Der Markt für Cyberversicherungen hat sich in den letzten Jahren teils drastisch verändert. Die steigenden Ausgaben aufgrund von Cyberkriminalität setzen Versicherungsnehmer und Versicherer gleichermaßen unter Druck. Laut jüngster Prognosen belaufen sich diese Ausgaben weltweit voraussichtlich innerhalb der nächsten vier Jahre auf schwindelerregende 23,8 Billionen Dollar [1]. Eine der Folgen ist, dass Versicherer künftig vor Rentabilitätsproblemen stehen werden. Dazu kommen Bedenken, ob Cyberrisiken künftig überhaupt noch versicherbar sind. Die Auswirkungen sind bereits spürbar.
Die Prämien sind zuletzt stark gestiegen und machen Cyberversicherungen zunehmend unerschwinglich. Nicht wenige entscheiden sich deshalb dafür, lieber die Deckung ihrer Versicherung zu verringern und stattdessen stärker in die Cybersicherheit selbst zu investieren [2]. Neben Prämienanpassungen haben Versicherer noch einen anderen Hebel, ihre Kosten zu senken: Sie schränken den Versicherungsschutz ein – und das, während gleichzeitig die Compliance-Anforderungen strenger werden. Im Vereinigten Königreich hat das Information Commissioner’s Office (ICO) beispielsweise damit begonnen, Firmen und Organisationen, die von Datenschutzverletzungen betroffen waren, publik zu machen.
Angesichts dieser Herausforderungen gänzlich auf eine Cyberversicherung zu verzichten ist für kein Unternehmen eine sinnvolle Option. Schon gar nicht für Finanzdienstleister. Im Ernstfall kann eine Cyberversicherung für das wirtschaftliche Überleben entscheidend sein. Cyberkriminelle sind bei ihren Angriffen so rücksichtlos wie kreativ. Kommt es zu einer Sicherheitsverletzung, sind Firmen auf eine sofortige Kostendeckung angewiesen, um die Schäden zu beheben. Idealerweise schließt die Deckung auch indirekte Kosten ein, wie sie etwa durch die Auswirkungen auf die Lieferkette und das Ökosystem insgesamt entstehen können.
Gerade für Banken und Finanzdienstleister stellt sich die Frage, wie sie weiterhin versicherbar bleiben wollen und das zu einem erschwinglichen Prämienvolumen. Der Schlüssel liegt in einem soliden Sicherheitskonzept, das auch der Prüfung durch einen Versicherer standhält.
Sicherheitsnachweise erbringen
Cyberversicherer werden beim Thema Risikobewertung/Risk Assessment immer anspruchsvoller. Viele schließen mittlerweile nationalstaatlich gestützte Angriffe in ihren Policen aus und überprüfen vorhandene Sicherheitsmaßnahmen. Werden diese als unzureichend bewertet, kann die Police gänzlich abgelehnt werden oder der Abschluss kommt nur zu deutlich höheren Prämien zustande. Einige Versicherer sind inzwischen dazu übergegangen, Verstöße durch eigene forensische Experten einschätzen zu lassen, bevor sie Mittel zur Deckung freigeben.
Damit die Prämien erschwinglich bleiben, müssen Firmen einen umfassenden Einblick in ihre Sicherheitsvorkehrungen zulassen. Dazu gehört beispielsweise der Nachweis, dass verschiedene Sicherheitsmodelle evaluiert und in den Bereichen Infrastruktur, Datenmanagement, mobile Geräte, Netzwerk, Anwendungen, Endgeräte und E-Mail-Sicherheit die bestmöglichen Lösungen implementiert wurden. Gut dokumentierte Verfahren für das Schwachstellenmanagement und Pläne für die Vorfallsreaktion sind ebenfalls bedeutsam.
Bei der Auswahl von Sicherheitslösungen sollte man sich für solche entscheiden, die von renommierten, unabhängigen Software-Rating-Agenturen genau geprüft und deren Wirkungsgrad als »hoch« bewertet wurde. Das bietet beiden Seiten, Versicherern und Versicherungsnehmern, die notwendige Gewährleistung.
