Ein Gastbeitrag von Andreas Müller, Vice President DACH, Delinea
Der Markt für Cyberversicherungen hat sich spürbar verändert, um nicht zu sagen verhärtet. So sind die Anbieter von Cyber-Policen zunehmend anspruchsvoller geworden. Sie verlangen von ihren Kunden immer höhere Prämien, haben die Selbstbeteiligungen Schritt für Schritt nach oben gesetzt und darüber hinaus auch bei der Risikoüberprüfung die Zügel angezogen.
Laut den Versicherungsexperten von Cyberdirekt wird sich die Cyberversicherung in Deutschland bis zum Jahr 2025 zu einem Milliardenmarkt entwickeln. Bereits jetzt hat sich das Prämienvolumen hierzulande von 124 Millionen Euro im Jahr 2018 auf 500 Millionen Euro im vergangenen Jahr erhöht. Dabei seien vor allem Neuabschlüsse für diesen rasanten Anstieg verantwortlich.
Gleichzeitig hat die immer dramatischere Lage, was die Zahl sowie Intensität von Cyberangriffen angeht, die Versicherer vor große Herausforderungen gestellt. Immer mehr Kunden werden Opfer und machen dann Schadensfälle geltend, was den Kostendruck für die Versicherungen erhöht hat. Doch übersteigen die auszuzahlenden Leistungen die Prämieneinnahmen, haben die Anbieter langfristig ein Problem. Als Reaktion darauf haben sie die Annahmerichtlinien in den letzten Jahren immer wieder verschärft und die Angebotsfristen immer weiter verkürzt – zum Nachteil der Kunden. Zudem werden besonders kritische Risiken, wie etwa Lösegeldzahlungen nach Ransomware-Attacken, bisweilen nicht mehr abgedeckt.
Versicherungsprämien besser kontrollieren
Um den Preis für ihre Cyber-Policen festzusetzen, inspizieren Versicherer heutzutage viele verschiedene Aspekte der IT-Sicherheit eines Unternehmens, angefangen bei Standard-Security-Maßnahmen über Sicherheitsschulungen der Mitarbeitenden bis hin zur Herangehensweise an das Risikomanagement. Sie erwarten, dass sich ihre Kunden beim Kampf gegen Cyberangriffe nicht allein auf die Versicherung verlassen, sondern eine organische Cybersecurity für sie an erster Stelle steht.
Nicht selten gilt, je weniger Kontrollen die Versicherungsnehmer vorweisen können bzw. je weniger Eigeninitiative sie zeigen, desto teurer wird die Prämie. Es kann es sogar so weit gehen, dass kein Versicherungsschutz möglich ist.
Wollen die Verantwortlichen dies vermeiden, gilt es, sich im Vorfeld gut vorzubereiten. Folgende vier Strategien und Maßnahmen können ihnen dabei helfen:
- Proaktive Cybersicherheitsmaßnahmen: Unternehmen geben große Summen für reaktive IT-Sicherheitsmaßnahmen aus – etwa für Technologien zur Erkennung und Abwehr von erfolgreichen Angriffen. Doch Cyberversicherer stellen sie mit einer reaktiven Risikokultur längst nicht mehr zufrieden. Vielmehr setzen Versicherungen heutzutage Proaktivität wie regelmäßige Sicherheitsbewertungen, Schwachstellenmanagement und eine kontinuierliche Überwachung zwingend voraus.
- Incident-Response-Planung: Ein gut definierter Plan für die Reaktion auf Zwischenfälle ist für Unternehmen von elementarer Bedeutung, um die Auswirkungen von Cyber-Vorfällen zu minimieren. Nicht selten beziehen Versicherer die Planung und Umsetzung solcher Pläne bei der der Festlegung der Prämien ihrer Kunden mit ein, weshalb eine gute Vorbereitung hier wichtig ist.
- Privileged Access Management (PAM): Immer häufiger legen Versicherer Wert auf ein modernes PAM. Dies kommt nicht von ungefähr, immerhin sind kompromittierte Identitäten die häufigste Ursache für Datenschutzverletzungen. Und entsprechend ist die Absicherung von privilegierten Zugriffen für die Risikominderung entscheidend. Die Implementierung von PAM-Kontrollen, inklusive MFA und automatisierter Passwortverwaltung sowie einer Least-Privilege-Strategie, kann Unternehmen dabei nachhaltig unterstützen und so Lateralbewegungen und Datenschutzverletzungen verringern.
- Eine enge Zusammenarbeit mit den Versicherungsanbietern: Versicherer und ihre Kunden verfolgen beide dasselbe Ziel: Die effektive Abwehr und Verhinderung von Cyberangriffen und Datenvorfällen. Dazu sollten sie an einem Strang ziehen. Der Aufbau enger Beziehungen zu den Versicherern und der regelmäßige Austausch über Branchentrends und Risikominderungsstrategien können den Unternehmen dabei helfen, wertvolle Erkenntnisse zu gewinnen und günstigere Bedingungen auszuhandeln.
Lage könnte noch dramatischer und Cyber-Policen unbezahlbar werden
So angespannt die Lage sowohl für Versicherer als auch Unternehmen derzeit schon ist, ein Blick in die Zukunft vermag nichts Gutes zu verheißen – glaubt man zumindest den Experten. Diese sprechen vor allem im Hinblick auf Cyberkriege und Angriffe auf KRITIS-Anbieter von nicht mehr versicherbaren Risiken. Ein Problem, vor dem auch Industrieversicherungen zunehmend stehen. Schon im März letzten Jahres zeigte sich etwa Munich Re-CEO Joachim Wenning äußerst besorgt über die finanziellen Auswirkungen von Cyberangriffen in naher Zukunft. Ähnlich formulierte es auch Mario Greco, CEO der Zurich Versicherungsgruppe. Im Gespräch mit der Financial Times prophezeite er, dass Cyber-Policen bald unbezahlbar sein werden. Immerhin seien gerade durch Attacken auf die kritische Infrastruktur auch vermehrt Menschenleben in Gefahr.
Andreas Müller, Delinea