IT-Security & Cyber-Risk-Versicherung

Unternehmen gegen Hacker versichern

18.11.2015 von Oliver Schonscheck
Security-Services wehren Angriffe ab, Cyber-Risk-Versicherungen helfen gegen die Restrisiken. Trotzdem sind sie nicht automatisch ein Dream Team.

"Die deutsche Wirtschaft ist weltweit vernetzt und hoch digitalisiert und damit stark gefährdet durch Internetkriminalität", so Dr. Christopher Lohmann, CEO Germany und Zentraleuropa bei AGCS (Allianz Global Corporate & Specialty SE), bei der Vorstellung des Allianz Risk Barometer 2015. Cyber-Risiken gehören für deutsche Unternehmen erstmals zu den Top 3 der Business-Risiken.

Cyber-Risiken wie Hackerangriffe zählen 2015 erstmals zu den drei größten Risiken für deutsche Unternehmen.
Foto: bahri altay - shutterstock.com

Cyber-Risiko gleich Business-Risiko

Wie real die Risiken durch Cybercrime, IT-Ausfälle, Datenspionage und Datenpannen sind, zeigen unter anderem Studien des Digitalverbandes Bitkom: 51 Prozent aller Unternehmen in Deutschland sind in den vergangenen zwei Jahren Opfer von digitaler Wirtschaftsspionage, Sabotage oder Datendiebstahl geworden, der entstandene Schaden für die gesamte deutsche Wirtschaft wird auf rund 51 Milliarden Euro pro Jahr geschätzt.

Cybercrime gehört zu den Aufsteigern unter den Top Business-Risiken im Allianz Risk Barometer 2015. Das betriebliche Risikomanagement braucht eine entsprechende Antwort.
Foto: AGCS

Eine Reaktion auf die wachsenden Cyber-Bedrohungen sind steigende Security-Ausgaben. 59 Prozent der Sicherheitsexperten rechnen laut dem eco-Report "IT Sicherheit 2015" damit. Alleine mit Security können die Cyber-Risiken zwar gesenkt werden, doch auch in diesem Risikobereich bleiben Restrisiken bestehen, getreu der Erkenntnis, dass es keine hundertprozentige Sicherheit gibt.

Weltweit liegt Cybercrime auf Platz 5 der Business-Risiken. Ein Blick auf die Gesamtliste zeigt, dass IT-Risiken aber auch an weiteren Stellen vertreten sind, wie zum Beispiel auf Platz 6, da Reputationsverlust durch Social Media Missbrauch verursacht werden kann.
Foto: AGCS

Aus diesem Grund werden für viele Unternehmen sogenannte Cyber Risk Insurances, also IT-Security-Versicherungen, zunehmend interessant. Das gilt insbesondere dann, wenn bereits ein Sicherheitsvorfall aufgetreten ist. Laut einer Ponemon-Studie hatten 70 Prozent der Unternehmen besonders hohes Interesse an einer Cyber-Versicherung, wenn sie in den letzten 24 Monaten eine Datenpanne erlebt hatten.

Restrisiko einer Cyberattacke versichern

In den USA ist die Verbreitung spezieller Cyber-Risk-Versicherungen schon weit fortgeschritten. Wie die Umfrage "Cyber Survey 2015" der RIMS (The Risk Management Society) ergab, haben 51 Prozent der befragten Risikomanager bereits eine entsprechende Versicherung abgeschlossen. 74 Prozent der Befragten ohne eine solche Versicherung wollen dies innerhalb der nächsten ein bis zwei Jahren nachholen.

US-Unternehmen, die sich für eine Cyber Risk Insurance entscheiden, wollen sich insbesondere gegen die Folgen von Rufschädigungen (79 Prozent), Geschäftsunterbrechungen (78 Prozent) und die Kosten durch Informationspflichten bei Datenpannen und IT-Sicherheitsvorfällen (73 Prozent) absichern.

Cyber-Risiken, die in den USA hauptsächlich durch spezielle Versicherungen adressiert werden:

Die gleichen Risiken bestehen natürlich auch für deutsche Unternehmen, auch mögliche Kosten durch Informationspflichten können Unternehmen in Deutschland betreffen, wie unter anderem das Bundesdatenschutzgesetz (§ 42a BDSG) und die geplante EU-Datenschutz-Grundverordnung zeigen.

