Alles was Sie über die Cyber-Versicherung wissen sollten

Cyber-Angriffe nehmen kontinuierlich zu. Um Unternehmen dabei zu helfen, den mit diesen Angriffen verbundenen finanziellen Schaden verkraften zu können, bieten Versicherungsunternehmen Cyber-Versicherungen. Diese sind ein komplexes Versicherungsprodukt und müssen bedarfsspezifisch auf Organisationen angepasst bzw. ausgewählt werden. Im Interview sprechen Mihajlo Milanovic, GrECo Competence Center Liability und Financial Lines und Ulrich Fleck, CEO CERTAINITY über die vielfältigen Anforderungen und Angebote von/an Cyber-Versicherungen.

Was ist eine Cyber-Versicherung und wer benötigt diese?

Milanovic: Eine Cyber-Versicherung ist im Vergleich zu den traditionellen Versicherungssparten ein relativ neues Versicherungsprodukt. Die Entwicklung begann um 2014 und hat unseren Markt 2018 erreicht. Seit 2019 gab es einen deutlich spürbaren Anstieg an Schadensfällen, insbesondere durch Ransomware-Angriffe. Früher waren die Schäden kleiner, aber mit den finanziellen Erfolgen der Kriminellen hat sich eine ganze Industrie entwickelt.

Fleck: Ransomware-Angriffe haben dazu geführt, dass mittlerweile jedes Unternehmen ein potenzielles Opfer ist.

Wodurch entscheiden Unternehmen, eine Cyber-Versicherung abzuschließen?

Milanovic: Häufig passiert es nach dem Schaden durch einen Angriff oder wenn es im Umfeld zu einem Cyber-Vorfall kam. Auch zunehmende Publikationen dazu sensibilisieren, sowie die wachsende Größenordnung der Schäden.

Thema Prämienberechung: Wie lässt sich das Risiko abschätzen, ob ein Unternehmen angegriffen wird und wie hoch der Schaden wäre?

Milanovic: Einer der wichtigsten Faktoren ist das Cybersicherheitsniveau des Unternehmens. Je größer das Unternehmen, desto höher sind die Anforderungen der Versicherer an das Niveau der Cybersicherheit. Bei kleinen Unternehmen (bis etwa 10 Mio. € Umsatz) ist diese Niveauerhebung schnell durchgeführt, während bei größeren Unternehmen ein detaillierter Fragebogen herangezogen wird. Davon muss so gut wie alles erfüllt sein, ansonsten findet sich kein Versicherer, der das Risiko unterzeichnet.

Welche Faktoren spielen beim Abschluss einer Cyber-Versicherung eine Rolle?

Milanovic: Es sind drei Faktoren: das Sicherheitsniveau, in Kombination mit der Versicherungssumme, und der Umsatz. Das Sicherheitsniveau definiert, ob man überhaupt versicherbar ist, die Versicherungssumme und der Umsatz bestimmen die Prämienhöhe.

Derzeit werden bessere Sicherheitsniveaus noch nicht direkt mit besseren Prämien belohnt, sondern es greift eine indirekte Prämiensenkung: mit einem höheren Sicherheitsniveau können mehr Marktteilnehmer angesprochen und somit Wettbewerb generiert werden.

Fleck: Manche Versicherer bieten einen reduzierten Selbstbehalt an, wenn Unternehmen ein einschlägiges Überwachungsprogramm mit einem anerkannten Beratungshaus abwickeln.

Ist das Verhältnis Prämien vs. Schäden bei der Cyber-Versicherung zu Ungunsten der Versicherer?

Milanovic: Das ist derzeit schwer zu sagen, da es noch keine offiziellen Statistiken gibt. Selbst in die Statistik vom Verband werden die Zahlen von großen Cyber-Versicherern nicht eingemeldet. Auch Statistiken aus den USA können nicht auf Europa umgemünzt werden. Derzeit wirtschaften Versicherer aber wohl eher negativ.

Fleck: Letzlich muss dem Versicherungsnehmer bewusst sein, dass die Versicherung nicht vor Schaden schützt, sondern lediglich hilft, dessen finanzielle Konsequenzen zu kompensieren. Einen Reputationsschaden hingegen zu kompensieren, ist wahrscheinlich unmöglich bzw. kaum mit Geld zu beziffern.

Helfen Back-ups im Schadenfall?