Ressourcenzuweisung und Fachwissen
Ein wichtiges Kriterium bei der Risikobewertung durch einen Versicherer ist der Umfang der für die IT-Sicherheit bereitgestellten Ressourcen. Versicherer haben inzwischen erkannt, dass es kaum mehr bezahlbar ist, entsprechendes Fachwissen intern vorzuhalten. Die Auslagerung an seriöse Managed-Service-Anbieter wird deshalb oftmals positiv bewertet.
Anwendungssicherheit
Der Fokus von Sicherheitsmaßnahmen hat sich auf den Schutz von APIs, Cloud-Sicherheit und Bot-Management verlagert. Beim Thema Applikationssicherheit sollten Firmen auf die Herkunft ihrer Lösungen und auf deren Wartungsfreundlichkeit hinweisen. Versicherer sind naturgemäß misstrauisch bei Lösungen, die sich nur schwer patchen lassen, weil sie ein höheres Risiko darstellen.
Man darf nicht außer Acht lassen, dass selbst die besten Sicherheitslösungen kompromittiert werden können, wenn sie nicht optimal eingesetzt werden. Wenn beispielsweise die Multi-Faktor-Authentifizierung nur für Desktop- und Schlüsselanwendungen implementiert wird, während scheinbar weniger wichtige Server vernachlässigt werden, entstehen potenzielle Schwachstellen. Erst kürzlich wurde eine neue Phishing-as-a-Service (PhaaS)-Plattform unter dem dem Namen ONNX Store gesichtet, die sich speziell gegen Finanzdienstleister richtet. Mit Hilfe von Telegram-Bots haben Cyberkriminelle die Möglichkeit, Phishing-Kampagnen zu lancieren und die Vorkehrungen einer Multi-Faktor-Authentifizierung zu umgehen.
Kampf gegen Phishing- mit Technologie und Training
Phishing per E-Mail ist nach wie vor eine der gängigsten Methoden und kommt bei fast allen Angriffen zum Tragen. Firmen sollten in moderne Technologien investieren, die auch vor neuartigen Bedrohungen wie QR-Codes, QakBot und URL-Umleitungen schützen. Das können neue Produkte und Lösungen ebenso sein, wie bereits vorhandene mit soliden Entwicklungsplänen. Dazu sollte immer eine gründliche Due-Diligence-Prüfung kommen, ebenso wie eine ordnungsgemäße Implementierung und rigorosen Testaktivitäten. Versicherer kennen die mit Phishing verbundenen Risiken und schätzen sie durchaus realistisch ein. Das zeigt sich deutlich an den detaillierten Informationen, die mittlerweile zu den Sicherheitsmaßnahmen für Endgeräte und E-Mail abgefragt werden. Ein guter Nachweis, dass Firmen die bestehenden Risiken dauerhaft senken wollen, sind umfassende Security-Awareness-Programme. Gerade das Dauerfeuer durch Phishing-Angriffe fordert ständige Aufmerksamkeit. Professionelle Kriminelle nutzen fortschrittliche Techniken und KI-basierende Technologien für immer raffiniertere Betrugsversuche. Ein vorausschauender Ansatz, der auch die potenziellen Folgen abmildert, kann beim Aushandeln der Versicherungsprämie vorteilhaft sein.
Zwei, die zusammengehören: Cybersicherheitsmaßnahmen und Versicherungsprämien
In dem Maße, in dem sich Cyberbedrohungen weiterentwickeln, werden Sicherheitsmaßnahmen und Versicherungsprämien immer enger miteinander verknüpft. Unternehmen, die ein umfassendes, proaktives Sicherheitskonzept vorweisen (inklusive von Investitionen in Technologien, Ressourcen und die Schulung der Benutzer) sichern sich eher als andere günstige Bedingungen.
Dazu sollten Versicherungsnehmer sich auf die obigen Schlüsselbereiche konzentrieren und den Versicherern überzeugende Nachweise zur Sicherheitslage insgesamt liefern können. Das gewährleistet nicht nur bestmöglichen Schutz vor Bedrohungen, sondern stellt auch sicher, dass sie zu erschwinglichen Tarifen versicherbar bleiben.
Cyberbedrohungen werden immer komplexer und kostspieliger. Der beschriebene Ansatz sorgt langfristig für Resilienz und gewährleistet das wirtschaftliche Überleben.