Deutsche Unternehmen sind besonders stark durch Cybercrime bedroht, das hier den Platz 2 der Business-Risiken belegt. In 2014 war es noch der 6. Platz.
Foto: AGCS

"Cyber-Versicherung kein Freifahrtschein"

Cyber-Risk-Versicherungen werden von verschiedenen IT-Sicherheitsexperten nicht nur positiv gesehen. Kritiker befürchten, dass sich Unternehmen zu sehr auf ihren Versicherungsschutz verlassen und IT-Sicherheitslücken nicht durch optimierte oder zusätzliche Security-Maßnahmen schließen, sondern einfach auf die Cyber Risk Insurance vertrauen. Mit diesem Verhalten wollen nicht nur Security-Verantwortliche aufräumen, indem sie erklären, dass eine Cyber-Versicherungspolice kein IT-Sicherheitskonzept darstellt.

Auch Versicherungsgesellschaften sehen ihre Produkte nicht als Security-Maßnahmen, sondern als Ergänzung der weiterhin zwingend erforderlichen IT-Security. "Eine Cyber-Versicherung ist selbstverständlich kein Freifahrtschein für den unbesorgten Umgang mit Daten. So sollten Versicherungsnehmer wöchentlich alle Daten sichern und das Backup prüfen. Darüber hinaus sollte eingesetzte Software regelmäßig aktualisiert werden. Auch eine aktuelle, professionelle Antivirensoftware ist unverzichtbar", so Dirk Kalinowski, Experte für IT- und Cyberversicherungen bei AXA.

Ein Blick in die Versicherungsbedingungen zeigt in der Regel schnell, dass Unternehmen als Versicherungsnehmer gewisse Pflichten in der IT-Sicherheit haben, um in den Genuss der Versicherungsleistungen zu kommen. Oftmals sind Security Reviews im Vorfeld des Versicherungsvertrages vorgesehen. Zudem kann der Nachweis vorhandener Security-Maßnahmen die Höhe der Versicherungsprämie senken.

Unvollständige Security-Maßnahmen, wie sie zum Beispiel eine Bitkom-Studie offenbart hat, müssen durch zusätzliche Security ergänzt werden. Cyber-Risk-Versicherungen schließen solche Lücken nicht, sondern dienen der Absicherung von Restrisiken nach der Optimierung der IT-Security.
Foto: Bitkom

Notwendiges Zusammenspiel zwischen Security, Risikomanagement und Cyber-Versicherung:

IT-Security & Restrisiko-Versicherung bilden Team

Das notwendige Zusammenspiel von Cyber-Risk-Versicherung und Security-Maßnahmen wird besonders deutlich, wenn man sich die Kooperationen auf dem Markt ansieht, die zwischen Versicherern und Security-Providern entstehen:

Bei der Hiscox Cyber Versicherung gibt es nicht nur einen finanziellen Versicherungsschutz als Eigenschadenversicherung und Cyber-Haftpflichtversicherung. Im Schadenfall unterstützt HiSolutions, ein Anbieter im Bereich Abwehr von Cyberattacken und Wiederherstellung verlorener Daten.

Swiss Re Corporate Solutions arbeitet mit IBM Security zusammen, um für Unternehmen weltweit Cyber-Risk-Protection-Produkte und -Services bereitzustellen. IBM bewertet in einem Assessment die externen und internen Schwachstellen von Kunden für Cyber-Attacken und liefert so die Grundlage, Risiken zu minimieren. IBM und Swiss Re Corporate Solutions planen auch Services, um den Schutz von Kunden gegen Cyber-Bedrohungen zu verbessern.

Aon Risk Solutions nimmt an dem Wide Impact Cyber Security Risk Framework (WISER) teil, einem Projekt im Rahmen des EU Horizon 2020 Programms. Die WISER Risk Plattform soll Unternehmen bei der Suche und Bewertung kritischer Schwachstellen helfen.

Der Security-Anbieter FireEye verfügt über ein spezielles Cyber Risk Insurance Team und arbeitet mit verschiedenen Versicherungsgesellschaften zusammen. Während FireEye die Sicherheitsrisiko-Analyse übernimmt, im Fall einer Datenpanne bei den notwendigen Reaktionen unterstützt und mit seinen Lösungen das Risiko erfolgreicher Attacken reduzieren will, kümmern sich die Versicherungen um die Absicherung der Restrisiken.

Kudelski Security wurde von Zurich Insurance Group (Zurich) als einer der Cyber-Security-Partner ausgewählt, um gemeinsam eine Versicherungslösung anzubieten, die die Unternehmen auch durch Security Services vor möglichen Attacken schützt.

Unternehmen in Deutschland sind zahlreichen Attacken ausgesetzt. Studien wie die von Bitkom zeigen, wo insbesondere Bedarf an zusätzlichen Security-Maßnahmen, aber auch an einem Versicherungsschutz gegen die Restrisiken bestehen kann.
Foto: Bitkom

IT-Security mit Cyber-Risk-Versicherung optimieren

Tatsächlich kann das Vorhaben, eine Cyber-Risk-Versicherung abzuschließen, dabei helfen, das Security-Niveau im betreffenden Unternehmen zu erhöhen: durch die Erfüllung der geforderten Beistellpflichten im Security-Bereich, durch die Security-Reviews und den Anreiz, die Versicherungsprämie zu senken, aber auch durch kombinierte Angebote aus Versicherungsschutz und Security Services.

