Cyberversicherungen gelten unter IT-Entscheidern mittlerweile als probates Mittel, eigene Cyberrisiken auszulagern. Jedoch: Quantität und Qualität der Cyberangriffe haben in den vergangenen Jahren kräftig angezogen – und tun es noch. Cyberversicherer haben reagiert. Die Beiträge und die sicherheitstechnischen Anforderungen an Unternehmen, die eine Cyberversicherung in Anspruch nehmen wollen, sind signifikant gestiegen. Jedoch werden Versicherten nun auch Möglichkeiten eröffnet, Beitragssätze zu senken, indem sie sich vor Cyberbedrohungen schützen. Gelingt es Unternehmen, ihre IT-Sicherheit nachweislich zu optimieren, können sie von der neuen Lage am Cyberversicherungsmarkt nachhaltig profitieren.
Für viele Unternehmen stellen Cyberversicherungen mittlerweile eine Standardinvestition in die Sicherheit ihres Geschäftsbetriebes dar – auch in Deutschland. Noch vor zwei Jahren sah es so aus, als ob der jungen Versicherungssparte kein langes Überleben beschert sein würde. Die Zahl der Cyberangriffe und ihr Schadenspotenzial wuchsen beständig. Vor allem Ransomware- und DDOS-Angriffe machten den Unternehmen – und ihren Versicherern – schwer zu schaffen. Viele Versicherungsunternehmen begannen, Verluste einzufahren und spielten deshalb mit dem Gedanken, die Sparte Cyberversicherung aufs Abstellgleis zu schieben. 2021 lag ihre durchschnittliche Schaden-Kosten-Quote, das Verhältnis von eingenommenen Beiträgen zu ausgezahlten Leistungen, laut Statistik des Gesamtverbands der Versicherer (GDV) bei 124 Prozent! Mario Greco, CEO der Zurich Insurance Group, sprach deshalb Ende 2022 in einem Interview der Financial Times schon vom Ende der Cyberversicherungen.
Mittlerweile hat sich die Lage wieder beruhigt. Ende 2023 befand sich die Sparte Cyberversicherungen, laut dem D&O & Cyber Market Report 2023 der Finlex GmbH, in einer ausgeglichenen Konstellation. Und Versicherungsexperten, wie Cyberdirekt, erklärten in einem Beitrag in procontra, dass sich auch in Deutschland bis 2025 ein Milliardenmarkt um die junge Branche etablieren wird. Die Zukunft der Cyberversicherungen scheint also gesichert zu sein.
Cyberversicherer – Erfolg dank guten Zusammenspiels von Push- und Pull-Faktoren. Mit zwei Ansätzen gelang es den Versicherungsunternehmen, ihre Cyberversicherungsprodukte wieder zu einem für sie profitablen Geschäft zu machen. Zum einen wurden Selbstbeteiligungen im Schadensfall kräftig erhöht, Beitragszahlungen spürbar angehoben – gleichzeitig aber auch Optionen für Beitragsminderungen und den Verzicht auf Obliegenheiten bei effektiver Risikominimierung in Aussicht gestellt. Zum anderen wurden die Anforderungen an die IT-Sicherheit und das Risikobewusstsein in versicherten Unternehmen erhöht.
Die Versicherer wollten bei den Unternehmen mehr Sicherheit, mehr Eigenverantwortung, mehr Engagement erleben. Die Unternehmen reagierten wie erhofft. Wie Thomas Haukje, Präsident des Bundesverbandes Deutscher Versicherungsmakler (BDVM) erklärte, konnte die Profitabilitätswende bei Cyberversicherungen vor allem deshalb erreicht werden, weil »unsere Kunden Prävention und Investments in IT-Sicherheit im Fokus haben«. Die versicherten Unternehmen müssen nun sicherstellen, dass ihre IT-Sicherheit ein Set stetig ansteigender Mindeststandards erfüllt.
