Cyber-Versicherungen – der jetzige Stand
Die Folgen von Cyber-Angriffen abmildern
Die Zahl und Schwere der Angriffe mit Ransom- und anderer Malware steigt ständig – und Cyber-Versicherungen müssen ihre technische Ausstattung und ihr Geschäftsmodell daran anpassen, wenn sie sich nicht selbst überflüssig machen wollen. Was hat sich in letzter Zeit in der Branche getan?
Im digitalen Zeitalter ist es fast an der Tagesordnung, dass Unternehmen Opfer von Cyber-Angriffen werden. Die Komplexität der Angriffe nimmt kontinuierlich zu. Unternehmen müssen sich strukturiert mit dem Thema auseinandersetzen und die Notwendigkeit der Investitionen in die Cybersecurity genau evaluieren. Dies gilt ebenso für die Frage nach dem Risikotransfer. Die Zeiten, in denen Cybersecurity und Cyber-Versicherung aus Sicht des Managements getrennt behandelt wurden, sind vorbei.
Cyber-Versicherung und Cybersecurity – worin liegen die Unterschiede?
Beide verfolgen im weitesten Sinne dasselbe Ziel: Schutz vor Cyber-Angriffen. Die konkrete Ausgestaltung und Zielsetzung sind jedoch unterschiedlich. Cyber-Versicherungen dienen dem Schutz von Unternehmen vor finanziellen Verlusten infolge von Cyber-Angriffen. Risikomanager kümmern sich um den Abschluss solcher Versicherungen, was bedeutet, dass dieser Prozess auf Managementebene stattfindet und eher als passiver Schutz dient.
Cybersecurity dagegen setzt auf der IT-Ebene an und schützt beispielsweise Daten, Software und Hardware vor Angriffen. Im Gegensatz zur Versicherung sind hier IT-Sicherheitsspezialisten zuständig, die sich aktiv darum bemühen, Bedrohungen abzuwehren und den täglichen Betrieb aufrechtzuerhalten.
In Bezug auf Versicherungen haben sich die IT-Sicherheitsexperten bisher eher kritisch geäußert: Cyber-Versicherungen wurden mit herkömmlichen Versicherungen gleichgesetzt, was dazu führte, dass die sehr branchenspezifischen Umstände nicht vollständig in den Versicherungstarifen berücksichtigt wurden. Auch wurden bereits bestehende Cybersecurity-Programme nicht vollständig bedacht, was zu einer Einstufung in eine niedrigere Risikoklasse geführt hätte. Insgesamt wurde die Cybersecurity klar vom Versicherungseinkauf getrennt.
Mittlerweile sind die Übergänge fließend, und eine Zusammenarbeit zwischen beiden Sicherheitsdispositiven ist gang und gäbe. Denn eines ist klar: Je umfassender die Cybersecurity ausgebaut ist, desto geringer ist das Risiko, Opfer eines Cyber-Angriffs zu werden, und desto geringer sind die Kosten im Falle eines Angriffs, weil der entstandene Schaden geringer ausfällt. Aus Unternehmenssicht ist es daher sehr sinnvoll, beide Aspekte im Kontext zu sehen, eine Strategie zu erarbeiten, die sowohl Cybersecurity als auch Versicherung umfasst, und entsprechend zu investieren.
Synergien bilden – beide profitieren
Die Verschmelzung der beiden Bereiche hat auch ihre Grenzen. Denn für Versicherer und ihre Underwriting-Prozesse sind Kennzahlen wie der Umsatz nach wie vor ein sehr wichtiger Faktor, der die Risikoeinstufung eines Unternehmens beeinflusst - unabhängig von den Cybersecurity-Maßnahmen.
Dennoch sollten sich Unternehmen und ihre Sicherheitsexperten im Kampf gegen Cyber-Angriffe nicht allein gelassen fühlen. Wenn Versicherer und Cybersecurity-Unternehmen zusammenarbeiten, können beide ihre Ziele erreichen: Die Sicherheitsunternehmen erhalten vergünstigte Tarifkonditionen und erreichen ihre Sicherheitsziele. Versicherer bekommen Einblicke in die Praxis und können ihre angebotenen Dienstleistungen und Versicherungsleistungen optimieren.
Es handelt sich um einen kontinuierlichen Verbesserungs-, Entwicklungs- und Investitionsprozess, um auf komplexe Cyber-Angriffe vorbereitet zu sein und keinen Schaden zu erleiden.
Insurtech ist der »Gamechanger«
Zahlreiche Ransomware-Angriffe haben zu einem Wandel in der Cyber-Versicherungsbranche geführt. Die bisher etablierten Tarifmodelle wurden um neue Erkenntnisse auf Datenbasis erweitert. Daraus resultieren aktualisierte Anforderungen an den Versicherungsschutz, die aus den vergangenen Sicherheitslücken entwickelt wurden und nun fest in die Leistungen integriert sind. Inzwischen gibt es Insurtech-Startups, die die Bewertung von Sicherheitsprogrammen vollautomatisch durchführen können. Dadurch wird das Underwriting für die Versicherer wesentlich vereinfacht, Risikoberichte werden detailliert aufgelistet, und darauf aufbauend können zusätzliche Versicherungsleistungen angeboten werden. Das enorme Potenzial dieser Bewertungstools erweist sich als entscheidend, um auf dem heutigen Markt bestehen zu können.
Der Insurtech-Ansatz hat auch dazu geführt, dass Cyber-Versicherung und Cybersecurity näher zusammengerückt sind. Wo früher ein Chief Information Security Officer (CISO) stur lange Checklisten zu IT-Sicherheitssystemen abarbeitete, kann er heute als eine Art Berater bei der Risikobewertung fungieren. Er arbeitet mit Versicherern oder Maklern zusammen und kann gemeinsam aktuelle Policenänderungen vornehmen.
Die Erkenntnis, dass Cybersecurity-Teams und Versicherer ähnliche Ziele verfolgen und von einer Zusammenarbeit profitieren können, hat die Branche grundlegend verändert.
Der Autor:
Oliver Delvos ist Head of International und Deutschland-Geschäftsführer der international tätigen Cyber-Versicherung Corvus.
Lesen Sie mehr zum Thema
