Anmeldung beim Online-Sicherheitssystem

Warum eine Cyberversicherung nur ein Teil des Risikomanagements ist

Immer mehr Unternehmen schließen sie ab – doch noch mehr sollten sie haben: ein Interview über Sinn und Zweck von Cyberversicherungen


Überblick

  • Laut Datenklaustudie 2023 von EY stieg die Zahl der Unternehmen mit Cyberversicherung um 10 Prozentpunkte, viele planen noch den Abschluss.
  • Um mit einer Cyberversicherung die Folgen einer Cyberattacke absichern zu können, müssen Unternehmen Voraussetzungen erfüllen.
  • Der Versicherungsschutz mildert die finanziellen Folgen einer Cyberattacke, ist aber keine Prävention.

Versicherungen sind ein probates Mittel, um den Risiken des Lebens beruhigter zu begegnen. Dank ihnen muss die Blinddarm-OP ebenso wenig aus eigener Tasche bezahlt werden wie die Stoßstange des anderen Autos bei einem Auffahrunfall.

Seit nunmehr etwa elf Jahren gibt es spezielle Versicherungsprodukte auf dem deutschen Markt, mit denen sich Unternehmen im Fall eines Cyberangriffs vor allem vor den akuten finanziellen Folgen schützen können. Laut der Datenklaustudie 2023 von EY stieg der Anteil der Unternehmen mit einer Cyberversicherung im Vergleich zur Vorstudie von 2011 von 36 auf 46 Prozent; jedes dritte Unternehmen, das noch keine solche Versicherung abgeschlossen hat,  plant dies noch zu tun. Cyber Incidents nehmen nicht nur zahlenmäßig, sondern auch an Raffinesse zu – und damit die Bedrohung. Bodo Meseke und Thomas Koch, beide Partner der Forensic & Integrity Services bei EY, sowie Jens Krickhahn, Practice Leader Cyber & Fidelity bei Allianz Commercial, beleuchten im Interview Zweck und Bedingungen einer Cyberversicherung: eines komplexen Produkts, das immer nur ein Baustein des Risikomanagements und der Vorbereitung auf Cyberangriffe sein kann und darf.

EY ist seit mehreren Jahren einer der designierten Dienstleistungspartner der Allianz Commercial im Bereich Cyberversicherungen. So können Kunden des Versicherers bei Bedarf die Cyber-Response-Dienstleistungen von EY zu vordefinierten Konditionen abrufen.

Herr Krickhahn, Herr Meseke, Herr Koch: Wem würden Sie eine Cyberversicherung empfehlen?

Jens Krickhahn: Das ist immer eine Kosten-Nutzen-Abwägung für ein Unternehmen. Hält es aufgrund des Geschäftsmodells viele personenbezogene Daten vor oder verwendet es in der Produktion viel Operational IT, sollte man im Risikomanagement über eine Cyberversicherung nachdenken.

Bodo Meseke: Sinnvoll ist eine Cyberversicherung mittlerweile eigentlich für jeden, sie ist allerdings nicht für jeden finanziell darstellbar. Und nicht jedes Unternehmen hat den notwendigen Reifegrad, um überhaupt eine Police zu bekommen. Gerade die kleineren haben ihn oft nicht. Wer sich eine Cyberversicherung nicht leisten kann oder will, muss technisch vorbeugen und auch Rücklagen bilden, um den potenziellen Schaden selbst finanziell abmildern zu können. Denn irgendwann kann es jeden, auch kleine Unternehmen, treffen. Mit diesem Risiko müssen heute leider alle leben.

Was bedeutet in diesem Zusammenhang „Reifegrad“?

Krickhahn: Um einen Versicherungsschutz anbieten und gewährleisten zu können, haben wir insgesamt zwölf Kernkriterien benannt, die mögliche Versicherte erfüllen müssen. Das bedeutet: Wir prüfen prozessuale und technische Bereiche, ob beispielsweise Awareness-Trainings gemacht werden, ob Mitarbeiter für den Umgang mit Daten sensibilisiert sind und so weiter.