Versicherte müssen lernen, Risiken proaktiv zu reduzieren.Um ihr Schadensrisiko in einem für die Versicherungen akzeptablem Rahmen zu halten, müssen IT-Entscheider das Risikobewusstsein innerhalb der Belegschaft erhöhen und die IT-Sicherheit mit den Anforderungen der jeweiligen Versicherungsgesellschaft in Einklang bringen. Auf folgende Bereiche wird dabei von den Versicherungen besonderer Wert gelegt:
- Firewalls und Netzwerksicherheit
- Antivirus-Schutz auf allen Endgeräten
- Laufende Sicherheitsupdates und Patches
- Backups wichtiger Daten
- Klare Berechtigungsvergabe und Dokumentation
- Multi-Faktor-Authentifizierungen (MFA)
Im Bereich der Authentifizierung bedeutet dies zum Beispiel: Unternehmen, die sich immer noch ausschließlich auf herkömmliche Nutzername-Passwort-Verfahren oder veraltete Multi-Faktor-Authentifizierungs-Tools verlassen, kommen in den meisten Fällen nicht mehr für eine Cyberversicherung in Frage. Seit der Einführung moderner, Phishing-resistenter MFA-Tools sind die Ansprüche der Versicherungsgesellschaften wesentlich gestiegen. Wer sich für die umfassendsten und günstigsten Cyberversicherungspolicen qualifizieren möchte, dürfte schon bald nicht mehr um den Einsatz von Hardware-Security-Token herumkommen. Legacy-Authentifizierungsverfahren, wie zum Beispiel mobilfunkbasierte MFA-Verfahren, bergen mittlerweile schlichtweg zu viele vermeidbare Risiken.
Versicherungskosten mit modernen MFA-Tools spürbar reduzieren. Ein gutes Beispiel dafür, wie leicht Unternehmen hier bereits mit geringen Maßnahmen große Erfolge erzielen können, lieferte dieses Jahr das US-amerikanische Unternehmen Afni. Der global operierende Personalbeschaffungsdienstleister für den Kundenservice wollte die Konditionen seiner Cyberversicherung optimieren – durch Verbesserung seiner MFA. Maßgabe war: sie sollte Phishing-resistent sein.
Nach einer Überprüfung der auf dem Markt erhältlichen Lösungen entschied sich Afni für Yubicos Yubikeys. Der YubiKey ist ein moderner Multiprotokoll-Hardware-Sicherheitsschlüssel, der FIDO- und Smartcard-basierte Phishing-resistente MFA und passwortlose Authentifizierungen auch in großem Maßstab ermöglicht. Derzeit ist der YubiKey, laut unabhängigen Studien, die einzige Lösung auf dem Markt, mit der 100 Prozent aller Kontoübernahmeversuche erfolgreich verhindert werden können. Er bietet eine starke Authentifizierung, ein schnelles und unkompliziertes Nutzererlebnis und erfüllt auch strengste Compliance-Vorgaben.
Die Ausgabe unter den rund 10.000 Mitarbeitern von Afni verlief schnell und unkompliziert. Infolgedessen qualifizierte sich das Unternehmen bei seinem Versicherer nicht nur für eine Fortsetzung seiner Versicherungspolice. Da das Unternehmen seine Cyberrisiken nachweisbar proaktiv reduziert hatte, erklärte sich die Versicherung auch bereit, die Beiträge um 30 Prozent zu reduzieren!
Das Beispiel Afni zeigt: Unternehmen sollten und können proaktiver werden, wenn es um ihre Cyberversicherung geht. Nachweisbar effektive Lösungen, die innerhalb kürzester Zeit dazu beitragen können, Angriffsrisiken zu reduzieren und Versicherungsbeiträge zu minimieren, existierten bereits. Hardware-Sicherheitsschlüssel mögen da zwar nur ein erster Schritt sein, dafür aber ein leicht zu implementierender – mit dem sich zudem rasch erste Einsparerfolge erzielen lassen können.
Alexander Koch,
VP Sales EMEA
bei Yubico