Die Cyber-Versicherung, oder: Wenn digitaler Fortschritt zu analoger Unsicherheit führt
Was bedeuten Cyber-Risiken und was kann eine Cyber-Versicherung leisten, um diese Risiken abzuwenden? Das ist eine Frage, die bei mittelständischen Unternehmen noch immer Unsicherheit hervorruft. In einem zweiteiligen Gastbeitrag widmet sich Sebastian Hess, Cyber Risk Engineer bei AIG, diesem Thema.
- Die Cyber-Versicherung, oder: Wenn digitaler Fortschritt zu analoger Unsicherheit führt
- Sicherheit und Versicherung – ein komplexes Konstrukt
Vor kurzem habe ich mit einem mittelständischen Unternehmen über das Thema „Cyber“ gesprochen. Cyber – oder besser: Cyberkriminalität, Cyberrisiko, Cybererpressung, und und und – fast könnte man sagen, es handle sich hierbei um ein Kunstwort, voller Inhalt und gleichzeitig so leer – wissen viele doch eigentlich gar nicht mehr, was wortwörtlich „dahinter“ steckt. Daher lassen Sie uns mit einem kurzen Exkurs in die Geschichte dieses heute so viel genutzten Begriffs beginnen:
Anzeige
Das Wort „Cyber“ stammt ursprünglich aus dem Altgriechischen und bedeutet nichts anderes als „Steuerung“. Damals bezeichnete es noch die Kunst des Seefahrers, ein Schiff navigieren zu können. Im wissenschaftlichen Kontext traf man erstmals in der Mathematik, um genauer zu sein in der „Kybernetik“, auf das Wort Cyber. Von da an blieb der Begriff verbunden mit Zahlen, Daten und spätestens seit dem Super-Computer „Cyber“ schlussendlich auch mit dem World Wide Web.
Es wird also relativ schnell deutlich, dass es von hier aus nicht mehr weit zu den oben bereits genannten Begriffen ist. Cyberkrieg, Cyberbedrohung,… Bekommt also das Wort „Cyber“ automatisch eine negative Assoziation? In der Tat steht die Frage im Raum, ob mittlerweile von dem einst so fortschrittlich anmutenden Wort ausschließlich eine Bedrohung ausgeht; oder ob andere Faktoren wie das Internet selbst, die damit verbundene Digitalisierung und letzten Endes Menschen, die sich eben diese Entwicklungen zum negativen Nutzen gemacht haben, den Begriff „Cyber“ einen Totenschädelstempel aufgedrückt haben. Schlussendlich wird es wohl eine weitere Abhandlung zu dieser Frage geben müssen, hier und heute werden wir sie nicht beantworten können.
Vielmehr möchte ich jetzt, da die Voraussetzungen eines Verständnisses für die Wörtlichkeit selbst geschaffen sind, zurück zu meiner anfänglichen Aussage kommen: Der besagten Unterhaltung mit dem mittelständischen Unternehmen. Klar wurde auch hier: „Cyber“ wird als Risiko wahrgenommen; die Vernetzung der gesamten Unternehmensdaten über IT und sonstige Netzwerke brachte Schwachpunkte mit sich, die Kriminelle sich zu Nutze machen und dem Unternehmen großen wirtschaftlichen Schaden bringen könnten. Als Cyber-Risiko-Ingenieur sprach ich daher mit den Verantwortlichen über die Sinnhaftigkeit und Relevanz einer Cyber-Versicherung; einer Sicherheit für den Fall der Fälle.
Ich gebe zu: Bereits zu Anfang war ich über deren eingehenden Gedanken gleichermaßen verwundert wie überrascht, waren diese doch ganz nach dem Motto: "Wenn wir eine Cyber-Versicherung kaufen, müssen wir nicht mehr in ein Cyber-Sicherheitsprogramm investieren...wir werden schließlich versichert sein“. Auch wenn eine solche Erklärung nur selten abgegeben wird und sicherlich nicht von einer Organisation kommt, die einen gewissen Grad an Cyber-Reife erreicht hat, hat mich diese Aussage doch ein wenig schockiert. Der Grund: Dieser Gedanke ist schlichtweg falsch.
