Cyber-Versicherungen: Nachfrage übersteigt Angebot
Wer sich an den Sicherheitsvorgaben der Cyber-Versicherer orientiert, kann als Unternehmen sein Cyber-Risiko noch abdecken, sagt Cyber-Versicherungsexperte Bernd Eriksen im Gastbeitrag.
Noch im Jahr 2019 wurde – vor allem bei mittelständischen Unternehmen – der Sinn einer Cyber-Versicherung vielfach in Frage gestellt. Heute, eine Vielzahl von Cyber-Angriffswellen später, hat sich die Erkenntnis durchgesetzt, dass auch eine zeitgemäße IT-Sicherheit leider keinen ausreichenden Schutz vor Cyber-Angriffen bietet. Denn in Wahrheit bilden infolge von Phishing häufig die Mitarbeiter das erste Einfallstor für Angriffe und nicht nur die IT-Infrastruktur. Kurzum: Das Angriffsrisiko ist nicht vollständig beherrschbar. Dies macht deutlich, dass der erforderliche Bilanzschutz allein durch eine Cyber-Versicherung geboten ist. Sie fängt die immensen Kosten infolge einer Cyber-Attacke auf.
Status quo der IT-Bedrohungslage: Steigende Schadenskosten fordern Unternehmen
Dabei verändert sich die Bedrohungslage seit einiger Zeit. Absolut im Vordergrund stehen weiterhin Ransomware-Angriffe. Ähnlich dem weltweiten Trend offenbart eine Betrachtung der Entwicklung in Deutschland aber, dass im Jahr 2021laut Ransomware-Report 2021 von Sophos „nur“ noch 45 Prozent aller Unternehmen einem solchen Angriff zum Opfer gefallen sind. 2020 waren es noch 57 Prozent. Wie der tendenzielle Rückgang der Fallzahlen beweist, zeigt die massive Aufrüstung bei der IT- Sicherheit der letzten Jahre durchaus Wirkung.
Gleichzeitig haben sich allerdings nach den Berichten von Sophos die durchschnittlichen Schadenkosten bei denjenigen Unternehmen, die in Deutschland einem Angriff zum Opfer gefallen sind, exorbitant erhöht: Sie sind im Vergleich im Zeitraum von 2020 von durchschnittlich 0,47 Millionen Euro auf 1,1 Millionen im Jahr 2021 gestiegen. Dies zeigt, dass Cyber-Kriminelle immer zielgerichteter und professioneller arbeiten.
Diese Entwicklung ist auch den Cyber-Versicherern nicht verborgen geblieben, vor allem, weil sie aufgrund der rasanten Verbreitung der Cyber-Versicherung in immer größerem Umfang für die Schäden aufkommen müssen. Für Unternehmen, die bisher noch über keine Cyber-Police verfügen, führen die in den vergangenen Monaten daraufhin aufgestellten verschärften Anforderungen zu erheblichen Herausforderungen, um überhaupt den gewünschten Versicherungsschutz zu erhalten.
Firmen mit großen Umsätzen nützen keine standardisierten Versicherungsmodelle
Vielfach zeigt sich recht bald bei der Einholung von Angeboten, dass die in Betracht kommenden Versicherer die eingereichten Risikoinformationen für nicht geeignet halten und ein Angebot ablehnen. In Anbetracht der vielfältigen Tücken ist es in der Praxis insbesondere für Konzerne mit einem Umsatz von mehr als 100 Millionen Euro eigentlich nur mit Beratung durch einen auf Cyber-Policen spezialisierten und im Bereich IT-Sicherheit versierten Versicherungsmakler möglich, zu einer interessengerechten Deckung zu gelangen.
Entscheidend ist bei der Vorbereitung der Angebotsbeschaffung, dass geklärt ist, welche Mindestanforderungen die Versicherer jeweils an die IT-Sicherheit stellen. So nimmt oberhalb eines Umsatzes von 100 Millionen Euro die Komplexität der Anforderungen und der insoweit geforderte Erfüllungsgrad sprunghaft zu. Nach aktuellem Status ist es danach jedenfalls erforderlich, dass in der gesamten zu versichernden Unternehmensgruppe Mitarbeiter-Awareness-Schulungen, ein akribisches Patch- Management, ein funktionierendes Back-up-System, eine umfassende Multi-Faktor-Authentifizierung, ein schlüssiges Administrationskonzept und erprobte Krisenmanagementpläne bestehen.
Die Anforderungen der verschiedenen Versicherer differieren und sehen vielfach auch noch weitere Kriterien vor. Lässt man sich jedoch auf das Anforderungsprofil der Cyber-Versicherer ein und orientiert sich an deren Sicherheitsvorgaben, ist es auch heute im Versicherungsmarkt weiterhin möglich, eine werthaltige und auf die Belange der versichernden Unternehmensgruppe angepasste Absicherung des Cyber-Risikos mit ausreichender Deckungssumme zu erhalten.
Bernd Eriksen
leitet seit 2013 die Einheit Professional Lines bei SÜDVERS und verantwortet in dieser Funktion deutschlandweit den Vertrieb und die Betreuung von Cyber-, D&O- und Strafrechtsschutz-Versicherungen.