Fleck: Wir sehen, dass viele Unternehmen zwar Back-ups haben, aber die Wiederherstellung von Daten so lange dauern kann, dass es viele gar nicht überstehen würden. Ein Problem der Wiederherstellung ist auch, dass meistens die original verschlüsselten Daten überschrieben werden müssen – wodurch man zwar schnell wieder in den Ursprungsbetrieb zurückkehrt, aber gleichzeitig Beweismaterial für eine spätere forensische Aufarbeitung vernichtet.

Milanovic: Wir sehen, dass manchmal externe Storages gekauft werden und das komplette System dupliziert wird, um diesem Problem zu entkommen. Das ist aber auch nicht ganz billig und meistens nicht zeitlich vernünftig verfügbar – bei großen Datenmengen kann es sechs bis acht Wochen Lieferzeit geben.

Lernen Unternehmen aus einem Cyber-Angriff?

Milanovic: Ja, denn oft ist plötzlich mehr Budget für die Security da, um die Versicherbarkeit zu garantieren. Die Frage ist immer - was hat man denn daraus gelernt? Für eine weitere Versicherung sollte die Cyber-Resilienz verbessert werden. Dann kommen die Fragen: was wurde verbessert, was wird besser oder anders gemacht?

Wie oft gibt es Unternehmen, die nicht versicherbar sind?

Milanovic: Selten, aber es kommt vor. Wir machen ein Pre-Screening bevor sie zum Versicherer gehen und können dann abschätzen, ob eine Versicherung möglich ist bzw. ob das Ergebnis teuer sein wird. Oder wir sagen wir brauchen es gar nicht versuchen, bis bestimmte Punkte nicht umgesetzt worden sind.

Welchen Unternehmen empfehlen Sie, eine Cyber-Versicherung zu nehmen?

Milanovic: Ich würde es grundsätzlich jedem Unternehmen empfehlen. Sie sollten prüfen, welche Deckungselemente aus der Cyber-Versicherung relevant sind und sich entsprechend beraten lassen. Manche möchten nur dann eine Cyber-Versicherung, wenn sie einem Betrug ausgesetzt wurden – das ist dann aber eine Crime-Versicherung.

Wir sehen auch hin und wieder Unternehmen, die zu viel Deckung einkaufen, etwa aufgrund falscher Überlegungen bezüglich der Deckungselemente. So haben wir beispielsweise bei einem Klienten festgestellt, dass dieser gar keinen so großen Schaden haben könnte, weil die Betriebsunterbrechung nicht so lang sein könnte. Da ist fraglich, ob ein hoher Selbstbehalt Sinn macht. Vorteil hier war, dass das Unternehmen binnen zwei Stunden ein Incident Response Team vor Ort hatte, welches über die Versicherung kam.

Woran liegt es, dass viele Unternehmen noch keine Cyber-Versicherung haben?

Milanovic: Da Cyber-Versicherungen viel Geld kosten, ist es definitiv eine unternehmerische Entscheidung. Andere Unternehmen kommen für diese Art von Versicherung gar nicht in Frage, weil ihre IT zu schlecht aufgestellt ist – andere bekommen sie nur zu schlechten Konditionen, weil die IT-Sicherheit noch nicht das entsprechende Niveau hat.

Wie viele zahlen das Lösegeld und sind diese Verhandlungen auch abgedeckt?

Milanovic: Die Verhandlungen sind gedeckt und finden regelmäßig statt. Das Lösegeld selbst ist meistens auch gedeckt. Das Zahlen von Lösegeld ist jetzt nicht der Regelfall, aber doch häufiger als man meinen möchte.

Man kann jedem Unternehmen nur empfehlen, eine Cyber-Versicherung abzuschließen. Damit die Prämie reduziert werden kann, sollte man die Cyber-Resilienz regelmäßig überprüfen bzw. steigern. Dadurch kann man den Schaden bei einem Cyber-Angriff reduzieren, denn mittlerweile ist jedes Unternehmen ein potenzielles Opfer.

Haben Sie Fragen oder wünschen mehr Informationen? Kontaktieren Sie uns gerne jederzeit via sales@certainity.com.

Sollten Sie Opfer eines Cyberangriffs sein:

CERTAINITY Incident Response Hotline: +43 664 888 44 686 oder csirt@certainity.com