Auf der technischen Seite spielen unter anderem Patch-Management und eine vernünftige Backup Policy eine große Rolle. Wichtig sind für den Fall eines Cyberangriffs Krisenpläne, die regelmäßig mit dem kompletten Krisenstab geübt werden. Die Cyberversicherung kann immer nur ein Teil des Risikomanagements sein. Sich in Friedenszeiten auf den Ernstfall vorbereiten – das ist es, was Unternehmen tun müssen. Je besser und gründlicher sie das hinbekommen, desto höher der Reifegrad.

Thomas Koch: Die Versicherung ist ja nicht die Gegenreaktion auf eine Cyberattacke, sondern sie bezahlt die Gegenmaßnahmen. Es ist per se allerdings nicht zielführend, über die Versicherung zwar die finanziellen Mittel verfügbar zu haben, jedoch kein Konzept, wie ich als Unternehmen im Ernstfall auf einen Cyberangriff reagieren soll.

Ähnlich verhält es sich mit präventiven Investitionen in Cybersicherheit: Sie bringen an der falschen Stelle schlicht gar nichts. Die meisten Schwachstellen finden sich nicht einmal im technischen Bereich, sondern sind ganz praktischer Natur: Es sind in der Regel menschliche Fehler und mangelndes Risikobewusstsein, die erfolgreiche Cyberattacken ermöglichen.

Die Cyberversicherung kann immer nur ein Teil des Risikomanagements sein. Sich in Friedenszeiten auf den Ernstfall vorbereiten – das ist es, was Unternehmen tun müssen.

Welche Schäden beziehungsweise Gegenmaßnahmen deckt eine Cyberversicherung ab?

 

Krickhahn: Eine Cyberversicherung ist eine Kombination aus unterschiedlichen traditionellen Sparten, dazu gehören zum Beispiel Haftpflichtkomponenten im Falle einer Datenschutzverletzung. Einer der relevantesten Treiber ist allerdings der Betriebsunterbrechungsschaden inklusive der damit zusammenhängenden Kosten: für IT-Forensiker, für Rechtsanwälte, für PR-Fachleute oder auch für Beratungsdienstleistungen, für die Wiederherstellung der Systeme und so weiter. All das umfasst die Cyberpolice bis zu den Grenzen, die im Vertrag unter anderem als Versicherungslimits geregelt sind.

 

Koch: Ergänzend dazu: Die technische Aufarbeitung von Cyberangriffen ist erfahrungsgemäß nicht der primäre Kostentreiber. In vielen Fällen ist diese nach wenigen Tagen bis Wochen abgeschlossen. Doch auch wenn Unternehmen die gestohlenen Daten – gegebenenfalls nach Zahlung eines Lösegeldes – entschlüsselt und damit wieder in ihrem Besitz haben, muss die Infrastruktur neu aufgebaut werden. Die operative Nutzung einer einmal kompromittierten Umgebung ist zwangsläufig nur ratsam, wenn betroffene Segmente oder die gesamte Infrastruktur gründlich untersucht und nachweislich nicht mehr infiltriert sind. Das sind schließlich die signifikanten Kostenblöcke.

 

Das Stichwort „Lösegeld“, das in vielen Fällen von Cyberangriffen gegen die Entschlüsselung von Daten erpresst wird, scheint in dieser Rechnung nicht aufzutauchen …

 

Krickhahn: Prinzipiell müssen sich Versicherer an die gesetzlichen Vorgaben halten. Es gibt Länder, die die Versicherung von Lösegeld verbieten, und solche, die sie erlauben. In Deutschland gibt es weder ein Verbot noch eine offizielle Erlaubnis.

 

Meseke: Ich würde erwarten, dass Versicherer sich künftig beim Thema Lösegeld eher zurücknehmen, weil das ein Risiko ist, das sich versicherungsmathematisch nicht mehr so einfach bestimmen lässt. Die Lösegeldforderungen – und hierdurch getrieben dann die Schadensummen – sind in den letzten Jahren immer weiter gestiegen.

