Was ist eine Cyber-Versicherung? Und was ist sie nicht?
In einem zweiteiligen Gastbeitrag widmet sich Sebastian Hess, Cyber Risk Engineer bei AIG, dem Thema Cyber-Versicherung und dem Absicherungsbedarf mittelständischer Unternehmen. Im ersten Teil hat Hess erklärt, wo der Begriff "Cyber" herkommt und weshalb sich Cyber-Risiken von anderen versicherbaren Risiken unterscheiden (hier nachzulesen). Nun geht es um die Frage, was eine Cyber-Versicherung eigentlich ist und welche Aufgaben sie erfüllen soll.
- Was ist eine Cyber-Versicherung? Und was ist sie nicht?
- Cyber-Versicherung: Worauf es wirklich ankommt
Im Kern ist die Cyber-Versicherung wie jedes andere Versicherungsangebot: Sie ermöglicht den Risikotransfer für Vermögensschäden einer Organisation in die Bilanz des Versicherers. Gleichwohl bietet sie auch einen wertvollen „Service“, indem Organisationen geholfen wird, den Prozess eines Schadenvorfalls mit Unterstützung eines starken spezialisierten Partners zu managen.
Anzeige
Sieht man sich nun den Stand der Unternehmen hinsichtlich einer solchen Absicherung genauer an, wird schnell klar: Zwar sind einige Organisationen bereits mit robusten Plänen für eine adäquate Reaktion auf Cyberangriffe ausgestattet und könnten – zumindest theoretisch – bei einem potenziellen Vorfall richtig reagieren; für die Mehrheit gilt dieser Status allerdings nach wie vor – leider – nicht. Eine ausführliche Auseinandersetzung mit dem Thema und der eigentlichen Bedrohung hat häufig noch nicht stattgefunden oder wird kurzerhand mit den Worten „So etwas passiert uns schon nicht“ oder „Unsere Daten sind viel zu unwichtig – was soll ein Hacker damit?“ zur Seite gewischt. Die tatsächliche Tragweite eines wirklichen Cyber-Vorfalls wird schlicht nicht erkannt.
Zudem ist weiterhin meist unbekannt, was die Cyber-Versicherung eigentlich mit sich bringt, ist sie doch mehr als eine Ein-Komponenten-Abdeckung. Durch eine diverse Reihe von Deckungsangeboten, die auf variable Weise zusammengestellt werden können, schafft der Abschluss einer entsprechenden Police Vorteile für die Versicherungsnehmer. Diese umfasst auch die Möglichkeit, die Deckung kundenzentriert anzubieten, um so der individuellen Kaufstrategie des Kunden zu entsprechen.
Erfahrene und qualitativ hochwertige Cyber-Versicherungsträger sind darüber hinaus in der Lage, bei Vorfällen einzugreifen und eine Reaktion zu koordinieren. Sie können Zugang zu einem Netzwerk von Experten anbieten, darunter spezialisierte Cyber Law- und Incident Response-Firmen, die bei der Bewältigung einer schwierigen Situation helfend zur Seite stehen. Die Erfahrung und die Philosophie der Schadenbearbeitung sollten bei der Auswahl des Anbieters von zentraler Bedeutung sein.
Auch kann die Cyber-Versicherung aus einer Kombination von First-Party- und Third-Party-Angeboten bestehen. Das bedeutet, Erstversicherungen reagieren auf die direkten Schäden und Kosten des Versicherten bei einem Cyber-Ereignis, während Drittversicherungen auf Ansprüche Dritter (z.B. Kunden und andere Betroffene) infolge eines Cyber-Ereignisses reagieren.
Anzeige
Die Abdeckung hat sich in den fast zwanzig Jahren ihres Bestehens stets weiter entwickelt und erweitert. Daher ist es wichtig, die Formulierungen der Cyber-Versicherung regelmäßig zu überprüfen, um sicherzustellen, dass die neuesten Deckungsangebote auf dem aktuellen Stand sind.
Cyber-Versicherung: Worauf es wirklich ankommt
Worauf kommt es nun aber beim Abschluss einer Cyber-Versicherung an? Hierfür sind zunächst zwei Prämissen ausschlaggebend:
- 1. Für Kunden ist es wichtig, die Bedrohung und die Auswirkungen eines Cyberunfalls auf ihre Organisation zu verstehen und anhand dieser Informationen zu bestimmen, welche der Deckungen sie wählen und wie viel Versicherungsschutz sie erhalten möchten.