Anzeige
Daraus lässt sich schlussfolgern: Nicht nur dem Begriff Cyber muss auf den Grund gegangen werden; einmal mehr zeigt sich die Relevanz einer Definition der Cyber-Versicherung selbst und der Frage, was sie kann – und ebenso wichtig: was nicht.
Sicherheit und Versicherung – ein komplexes Konstrukt
Was kann also eine Cyber-Versicherung und was nicht? Es scheint, als herrsche nach wie vor eine große Unsicherheit in der Sicherheitsgemeinschaft über eben diese Frage. In der Regel findet sich Wissen über einen solchen Versicherungsschutz auf der Seite des Enterprise Risk Managements eines Unternehmens; jedoch fehlt es noch viel zu oft an Verständnis für die Komplexität und Dynamik, die mit der Cybersicherheit und fortan mit dem effektiven Einsatz von Versicherungen einhergehen. Aus diesem Grund werde ich mich etwas später auch mit den tatsächlichen Deckungsteilen der Cyberversicherung befassen. Aber – kurz gesagt: – Die traditionelle Cyberversicherung zielt darauf ab, die finanziellen Auswirkungen eines Sicherheits- oder Datenschutzereignisses zu bewältigen.
Um allerdings zu verstehen, wie eine Cyber-Versicherung in sich aufgebaut ist, ist es sinnvoll, zunächst einen Blick auf die Grundlagen des Risikomanagements zu werfen.
Anzeige
Das Risikomanagement – und was daraus zu lernen ist
Risikomanagement ist in Gänze ein recht komplexes Thema, zu dem zahlreiche Literatur vorzufinden ist. Ich möchte mich daher vornehmlich auf die Elemente konzentrieren, die für das richtige Verständnis einer Cyber-Versicherung hilfreich sind.
Das Unternehmensrisikomanagement umfasst die Auseinandersetzung mit verschiedenen Aspekten des Risikos, welches für ein bestimmtes Unternehmen besteht; seien es rechtliche, finanzielle, regulatorische oder operationelle Risiken – um nur einige zu nennen. Cyberrisiken fallen dabei häufig in die Kategorie der operationellen Risiken; aber auch andere Kategorien, z.B. rechtliche Risiken, sind betroffen. Man muss sich nur die großen veröffentlichten Datenverstöße in den Nachrichten dieser Tage ansehen, um das entsprechende Risiko zu erkennen.
Ähnlich wie bei andersartigen Risiken, ist es auch bei Cyberrisiken ratsam, diese nicht nur aus einer einmaligen, sondern vielmehr kontinuierlichen Perspektive zu betrachten. Dies führt zu dem bekannten Zyklus der Bestimmung einer aktuellen Risikohaltung durch die Betrachtung
- a) der Wahrscheinlichkeit von Cyber-Bedrohungen und deren Auswirkungen sowie
- b) der aktuellen Sicherheitsmaßnahmen.
Je nachdem, wie hoch die interne Risikobereitschaft angesiedelt ist, liegen bestimmte Risiken entsprechend über einem gewissen Grenzwert und müssen durch zusätzliche Kontrollen abgemildert werden. Sobald dieser Zyklus abgeschlossen ist, wird er fortlaufend ausgeübt. Es liegt jedoch in der Natur aller Risiken, dass sie kaum vollständig ausgemerzt werden können. Das heißt, es besteht immer ein Restrisiko. Und hier schließt sich der Kreis, denn: Dieses Restrisiko kann entweder akzeptiert, weiter gemindert oder aber auf einen Cyberversicherer übertragen werden. Einer der Hauptvorteile einer solchen Versicherung, insbesondere der Cyber-Versicherung, besteht darin, dass sich der Return-of-Investment durch immer mehr Kontrollen (sei es in Form von Technologie oder Personen) verringert und der Einsatz von Versicherungen zum Risikotransfer insgesamt zu einer größeren Risikominderung für ein Unternehmen führen kann.
