Heute befassen wir uns mit einer Frage, mit der sich viele Unternehmensleiter auseinandersetzen: "Lohnt sich die Investition in eine Cybersicherheitsversicherung?"
Die erste Cyber-Versicherungspolice kam 1997 auf den Markt.
Sie war recht bescheiden und sollte Einzelhändlern helfen, sich gegen das Risiko des Diebstahls von Kreditkartennummern ihrer Kunden abzusichern. Für nur 2.500 Dollar pro Jahr konnte das Unternehmen eine Deckung von bis zu 250.000 Dollar für Rechtskosten und Vergleichsgebühren erhalten. Wenn das Unternehmen eine Sicherheitsprüfung durch einen Dritten bestand, konnte der Preis auf unter 2.000 Dollar pro Jahr gesenkt werden.
Im Jahr 2017 war die Cyberversicherung der am schnellsten wachsende Bereich in der Versicherungsbranche. Doch bis zur Pandemie war sie noch recht einfach zu bekommen, wenn auch mit zunehmenden Einschränkungen und Ausschlüssen. Ein enormer, globaler Vorstoß in die digitale Wirtschaft bedeutete mehr Cyberangriffe, was wiederum mehr Auszahlungen für Versicherungsunternehmen bedeutete.
Versicherungsgesellschaften verlangen jetzt strengere Sicherheitskontrollen und -strategien, bevor sie Versicherungsschutz gewähren, und sie prüfen Ansprüche mit größerer Sorgfalt. Die in die Höhe geschnellten Kosten für den Versicherungsschutz und die Reaktion auf einen Vorfall haben dazu geführt, dass sich Unternehmen mit den Vorteilen und Nachteilen einer Versicherung auseinandersetzen müssen.
Was deckt die Versicherung ab und was wollen die Versicherungsgesellschaften?
Die Cyber-Versicherung hat sich im Prinzip nicht viel verändert. Sie hilft, die Kosten für die Untersuchung und Behebung von Sicherheitsverletzungen und Angriffen wie Ransomware zu decken. Dazu gehören die Wiederherstellung verlorener Daten, die Benachrichtigung der betroffenen Parteien, Anwaltskosten, Geldbußen und Gerichtsverfahren.
Die Grundlage der meisten Versicherungspolicen besteht darin, dass das Risiko von vornherein mit angemessener Sorgfalt gemindert wurde. In Bezug auf die Cybersicherheit kann man davon ausgehen, dass von Unternehmen erwartet wird, dass sie die branchenüblichen Verfahren zur Sicherung von Geräten, Anwendungen und Zugängen anwenden.
Allerdings werden die Anforderungen für die Aufnahme in den Versicherungsschutz strenger geworden. Hier ist, wonach sie suchen:
1. Aktive Maßnahmen zur proaktiven Prävention von Cybersicherheitsvorfällen
Vielleicht haben Sie schon einmal das Gerücht gehört, dass die Kfz-Versicherung nicht für einen Diebstahl aufkommt, wenn Sie Ihre Türen unverschlossen oder den Schlüssel im Auto stecken lassen. Unternehmen, die eine Cyber-Versicherung abschließen möchten, müssen eine Reihe von Sicherheitsmaßnahmen und Vorsichtsmaßnahmen einhalten, wie z. B.:
- Grundlegende Cyber-Hygiene wie Multi-Faktor-Authentifizierung
- SOC2-Konformität, die festlegt, wie Unternehmen Kundendaten verwalten sollten
- Angemessene Sicherheitsüberprüfung von software und Anbietern von Cloud-Lösungen
- Branchen mit hohem Verwaltungsaufwand wie das Finanz- und Gesundheitswesen haben ihre eigenen Standards wie HIPPA und PCI DSS zu erfüllen.
2. Pläne zur Schadensminimierung, wenn das Unternehmen Opfer eines Angriffs wird
Heutzutage sind Cybervorfälle nicht mehr eine Frage des "ob", sondern des "wann". Versicherungsanbieter wollen die Gewissheit haben, dass das Unternehmen nach einem Angriff nicht erst nach und nach eine Antwort findet.