David Corlette, VP Product Management, VIPRE Security Group
[1] https://www.raconteur.net/risk-regulation/what-happens-cyber-insurance-unviable#https://www.raconteur.net/risk-regulation/what-happens-cyber-insurance-unviable
[2] https://www.risk.net/risk-management/7955663/financial-firms-rethink-after-cyber-insurance-premium-spike
111 Artikel zu „Cyberversicherung“
News | IT-Security | Tipps | Ausgabe 3-4-2024 | Security Spezial 3-4-2024
Cyberversicherungen – Beitragskosten mit sicherheitstechnischer Proaktivität spürbar reduzieren
Cyberversicherungen gelten unter IT-Entscheidern mittlerweile als probates Mittel, eigene Cyberrisiken auszulagern. Jedoch: Quantität und Qualität der Cyberangriffe haben in den vergangenen Jahren kräftig angezogen – und tun es noch. Cyberversicherer haben reagiert. Die Beiträge und die sicherheitstechnischen Anforderungen an Unternehmen, die eine Cyberversicherung in Anspruch nehmen wollen, sind signifikant gestiegen. Jedoch werden Versicherten nun auch Möglichkeiten eröffnet, Beitragssätze zu senken, indem sie sich vor Cyberbedrohungen schützen. Gelingt es Unternehmen, ihre IT-Sicherheit nachweislich zu optimieren, können sie von der neuen Lage am Cyberversicherungsmarkt nachhaltig profitieren.
News | IT-Security | Lösungen | Ausgabe 1-2-2024 | Security Spezial 1-2-2024
Cyberversicherungslösungen – Die Feuerversicherung des 21. Jahrhunderts
Cyberkriminalität ist äußerst lukrativ, sie ist auch deshalb die am schnellsten wachsende Branche weltweit. Angesichts dieser Entwicklung, bei der Unternehmen jeglicher Größe und Branche ins Visier geraten, wächst die Notwendigkeit professioneller Unterstützung im Bereich der Cybersicherheit schnell. Vor diesem Hintergrund positioniert sich die Ecclesia Cyber als zuverlässiger Partner und unterstützt Unternehmen mit maßgeschneiderten Versicherungslösungen und einem hochwertigen Expertennetzwerk aus dem Bereich Cybersicherheit.
News | IT-Security | Ausgabe 7-8-2023 | Security Spezial 7-8-2023
Cyberversicherungen – Zeit ist Geld
Ransomware-Angriffe finden täglich statt, auch auf kleine und mittelgroße Unternehmen. Cyberversicherungen decken nicht nur den finanziellen Schaden ab sondern stellen über ihr Assistenz-Netzwerk IT-Forensiker, Verhandlungsspezialisten, IT-Rechtsbeistand und Kommunikationsprofis für eine schnelle und professionelle Hilfe zur Verfügung.
News | Veranstaltungen
Sicher ist sicher: Cyberversicherungen erfolgreich abschließen
News | Business | IT-Security | Services | Tipps
Wie sinnvoll ist eine Cyberversicherung?