Die Ponemon-Studie 2015 Cost of Data Breach Study ergab zudem, dass Cyber-Versicherungen einen konkreten Einfluss auf die Kosten von Datenpannen haben: Datenpannen verursachen bei Unternehmen in Deutschland pro Datensatz Kosten von 211 US-Dollar. Passende Versicherungen helfen dabei, die Kosten zu senken: 4,40 US-Dollar pro Datensatz können Unternehmen damit einsparen, so das Ponemon-Institut.

Bei der großen Anzahl betroffener Datensätze im Fall einer Datenpanne kann sich eine Cyber Risk Insurance also schnell rechnen, insbesondere dann, wenn durch die Security-Maßnahmen die Wahrscheinlichkeit für IT-Sicherheitsvorfälle ebenso gesenkt wird, wie die zu zahlende Versicherungsprämie. Security Services und Cyber-Versicherungen können also ein gutes Team bilden - wenn sie gut aufeinander abgestimmt sind.

CIOs aufgepasst: Fünf Tipps zu Cybersecurity-Versicherungen
Versicherung gegen Hacker?
Eine Cybersecurity-Versicherung kann Unternehmen im Falle eines Hacker-Angriffs vor finanziellem Schaden schützen. Eine Komplettlösung mit Rundum-Schutz gegen jegliches Risiko ist aber auch diese nicht. Auf die folgenden fünf Dinge sollten CIOs vor Abschluss einer Police achten.
1. Kronjuwelen schützen
Eine Cybersecurity-Versicherung legt einen Teil des finanziellen Risikos einer Cyberattacke auf die Versicherungsgesellschaft um. Dabei unterscheidet man zwischen der first-party-insurance, die einer Vollkaskoversicherung ähnelt. Abgedeckt sind im Regelfall Schäden an digitalem Content, Geschäftsausfall und in manchen Fällen auch Reputationsschäden. Das Pendant zur sogenannten third-party-insurance wäre die Haftpflichtversicherung: Sie deckt im Regelfall zum Beispiel Ermittlungs- und Anwaltskosten, sowie Entschädigungs- oder Strafzahlungen ab. Das Problem: Das Spektrum einer Cyberattacke ist so breit, dass eine Absicherung gegen alle Risiken schlicht unmöglich ist. Der beste Weg für CIOs: die digitalen Kronjuwelen des Unternehmens identifizieren, quantifizieren und das Restrisiko versichern.
2. Marktunterschiede Europa / USA: Marktunterschiede
Der Markt für Cybersecurity-Versicherungen ist in den USA wesentlich reifer als in Europa. Das liegt in erster Linie daran, dass in den USA bereits eine Meldepflicht bei Cyberattacken besteht. Mit dem Inkrafttreten der EU-Datenschutzrichtlinie wird sich das ändern. In den USA sind die third-party-insurances momentan deutlich gefragter als in Europa. Studien zufolge sind rund 30 Prozent aller großen und circa 10 Prozent aller US-Unternehmen mit einer Cybersecurity-Versicherung ausgestattet.
03. Auf den Wortlaut achten
Bevor Sie eine Police abschließen, sollten Sie sich genau über die abgedeckten Risiken kundig machen - auch im Hinblick auf bereits bestehende Versicherungen! Eventuell gibt es hier - unnötig Kosten verursachende - Überschneidungen. Im Idealfall sollten sie Ihren Versicherungsmakler damit beauftragen, eine Police zu finden die exakt auf die Ansprüche Ihres Unternehmens zugeschnitten ist.
4. Schaden trotz Versicherung?
Es gibt Bereiche, für deren Schutz eine Cybersecurity-Police nicht beziehungsweise nur unzureichend geeignet ist. Den Diebstahl geistigen Eigentums oder die Beschädigung der geschäftlichen Reputation durch eine Cyberattacke kann eine Versicherung zwar teilweise finanziell kompensieren - aber kaum wiedergutmachen. Inzwischen ist in der Industrie eine Diskussion darüber entbrannt, ob dies auch im Fall eines staatlich unterstützten Cyberangriffs gilt.
5. Raum für Verbesserungen
Im Idealfall sollte eine Cybersecurity-Versicherung Unternehmen dazu motivieren ihre Sicherheitsstandards anzuheben, um von niedrigeren Versicherungsprämien zu profitieren. Allerdings fehlen den Versicherern bislang die statistischen Daten und Erkenntnisse, um solche kundenspezifischen Preismodelle anbieten zu können.