- 2. Für Unternehmen gilt zudem, die Auswirkungen und Art der Schäden aus einem Cyber-Ereignis auf die verschiedenen Versicherungspolicen zu bewerten, um anschließend sicherzustellen, dass eine angemessene Deckung vorhanden ist und ihre Unternehmen geschützt sind.
Um den Kreis jedoch nun schließen zu können, ist es nicht nur wichtig zu verstehen, was eine Cyber-Versicherung ist, sondern eben auch was nicht. Dies ist nicht nur elementar, um einen versierten Blick auf das Konstrukt der Cyber-Versicherung werfen zu können und einen bestmöglichen internen Schutz zu gewährleisten, sondern auch, um das schlussendliche Angebot seitens des Versicherers nachvollziehen zu können.
Anzeige
Beginnen wir also mit dem ersten Punkt:
Grundsätzlich ist die Cyber-Versicherung kein Ersatz für ein unternehmenseigenes Cyber-Sicherheitsprogramm, welches im Sinne der Prävention und zur Eingrenzung potenzieller Gefahrenquellen obligatorisch sein sollte. Auch gleicht die Absicherung von Cyber-Risiken durch einen externen Partner die Abwesenheit guter interner Sicherheitskontrollen nicht aus. Diese sind zwingend notwendig, um Schlupflöcher für Cyber-Kriminelle weitestgehend zu verhindern. Heißt: Damit Unternehmen Cyberrisiken wirklich effektiv managen können, sollten sie sich auf beides konzentrieren.
Um den obigen Punkt nachvollziehbar zu unterstützen, lassen Sie uns kurz auf den eigentlichen Underwriting-Prozess für den Abschluss einer Cyber-Versicherung eingehen. Vor dem Abschluss einer Police prüft der Versicherer in der Regel die Qualität des Cybersicherheits-Rahmenwerks des anfragenden Unternehmens. Diese gewonnenen Informationen tragen deutlich zu den finalen Preisentscheidungen bei, einschließlich der Frage, welche Deckung angeboten wird. Zudem können sie dem Versicherer helfen zu bestimmen, wie hoch die Haftungsgrenze, der Selbstbehalt und die Prämie sein sollten.
Um nun auf die obigen Ausführungen zurückzukommen: Organisationen, die über schwache Informationen in Bezug auf Sicherheitsrichtlinien und -kontrollen verfügen, insbesondere in Verbindung mit der Schätzung einer hohen Risikowahrscheinlichkeit, werden höchstwahrscheinlich weniger günstige Deckungsbedingungen angeboten bekommen.
Rückschließend können also auch Versicherungspreise eine Hilfe für Unternehmen sein, ihre Stärken und Schwächen im Bereich der Cybersicherheit zu verstehen. Des Weiteren können solche Preise Entscheidungen über zukünftige Cybersicherheits-Investitionen und Minderungsmaßnahmen beeinflussen. Schlussendlich bedeutet dies: Unternehmen, die investieren und entsprechende Sicherungs-Maßnahmen einleiten, werden mit niedrigeren Versicherungsprämien belohnt. Auf diese Weise kann eine Versicherung wichtig sein, um wiederum die Widerstandsfähigkeit der Cybersicherheit zu erhöhen.
Cyber-Versicherung: Eine Lösung mit Blick in die Zukunft
Abschließend lässt sich zusammenfassen, dass eine Cyber-Versicherung letztendlich ein Mittel ist, welches das verbleibende Cyber-Risiko auf einen Versicherer überträgt.
In Zeiten voranschreitender Digitalisierung – egal ob auf privater oder unternehmerischer Ebene – wer kann da schon mit Überzeugung von sich behaupten, jegliches Cyber-Risiko gebannt zu haben? Selbst wenn alle Sicherheitskontrollen implementiert sind – ein Rest-Risiko bleibt immer bestehen.
Anzeige
Der Cyber-Versicherungsmarkt wächst, entwickelt sich weiter und ist in einer einzigartigen Position, um die Cybersicherheitsreife von Unternehmen zu erhöhen, indem er die Unternehmen identifiziert, die Best Practices implementieren. Wer diesen Artikel also liest und die Cyber-Versicherung in den letzten zwölf Monaten nicht evaluiert hat, sollte sich die Zeit nehmen, die Rolle der Versicherung in seinem Cyber-Sicherheitsprogramm kritisch zu betrachten.
- Was ist eine Cyber-Versicherung? Und was ist sie nicht?
- Cyber-Versicherung: Worauf es wirklich ankommt