Noch im Jahr 2019 wurde, vor allem bei mittelständischen Unternehmen, der Sinn einer Cyber-Versicherung vielfach in Frage gestellt. Heute hat sich die Erkenntnis durchgesetzt, dass auch eine zeitgemäße IT-Sicherheit keinen ausreichenden Schutz vor Cyber-Angriffen bietet. [...]
Denn in Wahrheit bilden infolge von Phishing häufig die Mitarbeiter das erste Einfallstor für Angriffe und nicht nur die IT-Infrastruktur. Kurzum: Das Angriffsrisiko ist nicht vollständig beherrschbar. Somit ist heute deutlich, dass der daraufhin erforderliche Bilanzschutz allein durch eine Cyber-Versicherung geboten wird, die die immensen Kosten infolge einer Cyber-Attacke auffängt.
Dabei ergibt sich für Österreich eine wirklich exponierte Bedrohungslage: Im weltweiten Durchschnitt sind nach dem Ransomware-Report 2021 von SOPHOS 37 Prozent aller Unternehmen einem Ransomware-Angriff zum Opfer gefallen – in Österreich waren es 57 Prozent. Noch viel deutlicher ist nach diesem Report die Differenz bei einem Vergleich des durchschnittlichen Schadenvolumens bei denjenigen Unternehmen, die einem Angriff zum Opfer gefallen sind: Weltweit beliefen sich die durchschnittlichen Schadenkosten in der Folge eines Ransomware-Angriffs auf EUR 1,75 Mio., in Österreich auf astronomische EUR 7,34 Mio. In diesen Kosten sind Ausfallzeiten, Arbeitsstunden, Geräte und Netzwerkkosten, entgangene Umsatzchancen, Lösegeld etc. zusammengefasst. Dies zeigt, dass das Vorgehen der Cyber-Kriminellen immer zielgerichteter und zerstörerischer arbeiten.
Diese Entwicklung ist auch den Cyber-Versicherern nicht verborgen geblieben, vor allem natürlich, weil sie aufgrund der rasanten Verbreitung der Cyber-Versicherung in immer größerem Umfang für die Schäden aufkommen müssen. Um das Geschäft weiter kostendeckend betreiben zu können und damit zu verhindern, dass das auch in Österreich noch vergleichsweise junge Produkt Cyber-Versicherung nicht bereits wenige Jahre nach dessen Einführungen kollabiert, haben die Versicherer seit 2021 sehr nachdrücklich Restriktionen wie vor allem die Begrenzung der maximalen Deckungssumme auf EUR 10 Mio. bei gleichzeitig massiv erhöhten Prämien eingeführt. Dabei wird zum Beispiel Deckungsschutz für Lösegelder im Fall von Ransomware-Attacken nur mehr optional angeboten.
Cyberangriffe in 2022: Wie Firmen sich schützen können
Für Unternehmen, die bisher noch über keine Cyber-Police verfügen, führen die gleichzeitig aufgestellten verschärften Annahmekriterien zu ganz erheblichen Herausforderungen, um überhaupt den gewünschten Versicherungsschutz zu erhalten.
Daher gestaltet sich der Vertragsanbahnungsprozess meist mühsam und erstreckt sich stets über Wochen, oft über Monate hinweg. Vielfach zeigt sich recht bald bei der Einholung von Angeboten, dass die Versicherer die Risikoinformationen für unzureichend halten. In der Sache beruht die Ablehnung meist darauf, dass das geforderte Sicherheitsniveau nicht erreicht wird. Was jedoch genau zu verbessern ist, um vom jeweiligen Versicherer ein Angebot zu erhalten, wird in differenzierter Form nur selten offengelegt. Aus Sicht der Interessenten bereitet aber auch oft Schwierigkeiten zu beurteilen, welche ergänzenden Angaben genau zu liefern sind, wenn abgefragte Sicherheitskriterien nicht vollständig erfüllt werden, die bloße Verneinung der abgefragten Sicherheitsanforderungen jedoch ein zu negatives Bild zeichnet. In Anbetracht dieser vielfältigen Tücken ist es in der Praxis insbesondere für Konzerne mit einem Umsatz von mehr als 100 Mio. Euro eigentlich nur mit Beratung durch einen auf Cyber-Policen spezialisierten und im Bereich IT-Sicherheit versierten Versicherungsmakler möglich, zu einer interessengerechten Deckung zu gelangen.
