Warum eine Cyberversicherung nur ein Teil des Risikomanagements ist

Immer mehr Unternehmen schließen sie ab – doch noch mehr sollten sie haben: ein Interview über Sinn und Zweck von Cyberversicherungen

Überblick

• Laut Datenklaustudie 2023 von EY stieg die Zahl der Unternehmen mit Cyberversicherung um 10 Prozentpunkte, viele planen noch den Abschluss.
• Um mit einer Cyberversicherung die Folgen einer Cyberattacke absichern zu können, müssen Unternehmen Voraussetzungen erfüllen.
• Der Versicherungsschutz mildert die finanziellen Folgen einer Cyberattacke, ist aber keine Prävention.

Versicherungen sind ein probates Mittel, um den Risiken des Lebens beruhigter zu begegnen. Dank ihnen muss die Blinddarm-OP ebenso wenig aus eigener Tasche bezahlt werden wie die Stoßstange des anderen Autos bei einem Auffahrunfall.

Seit nunmehr etwa elf Jahren gibt es spezielle Versicherungsprodukte auf dem deutschen Markt, mit denen sich Unternehmen im Fall eines Cyberangriffs vor allem vor den akuten finanziellen Folgen schützen können. Laut der Datenklaustudie 2023 von EY stieg der Anteil der Unternehmen mit einer Cyberversicherung im Vergleich zur Vorstudie von 2011 von 36 auf 46 Prozent; jedes dritte Unternehmen, das noch keine solche Versicherung abgeschlossen hat,  plant dies noch zu tun. Cyber Incidents nehmen nicht nur zahlenmäßig, sondern auch an Raffinesse zu – und damit die Bedrohung. Bodo Meseke und Thomas Koch, beide Partner der Forensic & Integrity Services bei EY, sowie Jens Krickhahn, Practice Leader Cyber & Fidelity bei Allianz Commercial, beleuchten im Interview Zweck und Bedingungen einer Cyberversicherung: eines komplexen Produkts, das immer nur ein Baustein des Risikomanagements und der Vorbereitung auf Cyberangriffe sein kann und darf.

EY ist seit mehreren Jahren einer der designierten Dienstleistungspartner der Allianz Commercial im Bereich Cyberversicherungen. So können Kunden des Versicherers bei Bedarf die Cyber-Response-Dienstleistungen von EY zu vordefinierten Konditionen abrufen.

Herr Krickhahn, Herr Meseke, Herr Koch: Wem würden Sie eine Cyberversicherung empfehlen?

Jens Krickhahn: Das ist immer eine Kosten-Nutzen-Abwägung für ein Unternehmen. Hält es aufgrund des Geschäftsmodells viele personenbezogene Daten vor oder verwendet es in der Produktion viel Operational IT, sollte man im Risikomanagement über eine Cyberversicherung nachdenken.

Bodo Meseke: Sinnvoll ist eine Cyberversicherung mittlerweile eigentlich für jeden, sie ist allerdings nicht für jeden finanziell darstellbar. Und nicht jedes Unternehmen hat den notwendigen Reifegrad, um überhaupt eine Police zu bekommen. Gerade die kleineren haben ihn oft nicht. Wer sich eine Cyberversicherung nicht leisten kann oder will, muss technisch vorbeugen und auch Rücklagen bilden, um den potenziellen Schaden selbst finanziell abmildern zu können. Denn irgendwann kann es jeden, auch kleine Unternehmen, treffen. Mit diesem Risiko müssen heute leider alle leben.

Was bedeutet in diesem Zusammenhang „Reifegrad“?

Krickhahn: Um einen Versicherungsschutz anbieten und gewährleisten zu können, haben wir insgesamt zwölf Kernkriterien benannt, die mögliche Versicherte erfüllen müssen. Das bedeutet: Wir prüfen prozessuale und technische Bereiche, ob beispielsweise Awareness-Trainings gemacht werden, ob Mitarbeiter für den Umgang mit Daten sensibilisiert sind und so weiter.

Auf der technischen Seite spielen unter anderem Patch-Management und eine vernünftige Backup Policy eine große Rolle. Wichtig sind für den Fall eines Cyberangriffs Krisenpläne, die regelmäßig mit dem kompletten Krisenstab geübt werden. Die Cyberversicherung kann immer nur ein Teil des Risikomanagements sein. Sich in Friedenszeiten auf den Ernstfall vorbereiten – das ist es, was Unternehmen tun müssen. Je besser und gründlicher sie das hinbekommen, desto höher der Reifegrad.

Thomas Koch: Die Versicherung ist ja nicht die Gegenreaktion auf eine Cyberattacke, sondern sie bezahlt die Gegenmaßnahmen. Es ist per se allerdings nicht zielführend, über die Versicherung zwar die finanziellen Mittel verfügbar zu haben, jedoch kein Konzept, wie ich als Unternehmen im Ernstfall auf einen Cyberangriff reagieren soll.

Ähnlich verhält es sich mit präventiven Investitionen in Cybersicherheit: Sie bringen an der falschen Stelle schlicht gar nichts. Die meisten Schwachstellen finden sich nicht einmal im technischen Bereich, sondern sind ganz praktischer Natur: Es sind in der Regel menschliche Fehler und mangelndes Risikobewusstsein, die erfolgreiche Cyberattacken ermöglichen.

Welche sind die momentan größten Cyberbedrohungen?

Meseke: Der Platzhirsch ist weiterhin Ransomware, diese wird uns auch noch lange Zeit begleiten. Hier werden nicht nur die Methoden, sondern auch die Erpressungsmodelle perfider. Betroffene Unternehmen sollen nicht mehr nur ihre Daten zurückkaufen, sondern zusätzlich dafür zahlen, dass diese nicht veröffentlicht werden, und womöglich ein drittes Mal, um zu verhindern, dass ihre Kunden auch noch direkt erpresst werden.

Krickhahn: Ich kann Bodo Meseke nur zustimmen, da schon lange Ransomware as a Service im Darknet als Dienstleistung zu kaufen ist. Da werden dem Erpresser Tools zur Verfügung gestellt, und sollte er die nicht beherrschen, gibt es sogar eine Hotline zur Hilfestellung. Das ist ein Geschäftsmodell. Man findet heute aber im Netz auch schon Bewertungen, welche Hackergruppen zuverlässig den Schlüssel nach Lösegeldzahlungen liefern und welche nicht.

Meseke: Die zweite wesentliche Bedrohung – gerade im Kontext von Cyberversicherungen – ist der Business E-Mail Compromise (BEC), insbesondere der CEO Fraud. Ziel des BEC ist es, Zahlungen auszulösen oder umzuleiten, sodass die Angreifer finanziell profitieren. Dem geht gute Vorbereitung voraus: Die Hacker spionieren aus, wer im Unternehmen wofür verantwortlich ist, und basteln plausible Stories zusammen, damit eine Zahlung freigegeben wird.

Wird die Cyberversicherung für Unternehmen einmal so selbstverständlich wie die private Haftpflichtversicherung für Bürger?

Krickhahn: Bei vielen Unternehmen hat sie bereits einen hohen Stellenwert im Versicherungsportfolio, andere wollen den Preis nicht zahlen oder haben noch nicht den nötigen Reifegrad erzielt. Wiederum andere glauben: „Mir passiert schon nichts.“ Die Cyberversicherung ist noch nicht dort angekommen, wo sie sein sollte und könnte. Aber wir sind auf einem guten Weg.