Welche sind die momentan größten Cyberbedrohungen?

Meseke: Der Platzhirsch ist weiterhin Ransomware, diese wird uns auch noch lange Zeit begleiten. Hier werden nicht nur die Methoden, sondern auch die Erpressungsmodelle perfider. Betroffene Unternehmen sollen nicht mehr nur ihre Daten zurückkaufen, sondern zusätzlich dafür zahlen, dass diese nicht veröffentlicht werden, und womöglich ein drittes Mal, um zu verhindern, dass ihre Kunden auch noch direkt erpresst werden.

Krickhahn: Ich kann Bodo Meseke nur zustimmen, da schon lange Ransomware as a Service im Darknet als Dienstleistung zu kaufen ist. Da werden dem Erpresser Tools zur Verfügung gestellt, und sollte er die nicht beherrschen, gibt es sogar eine Hotline zur Hilfestellung. Das ist ein Geschäftsmodell. Man findet heute aber im Netz auch schon Bewertungen, welche Hackergruppen zuverlässig den Schlüssel nach Lösegeldzahlungen liefern und welche nicht.

Meseke: Die zweite wesentliche Bedrohung – gerade im Kontext von Cyberversicherungen – ist der Business E-Mail Compromise (BEC), insbesondere der CEO Fraud. Ziel des BEC ist es, Zahlungen auszulösen oder umzuleiten, sodass die Angreifer finanziell profitieren. Dem geht gute Vorbereitung voraus: Die Hacker spionieren aus, wer im Unternehmen wofür verantwortlich ist, und basteln plausible Stories zusammen, damit eine Zahlung freigegeben wird.

Wird die Cyberversicherung für Unternehmen einmal so selbstverständlich wie die private Haftpflichtversicherung für Bürger?

Krickhahn: Bei vielen Unternehmen hat sie bereits einen hohen Stellenwert im Versicherungsportfolio, andere wollen den Preis nicht zahlen oder haben noch nicht den nötigen Reifegrad erzielt. Wiederum andere glauben: „Mir passiert schon nichts.“ Die Cyberversicherung ist noch nicht dort angekommen, wo sie sein sollte und könnte. Aber wir sind auf einem guten Weg.

Download: EY Forensics Datenklaustudie 2023

Cybercrime und Datenklau sind Bedrohungen, die deutsche Unternehmen zwar akzeptieren, aber nicht tatenlos hinnehmen müssen. Wer sich auf die Angriffe vorbereitet, kann Risiken minimieren und Schadenspotenzial reduzieren. Unser Team unterstützt Unternehmen bei der Einführung, Umsetzung und dauerhaften Integration von Cybersecurity- und Incident-Response-Maßnahmen gemäß dem aktuellen Stand der Technik.

Seit 2019 haben die Cyber Incidents und damit auch die Anfragen nach Cyberversicherungen zugenommen. Wie ist das profitabel zu managen?

Krickhahn: Teilweise kamen in dieser dynamischen Zeit tatsächlich mehr Schäden als Neuabschlüsse rein. Wir hatten daher keine Zeit, ein Portfolio aufzubauen, und konnten entsprechend aus keinem schöpfen. Reagieren mussten wir dennoch. Das war dann auch der Start für eine viel tiefere Risikoanalyse als zuvor, um eine bessere Qualifizierung vornehmen zu können. In Branchen mit schweren Risiken, den kritischen Infrastrukturen (KRITIS) zum Beispiel, fordern wir noch mehr Informationen, bevor wir dann sagen: damit können wir jetzt leben. Tatsächlich hat die Identifizierung der Schwachstellen seit 2019 dazu geführt, dass die Informationstiefe, aber auch die Risikoqualität bei heutigen Anfragen insgesamt besser ist. .

