Cyber-Angriffe können mit enormen Verlusten für ein Unternehmen verbunden sein – vom Produktionsausfall über den Diebstahl sensibler Daten und Know-How bis hin zum Imageschaden und persönlichen Konsequenzen für Führungskräfte. Trotzdem ignorieren viele deutsche Firmen das Thema Cyber-Versicherung immer noch. Laut Spezialversicherer Hiscox sind mehr als ein Drittel der Unternehmen aus Deutschland bisher nicht an einer Cyber-Versicherung interessiert.
Unternehmen in Sachen Cyber-Versicherung rückständig
Besonders kleine und mittelständische Unternehmen hinken bei Cyber-Angriffen in Sachen Versicherungsschutz hinterher. 2017 hatten laut Gothaer Versicherung nur neun Prozent der KMU einen Cyber-Schutzbrief. Und das, obwohl durch die hohe IT-Durchdringung in den Infrastrukturen seit Jahren sowohl die Cyber-Risiken auch als auch das Bewusstsein in den deutschen Führungsetagen wachsen. So befand auch Soprasteria Consulting in der letzten Studie zu Digital Security 2017, dass die „digitale Sorglosigkeit bei Vorständen auf dem Rückzug“ sei. Lars Rautenburger, Leiter der Business Unit Insurance bei Sopra Steria, berät regelmäßig Unternehmen bezüglich Cyber-Versicherungen:
„Auch für mittelständische Unternehmen sind Cyber-Policen relevant. Bestehende Versicherungen enthalten regelmäßig Ausschlüsse für Cyber-Risiken, so dass eine zusätzliche Absicherung erforderlich ist. In Deutschland ist diese Versicherung noch relativ neu, in den USA dagegen entwickelte sie sich bereits zu einer weit verbreiteten Versicherungsform.“
Laut Gothaer schätzen 34 Prozent der deutschen Unternehmen ihre Computersysteme und Daten als wertvollsten Bereich ihres Unternehmens ein. Nur zum Vergleich: An zweiter Stelle nennen 23 Prozent der Firmen ihre Gebäude. So sehen auch rund ein Drittel der kleinen und mittelständischen Unternehmen in Deutschland Cyber-Risiken, wie einen Hacker-Angriff oder einen Datendiebstahl, als eine der größten Gefahren für ihr Geschäft.
Cyber-Versicherung: unübersichtlicher Markt und verunsicherte Entscheider
Diese Sorge ist mehr als berechtigt. Immerhin richten sich laut Symantec Security Report 43 Prozent der Cyber-Angriffe gegen kleine Unternehmen, weil diese oft leichtere Ziele sind. Besonders erschreckend ist dabei, dass sich mehr als die Hälfte der betroffenen Firmen finanziell nicht mehr wieder von einem Angriff erholt. Wieso also nicht versichern, wenn man es nicht verhindern kann?
Weil noch immer enorme Unsicherheit darüber herrscht, welche Arten von Attacken es aktuell in der eigenen Branche gibt und worauf man das eigene Unternehmen sich eigentlich einzustellen hat. Dieser Mangel an genauem Verständnis für Cyber-Risiken, gepaart mit unübersichtlichen Versicherungsoptionen, unreifen Produkten und den mitunter unerschwinglichen Raten, wirkt eher abschreckend auf potenzielle Versicherungsnehmer.
Immer mehr Anbieter wittern sowohl den Sicherheitsbedarf, als auch die Unsicherheit der Führungskräfte. Sie versuchen sich mit allen Mitteln in den stetig wachsenden Cyber-Versicherungsmarkt zu drängen. Doch gerade neuen Marktteilnehmern fehlt es an Erfahrungen, auf deren Grundlage sie das Cyber-Risikoprofil eines Unternehmens realistisch bewerten können. Das führt zu hohen Prämien, geringer Deckung sowie vielen Ausschlüssen – und das wiederum zu Vorbehalten gegenüber Cyber-Versicherungen.
