Cyberversicherungen: Kritische Risken sind nicht immer abgedeckt

Unabhängig davon, wie viele Sicherheitskontrollen in einem Unternehmen im Einsatz sind oder wie fortschrittlich deren Technologien sind: das Risiko für Cyberangriffe lässt sich nie ganz eliminieren. Die wichtigste Frage, die sich IT-Abteilungen heute stellen müssen, ist also längst nicht mehr, ob es zu einem Vorfall kommt bzw. wie man diesen am besten verhindern kann. Vielmehr müssen sich die Verantwortlichen fragen, wie sie die Auswirkungen eines potenziellen Angriffs eindämmen, potenzielle Kosten decken und so schnell wie möglich zum normalen Betrieb zurückkehren können. Cyberversicherungen werden daher immer attraktiver. Doch es gilt genau zu prüfen, welche Schäden abgedeckt sind.

Der Mittelwert der durch Cyberkriminalität verursachten Schäden lag im Jahr 2021 in Deutschland bei 20.792 US-Dollar, wie eine Umfrage des Versicherungsunternehmens Hiscox zeigt. Dabei liegen deutsche Firmen deutlich über dem internationalen Durchschnitt von 17.000 Dollar. Um diese Kosten im Ernstfall auszugleichen und das Risiko der sich stetig verschärfenden Bedrohungslandschaft besser kontrollieren zu können, setzen immer mehr Unternehmen auf eine Cyberversicherung. Versichern lässt sich dabei im Grunde fast alles, d.h. Schäden an der IT-Infrastruktur aufgrund von Schadsoftware, DDoS-Attacken oder Ransomware aber auch Umsatzeinbußen als Folge von Server-Ausfällen.

Anhaltende Ransomware-Welle verstärkt die Nachfrage

Vor allem die jüngste Welle schwerwiegender Ransomware-Angriffe hat den Druck auf IT- und Sicherheitsverantwortliche, eine entsprechende Versicherung abzuschließen, nochmals erhöht, wie eine neue Studie von Delinea zeigt. Ein Viertel der befragten IT-Professionals nannten konkret die jüngsten Vorfälle von Verschlüsselung und anschließender Cybererpressung als Hauptgrund für den Erwerb einer Cyber-Police. Für 40 Prozent war der Wunsch nach einer allgemeine Risikominderung ausschlaggebend für die Entscheidung und ein Drittel der Befragten gab an, sich auf Geheiß von Geschäftsleitung oder Vorstand um eine Versicherung gekümmert zu haben. Angesichts dieses Drucks von oben ist es auch nicht überraschend, dass 93 Prozent der IT-Manager das erforderliche Budget für den Abschluss ihrer Cyberpolicen schnell genehmigt bekommen haben.

Zahl der gemeldeten Schäden hat sich 2021 fast verdoppelt

Der Großteil der Unternehmen, die sich für eine Cyberpolice zur Absicherung von IT-Risiken entschieden haben, nutzt diese dann auch tatsächlich, wie die Delinea-Studie bestätigt. Demnach haben nahezu 80 Prozent der versicherten Firmen bereits Ansprüche geltend gemacht, mehr als die Hälfte davon mehrfach. Gleichzeitig vermeldet Hiscox Deutschland, dass sich die Zahl der gemeldeten Cyber-Schäden im Jahr 2021 im Vergleich zum Vorjahr fast verdoppelt hat. Dabei hat sich auch die Schadenquote pro Versicherungspolice gesteigert und liegt um 55 Prozent höher als im Jahr 2020.

Unternehmen müssen genau prüfen, welche Schäden abgedeckt sind

Die Versicherungsunternehmen reagieren auf diesen Wandel – und das nicht zugunsten ihrer Kunden. Einerseits erhöhen sie häufig die Prämien – um bis zu 300 Prozent bei der Erneuerung – und senken gleichzeitig die Deckungssummen, insbesondere für besonders gefährdete Sektoren, wie der Cyber Insurance Market Outlook Report von RPS zeigt. Versicherer, die im Jahr 2020 noch bereit waren, Cyber-Haftpflichtpolicen mit einer Deckungssumme von 5 Millionen US-Dollar auszustellen, legen demnach nun selbst bei Verlängerungen Limits von 1 bis 3 Millionen US-Dollar fest.

Andererseits ziehen sich Versicherungsunternehmen vermehrt von der Deckung kritischer Risiken zurück. So sind etwa Schäden durch Ransomware oder Kosten für Datenwiederherstellungen bei rund 50 Prozent der von Delinea befragten Unternehmen von der Police nicht mehr abgedeckt. Kosten von Lösegeld-Zahlungen nach einer Verschlüsselung (die an sich auch nicht unumstritten sind) werden nur in weniger als einem Drittel übernommen, wobei die Versicherer in vielen Fällen an der Entscheidung über die Zahlung beteiligt sein möchten und teilweise auch verlangen, noch vor den internen Notfallteams und den Strafverfolgungsbehörden über den Ransomware-Vorfall informiert zu werden. Und auch künftige Gewinneinbußen sind nur in wenigen Ausnahmefällen abgedeckt. Unternehmen, die eine Cyberversicherung abschließen wollen, müssen also genau prüfen, welche Risiken in welchem Umfang unter welchen Voraussetzungen abgedeckt sind, und Kosten und potenzielle Deckung dann genau abwägen.

Voraussetzungen, damit der Versicherungsschutz greift

Damit die Versicherung im Ernstfall dann auch einspringt, müssen Unternehmen Mindestkriterien im Hinblick auf ihre IT-Sicherheit erfüllen. Diese gilt es strikt einzuhalten und gut zu dokumentieren. In fast allen Fällen geht für den Versicherten dabei die Pflicht einher, dass die Mitarbeitenden ausreichend zum Thema Cybersicherheit geschult sind. Des Weiteren müssen in der Regel verschiedene sicherheitsrelevante Maßnahmen umgesetzt werden, damit der Versicherungsschutz greift. Dazu zählt etwa das Implementieren von Malware-Schutz, Antiviren-Software, die Durchsetzung einer Multi-Faktor-Authentifizierung (MFA) oder eine Datensicherung.

Dass immer mehr Unternehmen Schadensfälle geltend machen und sich die Schadenquote in den letzten Jahren immer mehr erhöht hat, ist jedoch ein Hinweis darauf, dass die von den Versicherern vorgeschriebenen Sicherheitstools und -verfahren nicht ausreichen, um eine Cyberhygiene zu gewährleisten, die der aktuellen Bedrohungslage gerecht wird. Tatsächlich werden kritische Sicherheitskontrollen, die die Kompromittierung von Identitäten und Datendiebstahl verhindern, nur selten von den Versicherten verlangt. So wird etwa ein angemessenes Privileged Access Management (PAM) von weniger als 30 Prozent der Cyber-Policen vorgeschrieben, und das, obwohl der Missbrauch von privilegierten Zugangsdaten und Identitäten mittlerweile eine der häufigsten Methoden von Hackern ist, um die Netzwerke und Systeme von Unternehmen zu infiltrieren.

Fazit

Eine Cyberversicherung bietet Unternehmen ein gewisses Maß an Sicherheit, ist aber dennoch kein Garant dafür, dass die Kosten eines Cybervorfalls auch tatsächlich ausgeglichen werden. Zum einen decken viele Standardversicherungen kritische Risiken nicht (voll) ab, zum anderen sind die von den Versicherungen vorgegebenen Mindestvoraussetzungen kein gutes Maß, um eine angemessene Cybersecurity-Strategie zu entwickeln.