- Detaillierte Reaktions- und Wiederherstellungspläne
- Verfahren, für die forensische Untersuchungen durchgeführt werden und von wem
- Welche juristischen Parteien das Unternehmen zur Bewältigung der Folgen des Vorfalls einschalten wird
3. Aktuelle Sicherheitstools und -architektur
Die Anfälligkeit der Lieferkette software und die damit verbundenen Risiken waren in den letzten Jahren Gegenstand vieler Gespräche. Bewährte Praktiken zur Isolierung eines Eindringlings haben sich weiterentwickelt - der Netzwerkrand kann nicht mehr als einzelner Ausfallpunkt fungieren.
- Werkzeuge sind im Allgemeinen sicher. Sie weisen keine große Anzahl von Schwachstellen oder Zero-Day-Fehlern auf.
- Die Tools werden von Anbietern bereitgestellt, die eine gute Sicherheitsbilanz vorweisen können und bei denen in letzter Zeit keine Sicherheitslücken aufgetreten sind.
- Das Unternehmen kann zeigen, dass es Schwachstellen schnell behebt.
- Netzwerke werden so konzipiert, konfiguriert und segmentiert, dass sie die Sicherheit fördern, insbesondere in der Cloud.
Wie sollten Unternehmen über Cyber-Versicherungsrisiken denken?
Aus gutem Grund ist die Cyberversicherung auf dem Radar der Unternehmensführung, der Finanzabteilung und des Risikomanagements aufgetaucht. Die Wahrscheinlichkeit, der potenzielle Schaden und die damit verbundenen Kosten einer Sicherheitsverletzung oder Störung sind höher als je zuvor. Gleichzeitig erschweren die Anbieter von Cyber-Versicherungen den Versicherungsschutz und decken weniger ab, während sie mehr verlangen.
Die Führungsebene muss in die Entscheidungen über Cyber-Versicherungen einbezogen werden. Der Einsatz ist einfach zu hoch für alles andere. Die Cyber-Versicherung befindet sich an der Schnittstelle von Budget, Risiko und Sicherheitsstrategie. Sie muss auf eine Art und Weise angegangen werden, die allen dreien dient.
Seien Sie realistisch, was die Cybersicherheitslage Ihres Unternehmens angeht. Die Anforderungen an die Cyberversicherung sind ein bewegliches Ziel. Die Angriffsmethoden entwickeln sich ständig weiter, während viele Umgebungen und Systeme mit veralteten Kontrollen arbeiten, die nicht modernisiert werden können. Eine Bestandsaufnahme der Merkmale Ihrer Sicherheitslandschaft ist für die Entscheidungsfindung in Bezug auf eine Versicherung unerlässlich.
Prüfen Sie, ob sich eine Cyberversicherung überhaupt lohnt. Da die Kosten steigen und der Versicherungsschutz immer löchriger wird, kann eine Cyberversicherung genauso viel kosten wie die Beseitigung der Folgen eines Vorfalls. Die Entscheidung, für eine Cyberversicherung zu zahlen oder in die Sicherheit des Unternehmens zu investieren, ist heikel - aber eine Überlegung wert.
Die Zukunft der Cyberversicherung
Die Cyber-Versicherung wird sich weiterhin an die sich verändernde Bedrohungslandschaft von heute und morgen anpassen. Es gibt viele Fragen, für die die Versicherungsanbieter noch keine Leitlinien festlegen müssen.
Beispielsweise können Angriffe auf industrielle Umgebungen physische, schwerwiegende Folgen haben, die weit über den Diebstahl vertraulicher Daten hinausgehen. Die Anbieter haben noch nicht herausgefunden, wie sie diese Art von Folgen richtig versichern können.
Zum anderen ist die Risikokaskade, die mit Drittanbietern und Auftragnehmern einhergeht, aus versicherungstechnischer Sicht undurchsichtig.
Dann gibt es noch das Gesetz der unbeabsichtigten Folgen. So kann ein versichertes Unternehmen beispielsweise eher bereit sein, Ransomware-Forderungen zu erfüllen, weil es weiß, dass es entschädigt wird.
Unabhängig davon, ob sich ein Unternehmen für eine Cyberversicherung entscheidet, muss jedes Unternehmen verstehen, dass Sicherheit ein wichtiger Faktor für das Geschäft ist. Eine angemessene Sicherheit ermöglicht es Unternehmen, ihrer digitalen Infrastruktur zu vertrauen, die als Plattform für Innovation und Agilität dient. Dies ist nicht möglich, wenn Sicherheit als eine Maßnahme zum Abhaken behandelt wird, die in erster Linie darauf abzielt, die Versicherungskosten zu senken.