Cyberrisiken unterscheiden sich von anderen versicherbaren Risiken
Weiterhin ist es wichtig zu verstehen, dass Cyberrisiken zwar jede Menge mit anderen, uns bekannten Risiken gemein haben, uns gleichwohl allerdings auch vor Herausforderungen stellen, in denen sie sich deutlich von anderen Risiken unterscheiden. So ist es einerseits schwierig, Cyberrisiken objektiv zu senken. Hierzu ein Beispiel: Startet man den Versuch, die Entstehung oder Ausbreitung von Bränden zu verhindern, kann man ganz bestimmte Dinge tun, um die Ausbruchwahrscheinlichkeit eines Brandes zu begrenzen – die Installation von feuerfesten Materialien, Sprinkleranlagen oder Brandschutztüren beispielsweise. Die Durchführung dieser Maßnahmen senkt in der Folge das Brandrisiko für das damit ausgestattete Gebäude. Werden also anschließend ähnliche Maßnahmen für andere Gebäude ergriffen, verringert sich auch hier die Brandgefahr. Es handelt sich bei der ersten Überlegung also um Sachgegenstände, deren Risiken ganz ohne Probleme objektiv eingeschätzt werden können.
Will man dieses Prinzip nun im Cyberraum anwenden, merkt man schnell: Dieses Konzept funktioniert hier nicht. Warum? Ganz einfach: Die Wahrscheinlichkeit, selbst Opfer eines (gezielten) Angriffs zu werden, hängt von mehreren Faktoren ab. Erstens von der eigenen Verteidigung und zweitens von der Verteidigungsqualität der Anderen, einschließlich der Organisationen, von denen Sie selbst wiederum abhängig sind (Outsourced Service Provider und Supply Chain Exposure). Hat ein Angreifer beispielsweise die Wahl zwischen mehreren Banken, könnte er diejenige wählen, die über die wenigsten oder am leichtesten zu überwindenden Sicherheitskontrollen verfügt. Und sitzen Sie nicht dem Trugschluss auf, dass Ihre Organisation in diesem Fall geschützt ist, nur weil Sie momentan umfassende Sicherheitskontrollen implementiert haben! Es geht darum, darüber nachzudenken, wie andere in Ihrer Peer Group geschützt sind: Sie können also was Cybersicherheit betrifft in eben dieser Peer Group führend sein. Sollten jedoch alle anderen in dieser Gruppe in zusätzliche Sicherheitskontrollen investiert haben, könnten Sie im Umkehrschluss zur einfachsten Zielscheibe werden.
Darüber hinaus – andererseits – stellt das sogenannte Paradigma des Assumed Breach eine einzigartige Wendung in der traditionellen Idee des Risikomanagements dar: Ist ein unerwünschtes Ereignis bereits eingetreten und wir wissen, dass diese Ereignisse regelmäßig auftreten können, besteht die Herausforderung darin, zu bestimmen, wie schädlich das Ereignis ist und wie man darauf zu reagieren hat. Die notwendigen Maßnahmen können von einer simplen Änderung der Firewall bis hin zu dem meist aufwändigen Versuch reichen, einen Datenklau oder eine Betriebsunterbrechung zu verhindern.
Last but not least unterscheiden sich Cybervorfälle besonders auch in ihrer Häufigkeit deutlich von anderen Risiken. Auch hier hilft ein Beispiel zum besseren Verständnis: Ein Gebäude kann in der Regel nur einmal abbrennen; und auch die Wahrscheinlichkeit, von einem Erdbeben oder einer Überschwemmung betroffen zu sein ist je nach Standort etwas deterministisch. Cyberrisiken aber wirken diesem Ansatz fast entgegen, basieren sie doch nicht auf äußeren Einflüssen, sondern sind schlussendlich vom Menschen verursachte Risiken. Aus diesem Grund ist die Suche nach Mustern in der Vergangenheit schlichtweg nur eingeschränkt in der Lage, zukünftige Ereignisse vorherzusagen.
Anzeige
Welches Sicherheitskonstrukt bietet also überhaupt eine passende Lösung für diese schier unzähmbaren Cyberrisiken? Dies wird Thema im zweiten Teil meines Beitrages sein, den Sie morgen beim Versicherungsboten lesen werden.
- Die Cyber-Versicherung, oder: Wenn digitaler Fortschritt zu analoger Unsicherheit führt
- Sicherheit und Versicherung – ein komplexes Konstrukt