Was zeichnet eine gute Cyberversicherung aus? Warum müssen KMU immer mehr Mindestanforderungen erfüllen, um überhaupt Cyber-Versicherungsschutz zu bekommen? Diesen und ähnlichen Fragen stellte sich Gisa Kimmerle, Head of Cyber bei Hiscox Deutschland.
Umfragen zeigen immer wieder, dass den Unternehmen die Bedrohung bewusst ist. Hat sich mit einem größeren Risikobewusstsein auch die Nachfrage verändert?
Ja, Unternehmen sind sich der Gefahr bewusst und das spiegelt sich auch in den Zahlen wider. Im Vergleich zu den Vorjahren ist eine deutliche Steigerung der versicherten Unternehmen feststellbar. 2021 waren noch 15 Prozent der Meinung, keine Versicherung zu brauchen.
Deutschland liegt beim Anteil der versicherten Unternehmen auf dem ersten Platz im internationalen Vergleich. Insgesamt sind 67 Prozent der deutschen Unternehmen gegen Cyberrisiken versichert, 31 Prozent über eine reine Cyberversicherung und bei 36 Prozent ist es Teil eines Versicherungspakets. 25 Prozent der Firmen planen eine Anschaffung im kommenden Jahr, und nur 8 Prozent wollen sich auch weiterhin nicht absichern.
Gibt es Bedingungen, die ein Unternehmen vor Abschluss einer Cyberversicherung erfüllen muss?
Viele Versicherer verlangen vor Vertragsabschluss inzwischen Nachweise, die die Einhaltung grundlegender Sicherheitsstandards belegen. Das wird zunehmend wichtig, um eine vertrauensvolle Grundlage für die Zusammenarbeit zu legen. Unternehmen schaffen mit der Offenlegung ihrer Sicherheitsstandards die dafür nötige Transparenz. Die Versicherer garantieren im Gegenzug, unter den festgelegten Bedingungen ihre Leistungen zu erbringen. Die Versicherten haben zudem immer die Möglichkeit, bei unzureichenden Mindeststandards nachzubessern und dann den entsprechenden Versicherungsschutz zu erhalten.
Für KMU beinhalten die vom Versicherer vorgeschriebenen Mindestanforderungen insbesondere Maßnahmen zur Vermeidung von Schwachstellen und regelmäßigen Behebung von Sicherheitslücken durch Patches. Auch die Sicherung von Daten durch Back-ups sowie die Isolation anfälliger Altsysteme werden inzwischen häufig vorausgesetzt. In der Praxis sehen wir jedoch, dass die IT-Strukturen kleiner und mittelständischer Unternehmen mit den Anforderungen der Versicherer mitwachsen. Dies ist wohl auch einer zunehmenden Sensibilisierung für Cybersicherheit und der zunehmenden Bedeutung von Daten für den wirtschaftlichen Erfolg eines Unternehmens zuzuschreiben.
Gleichzeitig sind diese Anforderungen mit der Zeit gewachsen. Vor fünf Jahren haben wir noch andere Fragen gestellt, weil damals das Risikobild noch ein anderes war. Wir werden auch in fünf Jahren andere Anforderungen haben, weil sich bis dahin auch der die Angreiferstrukturen usw. verändert haben. Als Versicherer ist man gezwungen, immer auf dem neusten Stand der Bedrohungslage sein und die eigenen Produkte ständig an die sich ändernde Situation anpassen.
Und gibt es besondere Obliegenheiten nach Abschluss einer Cyberversicherung?
Ebenso wie von Versicherern Anforderungen vor Abschluss einer Cyberversicherung gestellt werden, nutzen viele Risikoträger technische Obliegenheiten, die sicherstellen, dass ein Versicherter während der Vertragslaufzeit einen Mindeststandard an IT-Sicherheit einhält. Oft beinhalten diese Obliegenheiten – analog zu den oben beschriebenen Mindestanforderungen –ein umfassendes Schwachstellenmanagement, Isolierung oder Ablösung von Altsystemen und das Vorbehalten eines ransomwaresicheren Back-ups.
Was sollte eine gute Cyberversicherung leisten? Worauf sollte bei Abschluss einer Cyberversicherung geachtet werden?