Diese Beratung sollte auch die Durchführung von vorbereitenden externen Schwachstellenscans umfassen, zumal die Mehrzahl der Versicherer solche Prüfungen auch ihrerseits bei der Angebotsprüfung durchführt. Dieser Umstand ist bis heute nicht jedem anfragenden Unternehmen bekannt. Somit kann es geschehen, dass die eigentlichen Ablehnungsgründe der Versicherer von außen sichtbare Sicherheitslücken sind, an die bei Vorbereitung des Vertragsanbahnungsprozesses nicht gedacht wurde. Die Versicherer legen jedoch auch diesen Umstand meist bei der Angebotsablehnung nicht offen.
IT-Versicherungen 2022: Im Betrieb „Awareness“ schaffen ist wichtiger denn je
Entscheidend ist also bei der Vorbereitung einer Angebotsbeschaffung eine Klärung, welche Mindestanforderungen die zu befragenden Versicherer jeweils konkret an die IT-Sicherheit stellen. Diese Anforderungen steigen mit zunehmendem Konzernumsatz. Ist es auch heute vereinzelt noch möglich, Unternehmungen mit einem Umsatz von bis zu EUR 100 Mio. über ein recht schlanke Antragsverfahren zu versichern, nehmen oberhalb dieses Grenzwertes die Komplexität der Anforderungen und deren vorausgesetzter Erfüllungsgrad massiv zu. So ist es nach aktuellem Status erforderlich, dass in der gesamten zu versichernden Unternehmensgruppe jedenfalls folgende Sicherheitsmaßnahmen gewährleistet sind:
- regelmäßige Sicherheitstrainings der Mitarbeiter (Awareness-Schulungen),
- ein akribisches Patch-Management,
- ein funktionierendes Back-up-System zur wirksamen Abschottung der Datensicherung vom Rest der IT-Infrastruktur,
- eine Multi-Faktor-Authentifizierung für externe Zugänge und Administratoren,
- ein Administrationskonzept, das eine Trennung in verschiedene voneinander unabhängige Adminrollen vorsieht und
- erprobte Krisenmanagementpläne.
Die Anforderungen der verschiedenen Versicherer differieren und sehen vielfach zusätzliche Kriterien vor. Liegen dann unterschiedliche Angebote vor, bedarf es einer differenzierten Analyse, ob die angebotene Deckung wirklich etwas taugt. Denn seit Längerem fordern einige Versicherer schon bei geringen Sicherheitsdefiziten recht umfassende Ausschlüsse im Zusammenhang mit Ransomware-Angriffen, die den Versicherungsschutz bei derartigen Attacken nur auf Teilsummen beschränken und gleichzeitig eine Selbsttragung eines Teils des Schadens durch die versicherten Unternehmen vorsehen.
Lässt man sich jedoch auf das Anforderungsprofil der Cyber-Versicherer ein und orientiert sich an deren Sicherheitsvorgaben, ist es auch heute im Versicherungsmarkt weiterhin möglich, eine werthaltige und auf die Belange der versichernden Unternehmensgruppe angepasste Absicherung des Cyber-Risikos mit ausreichender Deckungssumme zu erhalten.
*Über die Autoren: Bernd Eriksen leitet seit 2013 die Einheit Professional Lines bei SÜDVERS, Kerstin Keltner ist bei der Koban Südvers Group für die Bereiche Cyber Versicherung und Datenschutz verantwortlich.
Be the first to comment