen seinen historischen Daten vertraut, ändern sich Bedrohungen schnell. Frühere Schadensfälle und Straftaten sind möglicherweise nicht so aussagekräftig, wie es die Versicherer gerne hätten. Darüber hinaus können sich Cyber-Risiken kumulieren. Es ist eine Sache, einen Schaden durch ein Eindringen in die Rechenzentren eines Unternehmens zu decken. Wenn jedoch eine öffentliche Cloud, die 1.000 Versicherungsnehmern dient, kompromittiert wird, sieht sich der Versicherer einer radikal höheren Haftung gegenüber.

    Die Kosten der Cyber-Haftpflichtversicherung verwirren

    Jeder Cyber-Versicherungsanbieter muss Risiken wie diese selbst einschätzen. Ihre Einschätzungen variieren, was zu bedeutenden Unterschieden bei den Prämien für Cyber-Haftpflichtversicherungen und den Versicherungsbedingungen führt, und was als echte Störung der Geschäftstätigkeit der Kunden angesehen wird. Sinnvollerweise schützen sich die Versicherer, indem sie versuchen, ihre Risiken genau zu definieren und sich auf die Cyber-Risiken zu konzentrieren, über die sie die besten Informationen haben.

    Dementsprechend befassen sich viele Policen mit der Gefährdung durch personenbezogene Daten und versprechen, für definierbare Ausgaben wie die Überwachung der Kreditwürdigkeit von Kunden zu zahlen. Für andere wichtige Cyber-Risiken wie Rufschädigung oder Verlust von geistigem Eigentum bieten sie jedoch möglicherweise nur eine begrenzte Deckung. Diese Deckungskomponenten sind entscheidend, um die langfristigen Störungen, die nach einer Sicherheitsverletzung unweigerlich auftreten, zu definieren und zu bewältigen.

    Bedenken Sie insbesondere die Frage der Fahrlässigkeit. Wie Nemertes Research darlegt, behält sich ein Versicherer oft das Recht vor, einen Anspruch abzulehnen, wenn er feststellt, dass der Schaden durch Fahrlässigkeit des Versicherungsnehmers verursacht wurde. Die Versicherer und die einzelnen Policen unterscheiden sich jedoch darin, wie sie Fahrlässigkeit definieren und wessen Fahrlässigkeit ein Grund für die Zahlungsverweigerung sein kann. Ein eng verwandtes Thema ist Ransomware.

    Kostspielige Ransomware-Angriffe sind oft von Cyber-Haftpflichtversicherungen ausgeschlossen und entstehen oft durch die Unachtsamkeit eines Mitarbeiters, der auf eine bösartige E-Mail oder einen Weblink klickt. Bei der Zeichnung von Versicherungspolicen würden Cyber-Versicherungsunternehmen idealerweise das Verhalten der Mitarbeiter eines Kunden als Teil seines Risikoprofils bewerten, was sich jedoch als schwierig erwiesen hat. Dies verdeutlicht, wie wichtig es ist, das Potenzial eines Hackers zu verstehen, der Anreize schafft; Risikoprofile müssen unter Umständen die erhöhte Wahrscheinlichkeit einer Sicherheitsverletzung berücksichtigen.

    Die Lösung: mehr Klarheit über das Cyberversicherungsrisiko

    Glücklicherweise ist die Antwort sowohl für Cyber-Versicherer als auch für ihre Kunden dieselbe: mehr Klarheit über Cyber-Risiken und wirksamere Maßnahmen zur Verringerung menschlicher Fehler, die die meisten Sicherheitslücken verursachen oder zu ihnen beitragen.

    Am besten eignet sich eine Plattform, die Unternehmen verwertbare, aktuelle Daten darüber liefert, wie gut ihre Mitarbeiter nahezu allen aktuellen Cyberangriffen widerstehen können, und die ihnen dabei hilft, bestimmte Risikobereiche zu identifizieren, schnell Abhilfe zu schaffen, Verhaltensänderungen zu bewirken und die Ergebnisse zu verfolgen. Diese Plattform sollte auch mit innovativen Versicherern zusammenarbeiten, die diese Datensätze nutzen wollen, um Risiken genauer zu kalkulieren und attraktivere, kostengünstigere Policen zu entwickeln.

    Es gibt sogar neue Zertifizierungen mit strengen Kriterien, die Unternehmen dabei helfen sollen, fundierte Entscheidungen im Bereich der Cybersicherheit zu treffen und mehr Klarheit und Vertrauen bei der Navigation auf dem komplexen Markt für Cybersicherheit zu haben. Versicherer sollten bei der Bewertung von Cybersicherheitslösungen potenzieller Kunden auf folgende Kriterien achten:

    • Reduzierung des Cyber-Risikos : nachgewiesene Fähigkeit zur Bewältigung größerer Cyber-Risiken für Unternehmen wie Datenschutzverletzungen, Diebstahl oder Korruption, Betriebsunterbrechung oder Cyber-Erpressung.
    • Leistungskennzahlen: Nachweisliche Fähigkeit zur quantitativen Messung und Berichterstattung über Faktoren, die die Häufigkeit oder Schwere von Cyber-Ereignissen verringern.
    • Viability: client-use cases and successful implementation.
    • Effizienz: Nachgewiesene Fähigkeit der Nutzer, das Produkt erfolgreich zu implementieren und seine Verwendung zu steuern, um Cyberrisiken zu verringern.
    • Flexibilität: breite Anwendbarkeit für eine Reihe von Unternehmen/Branchen.
    • Differenzierung: Unterscheidungsmerkmale und Eigenschaften.

    Diese Kriterien stellen die erste Cyber Catalyst by MarshSM-Auszeichnung dar. Lesen Sie mehr über das Bewertungsprogramm und seine Vorteile hier .

    Seit Jahrhunderten hat die Versicherung die Unternehmen gestärkt, indem sie neue Formen von Risiken besser beherrschbar gemacht hat. Wenn wir mehr Klarheit über das menschliche Risiko gewinnen und bessere Wege zu seiner Verringerung aufzeigen können, kann die Cyberversicherung im digitalen Zeitalter eine ebenso wichtige Rolle spielen. Die Quantifizierung und Verringerung menschlicher Fehler ist schwierig, aber entscheidend.

    Abonnieren Sie Cyber Resilience Insights für weitere Artikel wie diesen

    Erhalten Sie die neuesten Nachrichten und Analysen aus der Cybersicherheitsbranche direkt in Ihren Posteingang

    Anmeldung erfolgreich

    Vielen Dank, dass Sie sich für den Erhalt von Updates aus unserem Blog angemeldet haben

    Wir bleiben in Kontakt!

    Zurück zum Anfang