Neue Ansätze im Cyber-Versicherungsmarkt
Einen spannenden Ansatz verfolgen daher amerikanische Versicherer mit dem Hacker-Netzwerk „HackerOne“. Die Whitehat-Hacker, also „gute Hacker“, testen im Auftrag verschiedener Cyber-Versicherungen die IT-Sicherheit von deren Kunden. Unternehmen die sich für die freundlichen Hackerangriffe zur Verfügung stellen, erhalten dafür sogar Vergünstigungen. Eine andere neue Cyber-Risikomanagementlösung haben gerade auch Cisco, Apple, Aon und die Allianz-Versicherung angekündigt. Das Angebot kombiniert Sicherheits-Technologien von Cisco und Apple mit einem Cyber-Versicherungsschutz der Allianz.
Wie sinnvoll solche kombinierten Sicherheits-Lösungen sind, mag noch dahin gestellt sein. Sicher ist aber, dass Cyber-Versicherungen durchaus als Baustein eines starken Cyber-Securitykonzeptes dienen können. Ein vielfältiger, standartisierter, transparenter und stabiler Cyber-Versicherungsmarkt wird also immer wichtiger für die tragfähige Cyber-Sicherheitsstrategie von KMUs.
Die eigentliche Aufgabe geeignete technisch und fachlich wirksame Sicherheitsmaßnahmen zu ergreifen, um so Schäden zu verhindern oder zumindest so gering wie möglich zu halten, bleibt Aufgabe des Versicherungsnehmers.
IT-Sicherheitsvorfälle sind immer kostspielig
Laut des Deloitte Cyber Report beziffern sich die durchschnittlichen Kosten für einen Cyber-Angriff auf mittlere und große Unternehmen auf rund 700.000 Euro. Den Schaden für KMUs schätzt Kaspersky Lab auf durchschnittlich rund 50.000 Euro. Dazu gehören Kosten für die Wiederherstellung von Daten und IT-Systemen, mögliche Vertragsstrafen, Haftungsfälle, Imageschäden, Kunden- und Umsatzverluste, Personalkosten, Bußgelder und Strafverfahren. Hier stellen Cyber-Versicherungen einen wichtigen Risikotransfer-Mechanismus da. Unternehmen, die Prämien in eine Versicherung einzahlen, teilen sich bei einem Angriff sozusagen das Verlustrisiko .
Was Unternehmen nicht übersehen sollten – wir sprechen hier über eine Versicherung für den konkret eingetretenen Schaden. Dieser ist im Zweifel monetär begrenzt, denn der wirkliche Schaden (Imageverlust, Unsicherheitsgefühl der Kunden, etc.), ist meist um ein Vielfaches größer und kurzfristig auch kaum zu beheben.
Cyber-Versicherungen decken aber nicht nur Kosten, sondern motivieren Unternehmen zusätzlich, ihre Sicherheitspraktiken zu überdenken und zu verbessern. Oft sind Anspruchsberechtigung für Versicherungen oder Vorzugspreise davon abhängig, ob der Versicherte empfohlene Sicherheitsmaßnahmen berücksichtigt wurden und/oder Zertifizierungen bestehen. Versicherte müssen sich also auch darauf einstellen, dass ihre Versicherung verlangen wird, bestimmte Richtlinien, Verfahren und Technologien zu implementieren. So bleiben sie schließlich abgedeckt.
Die Versicherung hilft erst, wenn „das Kind bereits in den Brunnen gefallen ist“. Versicherer werden die vorhandenen Schutzmaßnahmen gegen Cyberattacken künftig deutlich detaillierter überprüfen. Sicherungssysteme werden damit eine zwingende Voraussetzung für den Abschluss von Cyber-Versicherungen sein.
Fazit
Bislang ist es schwierig, sich einen Marktüberblick zu verschaffen. Zudem verfügen viele kleine Unternehmen noch nicht über ausreichend Budget. Wer eine Cyber-Versicherung in Erwägung zieht, dem sei ein seriöser Versicherer, der seit mehreren Jahren in der Cyber-Versicherungsbranche tätig ist, empfohlen. Wer dagegen bereits versichert ist, sollte alle sechs Monate bei Google News nach seinem Cyber-Versicherungsanbieter suchen, um auch sicher über die eigene Abdeckung auf dem Laufenden zu bleiben.
everythingpossible/stock.adobe.com
Artikel per E-Mail verschicken
Schlagwörter: Allianz, Cisco, Cyber Insurance, Cyber Police, cyber-attacke, hackerone, Lars Rautenburger, Sopra Steria Consulting