Cyber-Risiko-Prävention ist unerlässlich. Cyber-Versicherungen bieten deshalb mitunter ‚Notfall-Pläne‘ oder ‚Penetrationstests‘ innerhalb der Cyber-Police. Doch das sind oft „Marketing-Gimmicks“, warnt Dr. Florian Wrobel (COGITANDA). Cyber-Prävention und Cyber-Versicherungsschutz sollten gleichwertig behandelt werden, fordert er im Gastbeitrag.
Menschen sind von Natur aus neugierig, geben Vertrauensvorschuss, gehen Risiken ein und werden dadurch schnell zur größten Schwachstelle im Unternehmen. Wird die Belegschaft nicht regelmäßig geschult, fallen statistisch rund 30 Prozent aller Mitarbeiterinnen und Mitarbeiter eines Unternehmens schon auf einen relativ simpel gemachten Phishing-Angriff herein. Aus Unwissenheit und Sorglosigkeit werden Informationen preisgegeben oder Links und Anhänge in E-Mails geöffnet, ohne zuvor die E-Mail und ihre Details sorgfältig geprüft zu haben. Die durch den Klick auf einen Link oder das Öffnen eines Anhanges eingeschleuste Schadsoftware verschlüsselt dann zum Beispiel die Daten auf den Systemen und macht die Firmen erpressbar, ein Lösegeld zu bezahlen, um einen Code für die Entschlüsselung der gesperrten Informationen zu erhalten. Diese Zahlungen sind ärgerlich und auch ethisch einen kritischen Gedanken wert. Was die Unternehmen aber noch viel härter trifft, sind Betriebsunterbrechungen infolge von erfolgreichen Cyber-Angriffen. Diese Schäden liegen allein in Deutschland inzwischen jedes Jahr im dreistelligen Milliarden Euro Bereich.
Fehlende Einsicht behindert häufig effektives Risikomanagement
Das Ausmaß der Schäden ist verheerend, die Cyber-Risiko-Prävention wird insofern immer wichtiger. Das haben auch einige Versicherer erkannt und legen Unternehmen nahe, passende Präventionsmaßnahmen für deren Systemsicherheit durchzuführen. Nur wenige Versicherer bieten hier auch aktiv entsprechende Dienstleistungen an und wenn ja, scheitert dies oft an der fehlenden Einsicht der Kunden. Entscheider in Unternehmen tun sich schwer nachzuvollziehen, warum sie neben dem Zahlen einer Versicherungsprämie zusätzlich erheblich in Cyber-Sicherheit investieren sollen. Das liegt oftmals daran, dass sie die entsprechenden Risiken für ihren Betrieb nicht richtig einschätzen können. Gerade in kleinen und mittelständischen Unternehmen sind diese „Extra“-Kosten heute noch nicht einkalkuliert und dringend nötige Präventionsmaßnahmen werden schnell zurückgestellt auf das nächste oder übernächste Jahr. Erst wenn ein Unternehmen durch eine erfolgreiche Cyber-Attacke schwer getroffen wurde, wird das Thema schlagartig zur Chefsache.
Was hält Versicherer von adäquaten Präventionsangeboten ab?
Im Durchschnitt aller gewerblichen Unternehmen bewegen sich die Nettoprämien für eine Cyber-Police im Bereich von kaum über 5.000 Euro pro Jahr. Eine vernünftige Prävention lässt sich aus der Versicherungsprämie also nicht einmal ansatzweise quersubventionieren. Dennoch werden Versicherungskunden kleinere IT-Sicherheitsbeigaben zur Police angeboten, wie etwa „Notfallpläne“ vom Abreißblock, völlig unzureichend ausgeprägte „Penetrationstests“ oder halbgare, effekthaschende „Schwachstellen-Scans“, die dem spezifischen Bedarf der Unternehmen keinesfalls entsprechen können und sie schlimmstenfalls auch noch in falscher Sicherheit wiegen. Im Ergebnis ist festzuhalten, dass mit der Police einhergehende Präventionsmaßnahmen nicht mehr als den Vertrieb unterstützende Marketing-Gimmicks sind, die den Kunden wohlmöglich sogar mehr schaden als nutzen.
Police und Prävention aus einer Hand
Diese missliche Situation lässt sich beheben, indem das Thema Cyber-Prävention gleichwertig neben den Cyber-Versicherungsschutz gestellt wird. Versicherungsanbieter und Versicherungsvermittler sollten realisieren, dass es sich bei Prävention um eine unverzichtbare, eigenständige Dienstleistung für jedes Unternehmen handelt. Um dieses Feld professionell abzudecken, sucht man sich idealerweise einen Partner, der in diesem Feld eine hohe Expertise, ausreichende eigene Kapazität und ein breitgefächertes Spezialisten-Netzwerk hat.
Was können Makler tun, um mit dieser relativ neuen Anforderung professionell umzugehen: Einerseits können sie sich über Foren und Interessengruppen zu Cyber-Sicherheit auf dem Laufenden halten und selbst an Schulungen wie der der COGITANDA Academy, teilnehmen. So haben sie die Gefahrenlage und die neuesten Cyber-Bedrohungen immer im Blick. Zum anderen können und sollten sie ihre Kunden dabei unterstützen, das Schadenrisiko systematisch zu identifizieren und so weit wie möglich zu reduzieren, damit Schadenfälle geringer ausfallen oder im Idealfall gar nicht erst eintreten. Dafür sollten Makler ihren Kunden ein vollumfängliches Präventionsangebot von einem Cyber-Spezialisten unterbreiten. Dieses Angebot kann dann zum Beispiel Penetrationstests und Audits, Notfall- und Sicherheitsmanagement-Beratung, Phishing-Kampagnen sowie regelmäßige Trainings bzw. Sicherheitsschulungen für die Mitarbeiterinnen und Mitarbeiter umfassen. Makler sollten auch die Kosten des Themas bei ihren Kunden offen ansprechen: Es gilt, dass als Richtwert etwa fünf bis zehn Prozent des IT-Budgets in die Cyber-Sicherheit investiert werden sollten. Daran führt in der heutigen digitalen und hochvernetzten Welt kein Weg vorbei.
Dem Makler bieten sich beim Umgang mit Cyber-Risiken mit dem „Alles aus einer Hand“-Ansatz gleich zwei Chancen: Zum einen kann er sich beim Kunden mit Fachwissen und Service profilieren, zum anderen kann er ein zusätzliches Standbein über die Präventionsangebote aufbauen. In jedem Fall geht der Makler gestärkt aus einer guten und umfassenden Beratung heraus und entwickelt dabei perspektivisch für sich zusätzliche Geschäftsmöglichkeiten.