Meseke: Nicht nur die Technik, die Cybersecurity und die Cyberversicherungen entwickeln sich weiter, die Cyberkriminalität tut es leider auch. Wir sehen immer neue Bedrohungslagen, immer raffiniertere Angreifer und können darum immer nur wiederholen: Technische Sicherheit zu hinterfragen ist wichtig, aber mindestens ebenso wichtig ist es, auch die Prozesse zu üben, zu üben, zu üben. Wenn ein Krisenmanagementteam im Ernstfall zum allerersten Mal zusammenarbeitet, ist es eigentlich schon zum Scheitern verurteilt.

Wenn ein Krisenmanagementteam im Ernstfall zum allerersten Mal zusammenarbeitet, ist es eigentlich schon zum Scheitern verurteilt.

Welche sind die momentan größten Cyberbedrohungen?

Meseke: Der Platzhirsch ist weiterhin Ransomware, diese wird uns auch noch lange Zeit begleiten. Hier werden nicht nur die Methoden, sondern auch die Erpressungsmodelle perfider. Betroffene Unternehmen sollen nicht mehr nur ihre Daten zurückkaufen, sondern zusätzlich dafür zahlen, dass diese nicht veröffentlicht werden, und womöglich ein drittes Mal, um zu verhindern, dass ihre Kunden auch noch direkt erpresst werden.

Krickhahn: Ich kann Bodo Meseke nur zustimmen, da schon lange Ransomware as a Service im Darknet als Dienstleistung zu kaufen ist. Da werden dem Erpresser Tools zur Verfügung gestellt, und sollte er die nicht beherrschen, gibt es sogar eine Hotline zur Hilfestellung. Das ist ein Geschäftsmodell. Man findet heute aber im Netz auch schon Bewertungen, welche Hackergruppen zuverlässig den Schlüssel nach Lösegeldzahlungen liefern und welche nicht.

Meseke: Die zweite wesentliche Bedrohung – gerade im Kontext von Cyberversicherungen – ist der Business E-Mail Compromise (BEC), insbesondere der CEO Fraud. Ziel des BEC ist es, Zahlungen auszulösen oder umzuleiten, sodass die Angreifer finanziell profitieren. Dem geht gute Vorbereitung voraus: Die Hacker spionieren aus, wer im Unternehmen wofür verantwortlich ist, und basteln plausible Stories zusammen, damit eine Zahlung freigegeben wird.

Wird die Cyberversicherung für Unternehmen einmal so selbstverständlich wie die private Haftpflichtversicherung für Bürger?

Krickhahn: Bei vielen Unternehmen hat sie bereits einen hohen Stellenwert im Versicherungsportfolio, andere wollen den Preis nicht zahlen oder haben noch nicht den nötigen Reifegrad erzielt. Wiederum andere glauben: „Mir passiert schon nichts.“ Die Cyberversicherung ist noch nicht dort angekommen, wo sie sein sollte und könnte. Aber wir sind auf einem guten Weg.

Fazit

So wie eine Krankenversicherung nicht vor einem Beinbruch schützt, wehrt eine Cyberversicherung keine Hackerattacken ab. Aber: Im Ernstfall werden die akuten finanziellen Folgen gedeckt und Dienstleister zur Bewältigung der Krise bereitgestellt. Die oftmals mit dem Abschluss einer Cyberversicherung verbundene Reifegradprüfung in Sachen IT-Sicherheit sensibilisiert Unternehmen im Hinblick auf eine bessere Prävention vor Cyber Incidents.

Über diesen Artikel

Autoren

Mehr zum Thema

EU AI Act – ein Fahrplan

Der EU AI Act kommt. Was das für Ihr Unternehmen heißt und welche Schritte Sie jetzt einleiten sollten, lesen Sie hier bei EY.

„Das Gefahrenpotenzial von Cyberangriffen ist endlich in den Köpfen der Führungskräfte angekommen“

Die EY Datenklaustudie 2023 zeigt, dass Cybercrime für Unternehmen eine reale Gefahr ist. Erfahren Sie hier mehr über die aktuelle Bedrohungslage.

Retain or Regret: Die richtige Vorsorge für den Cybernotfall

Gefahren durch Hacker werden immer komplexer. Unternehmen müssen flexibler reagieren können. Wie Incident Response Retainer helfen können, lesen Sie hier.