Die Absicherung durch eine Cyberversicherung gilt nur für den Schadensfall aus der Police – Cyberattacken vorbeugen und IT-Infrastruktur absichern müssen Unternehmen dennoch. Dramatische Angriffe auf die Cybersicherheit bedrohten in den vergangenen Jahren Großkonzerne genauso wie kleine und mittlere Unternehmen (KMU). Betroffene Betriebe stehen vor immensen finanziellen Schäden – vom angekratzten Ruf ganz zu schweigen.…
News | Business | Lösungen | Ausgabe 9-10-2019
Neues Wording bei Cyberversicherungen für mehr Transparenz – Feuerversicherung des 21. Jahrhunderts
News | Sicherheit made in Germany | Ausgabe 5-6-2019 | Security Spezial 5-6-2019
Cyberversicherung – Cyberdeckung als Selbstverständlichkeit
News | Business | IT-Security | Services
Cyberversicherung: »Die finanziellen Folgen von Angriffen auf IT-Systeme lassen sich mit Versicherungen in den Griff bekommen«
»Vorstände, Geschäftsführer und Firmeninhaber, die ihre Unternehmen nicht gegen Gefahren aus dem Internet absichern, handeln grob fahrlässig«, sagt Johannes Sczepan, Geschäftsführer der Finanzberatungsgruppe Plansecur. »Allerdings ist es angesichts der Vielzahl der möglichen Angriffsszenarien schwierig, die passende Versicherungskombination zu finden«, räumt der Finanzfachmann ein. Er verweist auf die aktuelle Studie »IT-Sicherheit 2019« des eco – Verband…
News | Business | Trends Wirtschaft | Trends Services | Geschäftsprozesse | Trends 2018 | IT-Security | Strategien
Industrie setzt zunehmend auf Cyberversicherungen
14 Prozent haben Policen gegen digitale Angriffe abgeschlossen. Vor allem Großunternehmen setzen auf Cyberversicherungen. In der deutschen Industrie wächst der Markt für Cyberversicherungen: Jedes siebte Industrieunternehmen (14 Prozent) hat bereits eine Versicherung gegen digitale Wirtschaftsspionage, Sabotage oder Datendiebstahl abgeschlossen. Vor zwei Jahren waren es erst 11 Prozent. Das ist das Ergebnis einer…
News | Business | IT-Security | Lösungen | Services | Sicherheit made in Germany | Ausgabe 5-6-2018
Cyberversicherungen – Absicherung existenzbedrohender Risiken
News | Business | IT-Security | Online-Artikel
Wachsende Bedeutung der Cyberversicherungen
Anforderungen der Versicherungen könnten Schutzlevel allgemein fördern. »Zyniker würden behaupten, die Cyberversicherung ist eine kostengünstige Form des Risikomanagements. Viele Experten jedoch sehen die Cyberversicherungswirtschaft als potenziell neuen Treiber guter IT-Sicherheitspraktiken«, erklärt Thorsten Henning, Senior Systems Engineering Manager Central & Eastern Europe bei Palo Alto Networks. Im Laufe der letzten zehn Jahre konnten wir die Anwendung…
News | IT-Security | Kommunikation | Strategien | Tipps
Eine gemeinsame Sprache finden: Ein Leitfaden für CISOs
Wie man die Vorstands- und Führungsebene beim Thema Cybersicherheit ins Boot holt. Ein Chief Information Security Officer (CISO) weiß, wie es sich anfühlt unter mikroskopisch genauer Dauerbeobachtung zu stehen. Angesichts der nicht enden wollenden Schlagzeilen zu Sicherheitsverletzungen, nimmt der Druck weiter zu, die Daten und damit die Vermögenswerte eines Unternehmens wirksam zu schützen. Die Leistung…
News | IT-Security | Services | Tipps
BSI empfiehlt mehrschichtigen Schutz vor DDoS-Angriffen
Angesichts der zunehmenden Anzahl und Intensität von DDoS-Angriffen hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) Kriterien zur Identifikation qualifizierter Sicherheitsdienstleister zum Schutz vor DDoS-Angriffen veröffentlicht [1]. DDoS-Angriffe führen nicht nur zu großen wirtschaftlichen Schäden, sondern auch zu Reputationsverlusten, wenn Dienste nicht verfügbar sind oder Daten abfließen. Zur Bewältigung dieser Bedrohungen ist die Unterstützung…
News | Business | IT-Security | Services
Versicherer als Cybersecurity Auditor
