Cyberrisiko: „Der Markt gerät mehr und mehr unter Druck“
Das dynamische Cyberrisiko wird noch immer unterschätzt. Kleine und mittlere Unternehmen sehen ihre Daten als nicht interessant genug an, um von Cyberkriminellen angegriffen zu werden, schreiben die HDI-Manager Christopher Lohmann und Lars Breitenstein bei VWheute. Dass dies ein Trugschluss ist, beweisen auch aktuelle Zahlen der Bitkom. Demnach wurden in den letzten zwölf Monaten nahezu neun von zehn Unternehmen von Cyberkriminellen angegriffen. Die monetären Leistungen einer Cyberversicherung seien nur eines von mehreren Elementen des Versicherungspakets. Assistance- und vor allem Präventionsleistungen rücken zunehmend in den Vordergrund. Ein Insiderbericht.
Voller Überzeugung boten Versicherer in der ersten Entwicklungsphase des Cybermarktes ihre Produkte an, die bereits ein umfassendes Paket an Serviceleistungen beinhalteten. Obwohl viele Unternehmen die existenzielle Bedrohung durch das Cyberrisiko durchaus sahen, kam der Cyberversicherungsmarkt aber nur schwer in Gang. Die Reaktion in der Startphase darauf war ein intensiver Bedingungs- und Preiswettbewerb. Mit der Zeit stieg kontinuierlich die Nachfrage und die Portfolios der Versicherer wurden größer.
Dann kam Corona. Im Zuge der Pandemie gewähren mehr Unternehmen ihren Mitarbeitenden Zugriff auf die Firmennetze von zu Hause aus und schufen damit auch neue Ansatzmöglichkeiten für Cyberangriffe. Marktweit ist in der Folge eine weitere Zunahme von Cyber-Angriffen zu verzeichnen. Daraus ergibt sich auch für Versicherer eine große Herausforderung, da sie sich schnell auf das geänderte Risikoumfeld anpassen müssen. Und inzwischen gerät der Markt mehr und mehr unter Druck. Kapazitäten werden zurückgenommen und Preissteigerungen sind zu erwarten. Auch aufgrund der zunehmenden Digitalisierung der Unternehmen, die durch die Corona-Pandemie einen weiteren Schub erhalten hat, ist dies eine logische Konsequenz. Denn mit der Abhängigkeit von der Technik steigt, steigt auch das Risiko.
Der Wettbewerb wird sich daher zukünftig nicht mehr nur auf die Komponenten Bedingungen und Preis konzentrieren. Präventionsdienstleistungen, die einen messbaren Einfluss auf die Schadeneintrittswahrscheinlichkeit haben, werden mehr und mehr in den Fokus rücken. Versicherer müssen und werden dabei Standards im Hinblick auf das Sicherheitsniveau setzen. In diesem Zusammenhang spielen neben den Risikodialogen auch zielgruppenspezifische Audits eine zunehmende Rolle.
Pro Tag entstehen rund 320.000 neue Schadcodevarianten
Präventionsdienstleistungen zur Schadenverhinderung bekommen somit einen neuen Stellenwert. Mit ihrem Beitrag zur Risikominderung werden sie zur unabdingbaren Voraussetzung, um Cyberversicherungen langfristig anbieten zu können. Nur mit entsprechenden Präventionsmaßnahmen, die auch immer wieder aktualisiert und angepasst werden müssen, ist das Cyber-Risiko versicherbar.
Eine Vielzahl verschiedener Angriffspunkte kann Hackern die Möglichkeit bieten, in die Systeme einzudringen. Auch wenn aufgrund des dynamischen Risikos immer auch eine individuelle Betrachtung des Unternehmens notwendig ist, werden von den Versicherern deshalb bestimmte Anforderungen an die Sicherheitsarchitektur vorgegeben, die jedes Unternehmen zu erfüllen hat. Ziel ist es dabei, das Sicherheitsniveau zu erhöhen und einen Mindeststandard an Cybersicherheit bei den Unternehmen zu etablieren. Ähnlich wie der Feuermelder bei einer Feuerversicherung sollte ein Unternehmen mit einer Cyberversicherung zum Beispiel ein funktionierendes Patchmanagement sowie einen aktuellen Virenschutz besitzen. Wie wichtig das ist, belegen die Schätzungen des Bundesamtes für Sicherheit in der Informationstechnik (BSI), die davon ausgehen, dass pro Tag circa 320.000 neue Schadcodevarianten entstehen.
Trotz aller Sicherheitsmaßnahmen – sei es technisch oder organisatorisch – kommt es immer wieder zu erfolgreichen Cyberangriffen. Dies zeigt, dass es eine 100-prozentige Sicherheit nicht gibt und verdeutlicht den Stellenwert einer Cyberversicherung zur Absicherung des Restrisikos. Cyberversicherungen leisten dabei nicht nur einen individuellen Beitrag für Unternehmen zur Risikominderung und -abfederung. Durch die intensive Diskussion zwischen Versicherern und Kunden werden Standards gesetzt, die die Cyberresilienz der Unternehmen nachhaltig erhöhen.
Durch wachsende Portfolios entsteht darüber hinaus mehr Transparenz über ein bisher schwer greifbares Risiko. Bisher wurde das volkswirtschaftliche Risiko von Cyber-Kriminalität nur näherungsweise ermittelt. Versicherer können hier auf der Grundlage ihrer Daten einen realistischen Blick ermöglichen. Tools wie der Security Baselinecheck helfen auf technischer Seite dabei, die richtigen Erkenntnisse zu gewinnen. Insgesamt machen Cyberversicherungen die Cyberrisiken transparenter und somit messbarer. Genau dieses Know-how gilt es zu nutzen und das Cyberprodukt sowie die Cybersicherheit voranzutreiben und weiterzuentwickeln.
Autoren: Christopher Lohmann, Vorsitzender des Vorstands der HDI Deutschland AG und Mitglied des Vorstands und CIO der Talanx AG; Lars Breitenstein, Produktmanager Cyber der HDI Versicherung AG.
Den vollständigen Beitrag lesen Sie in der aktuellen November-Ausgabe der Versicherungswirtschaft.