Selbst wenn ein Unternehmen alle möglichen Schritte zur Absicherung gegen Cyberangriffe unternimmt, bleibt immer ein Restrisiko – und das kann existenzgefährdende Ausmaße annehmen. Die Absicherung gegen dieses Restrisikos macht eine gute Versicherung aus. Unternehmen können sich auf externe Unterstützung vor, während und nach einem Schadenfall verlassen. Es gilt einen zuverlässigen Partner zu finden, der sowohl langjährige Expertise mitbringt als auch ein breites Angebot an Dienstleistungen aus einer Hand anbietet. Insbesondere für kleine und mittelständische Unternehmen ist es im Krisenfall unrealistisch, schnell genug an wichtige Dienstleister z.B. für IT-Forensik und Krisen-PR heranzutreten, die kurzfristig über ausreichende Kapazitäten verfügen. Die Bündelung dieser Bausteine in einem einzigen Angebot nennen wir Assistance-Leistungen, und sie sind aus meiner Sicht zentrales Merkmal einer zeitgemäßen Versicherung. Ein Versicherer wird nur durch solche Leistungen zu einem echten Partner in Bezug auf Cybersicherheit.
Für Unternehmen ist das doppelt wertvoll. Denn durch eine solche Absicherung erhöht sich das Vertrauen in die digitale Sicherheit einer Firma. Dieses digitale Vertrauen (Digital Trust) ist ein gesellschaftliches Ziel und gleichzeitig businessrelevant: Nur Unternehmen, die digital vertrauenswürdig sind, können in Zukunft erfolgreich Geschäfte machen. Über kurz oder lang wird ein Ökosystem aus cybersicheren Unternehmen entstehen, das Nachzügler zunehmend aus dem Geschäftsverkehr ausschließen wird. Anderenfalls könnte der dauerhafte Mangel an digitalem Vertrauen dem Gesellschafts- und Wirtschaftssystem nachhaltigen Schaden zufügen.
Eine Besonderheit von Cyberversicherungen ist die Abdeckung dynamischer Risiken, die einem ständigen Wandel unterworfen sind. Wie gehen Versicherer damit um? Haben sich Strategien entwickelt, um auf dynamische Risiken reagieren?
Die Cybersparte wird in vielerlei Hinsicht vor Herausforderungen gestellt. Wie auch unser Cyber Readiness Report 2023 zeigt, bedingt die sich verändernde Risikolandschaft eine hohe Dynamik in den Versicherungslösungen. Versicherungsbedingungen müssen regelmäßig an die aktuelle Risikosituation angepasst, Prämien adäquat gestaltet und Antragsfragen an notwendige Sicherheitsstandards angepasst werden.
Insbesondere Kumul-Schadenfälle – also Ereignisse, die eine Vielzahl versicherter Unternehmen betreffen – müssen in nachhaltigen Versicherungslösungen berücksichtigt werden. Hierbei ist es wichtig, die Leistungsfähigkeit im Schadenfall sicherzustellen und trotz massenhafter Schäden eine schnelle und hochwertige Schadenbearbeitung zu gewährleisten. Für kleine Unternehmen bis 2,5 Mio. Euro Umsatz arbeitet Hiscox beispielsweise mit pauschalen Tagessätzen für Betriebsunterbrechungen, um schnell und unkompliziert Schäden regulieren zu können.
Lässt sich etwas über die Entwicklung der Schadenaufwendungen sagen? Hat zum Beispiel der Angriffskrieg Russlands in der Ukraine zu mehr Angriffen und in der Folge zu höheren Schadenaufwendungen geführt?
Moderne geopolitische Konflikte wie der Angriffskrieg Russlands oder die Spannungen um Taiwan werden nicht mehr nur physisch ausgetragen. Hybride Kriegsführung und die Nutzung von Cyberattacken sind ein Mittel der Machtdemonstration geworden. Einige Angriffe aus der näheren Vergangenheit haben gezeigt, dass gerade Unternehmen mit kritischer Infrastruktur oder hochsensiblen Wirtschafts- und Personendaten im Rahmen von politischen Konflikten jederzeit mit einer Bedrohung rechnen müssen. Als Teil des vernetzten Technologie- und Industriestandorts Deutschland können damit auch Unternehmen hierzulande zur potenziellen Zielscheibe politisch motivierter Cyberattacken werden. Denn im Gegensatz zu konventionellen Konflikten macht die hybride Kriegsführung nicht vor Landesgrenzen Halt. Und im Rahmen großangelegter Angriffswellen können auch scheinbar ungefährdete Unternehmen schnell zum Kollateralschaden werden. Deshalb ist es umso wichtiger, dass sie entsprechende Vorkehrungen treffen, um im Falle eines Angriffs gerüstet zu sein.