Angesichts der aktuellen Bedrohungslage bei der Cybersicherheit steigen (wenig überraschend) die Prämien der Cyberversicherer. Gleichzeitig tummelt sich eine Vielzahl unterschiedlicher Anbieter von Cybersicherheitslösungen im Markt, wobei die Angebote insgesamt wettbewerbsfähiger geworden sind. Eine Chance für Entscheider, ihre Cybersicherheitsmaßnahmen zu überprüfen und wenn nötig, zu verstärken. Unternehmen kämpfen weiterhin mit den Folgen massiver Ransomware-Wellen, und…
News | Trends 2023 | Business | Trends Wirtschaft
Vergütung von Mehrarbeit: Die Hälfte der Überstunden wird nicht bezahlt
https://de.statista.com/infografik/17994/so-viele-eeberstunden-machen-die-deutschen/ FDP-Chef Christian Lindner will den Menschen in Deutschland Lust auf Überstunden machen. Konkret wollen die Liberalen Mehrarbeit steuerlich begünstigen. Indes gibt es da ein zentrales Problem: Mehr als die Hälfte der Überstunden werden überhaupt nicht bezahlt. So entfielen laut Institut für Arbeitsmarkt- und Berufsforschung 2023 auf jeden Arbeitnehmer im Schnitt 31,6 zusätzliche Arbeitsstunden –…
News | IT-Security | Ausgabe 3-4-2024 | Security Spezial 3-4-2024
Mehr Pragmatismus bei der Umsetzung von Datenschutzkonzepten – Einfach mal machen
Der Umgang mit dem Thema Datenschutz lässt sich wunderbar mit der britischen Metapher »der Elefant im Raum« umschreiben: allen ist klar, dass Handlungsbedarf besteht, aber längst nicht alle wollen das Problem konkret anpacken und lösen. Mit dieser Kopf-in-den-Sand-Strategie werden Unternehmen den Herausforderungen des Datenschutzes schon lange nicht mehr gerecht. Im Gegenteil. Es besteht dringender Handlungsbedarf. Etwas mehr Zuversicht und Pragmatismus würden helfen, ein höheres Maß an Schutz zu etablieren und den Elefanten zum Mond zu jagen, findet Andreas Steffen, CEO von eperi.
News | Infrastruktur | IT-Security | Rechenzentrum | Services | Tipps
World Backup Day 2024 – Schnelle Wiederherstellung wird von der Kür zur Pflicht
Betriebliche Notwendigkeit und rechtliche Vorgaben wie NIS2 und DORA machen belastbare Data-Protection-Konzepte und konkrete SLAs unverzichtbar. Markus Grau, Enterprise Architect im EMEA CTO-Office von Pure Storage, erläutert wie und warum die Leistungsfähigkeit einer Data-Protection-Umgebung präzisiert und gesteigert werden kann, um sich verschärfende Anforderungen zu erfüllen. Er kommentiert anlässlich des World Backup Day 2024: Da…
Trends 2024 | News | Digitalisierung | Favoriten der Redaktion | Infrastruktur | Services | Strategien | Whitepaper
Technisches Wachstum führt in den meisten Unternehmen zu Chaos
86 % der Unternehmen haben ihre Technologie-Landschaft erheblich erweitert, aber 76 % sagen, dass dies eine größere Herausforderung darstellt. Die Herausforderungen manifestieren sich auf drei Arten: »Operatives Chaos«, »Konnektivitäts-Chaos« und »IT-Chaos«. Die Software AG hat Herausforderungen identifiziert, die durch die rasante Ausweitung von Technologien in Unternehmen entstehen können. Denn die Technologie-Stacks in Unternehmen wachsen…
News | Business | Infrastruktur | Strategien | Ausgabe 1-2-2024
»Super iPaaS« – eine Plattform der Plattformen: Das »Konnektivitäts-Chaos« beenden
Mit einer KI-gestützten iPaaS-Lösung für Unternehmen lassen sich unglaublich vernetzte Erlebnisse für Kunden, Mitarbeiter und Partner erschaffen. »manage it« sprach mit Dr. Stefan Sigg, CPO der Software AG, um zu erfahren wie alle Arten von Anwendungen, Daten, B2B, Events und APIs auf einer einheitlichen Plattform umfassend zusammengeführt werden.
Trends 2024 | News | Trends 2023 | Trends Security | IT-Security | Whitepaper
Ransomware: Dreiviertel der Unternehmen zahlen
Mittelständische Unternehmen werden zum bevorzugten Ziel, die Cloud wird zum anfälligsten Angriffsvektor. Delinea zeigt in seinem jährlichen State of Ransomware-Report auf, dass Ransomware-Angriffe wieder zunehmen und einen Strategiewechsel der Cyberkriminellen erkennen lassen [1]. Die bekannte Taktik, ein Unternehmen lahmzulegen und als Geisel zu nehmen, wurde durch neue Strategien ersetzt, bei denen private und sensible…