Verborgene Cyberrisiken treffen Versicherer und Versicherte

Die Problematik von unentdeckten Cyberrisiken in laufenden Versicherungsverträgen.

Ein Kommentar von René Schoenauer, Guidewire.

Illustration: Absmeier, Pixabay

Cyberattacken schaffen es immer wieder in die Schlagzeilen. Man denke an WannaCry, Petya oder die erst kürzlich bekannt gewordene Microsoft-Schwachstelle BlueKeep. Hackerangriffe verursachen einerseits enorme finanzielle Schäden, ziehen langfristig allerdings noch viel schwerwiegendere Konsequenzen nach sich. Unternehmen, die einer erfolgreichen Cyberattacke ausgesetzt waren, leiden in der Folge oftmals jahrelang unter Reputationsverlust. Immer häufiger werden Hackergruppen auch mit Staaten und deren Regierungen in Verbindung gebracht.

 

Cyberangriffe können schwerwiegende Schäden verursachen

Die Auswirkungen derartiger Angriffe auf die Infrastruktur spezifischer Unternehmen können nicht minimiert werden. Sie können vielfältig sein, wie Komplettausfälle von Geldautomaten und Versorgungsanlagen für Wasser, Gas und Strom oder das Lahmlegen von Webseiten von Dienstleistern. Darüber hinaus sind Szenarien denkbar, die digitale Geräte der Medizintechnik beeinträchtigen und direkte Auswirkungen auf Patienten hätten.

 

Die Haftungsfrage im Schadenfall

Die Behebung solcher Störungen hat die Frage nach versteckten Cyberrisiken in Versicherungspolicen von Unternehmen und anderen Organisationen aufgeworfen. Viele von Unternehmen und anderen Organisationen gemeldete Schäden, die auf Cyberattacken zurückzuführen waren, waren durch bestehende Versicherungspolicen nicht abgedeckt. Cyberrisiken waren in diesen Fällen kein Bestandteil der Verträge. Zahlreiche, eher unwahrscheinliche Szenarien werden in Versicherungspolicen generell nicht einzeln aufgeführt. Das kann sowohl für Versicherer als auch für Versicherte negative Folgen haben. Szenarien, die nicht explizit in einer Versicherungspolice aufgeführt sind, wurden entweder im Pricing nicht berücksichtigt oder sie sind im Schadenfall nicht abgedeckt.

 

Hohes Risiko für Versicherungsnehmer

Wenn in einem spezifischen Vertrag eines Unternehmens physische Auswirkungen von Cyberangriffen nicht aufgeführt sind, gleicht ein Schadenfall einem Würfelspiel. Das Unternehmen kann dann nur hoffen, dass die Versicherung die Folgen des Angriffs abdeckt. Es ist ein Trugschluss, zu glauben, dass eine Police, die Cyber-Angriffe nicht explizit ausschließt, diese automatisch mitversichert. Im Extremfall weist eine Versicherung die Deckung von sich und das Unternehmen bleibt auf dem Schaden sitzen.

 

Großes Unbehagen bei Versicherern

Versicherern bereiten existierende Policen, die Cyberangriffe nicht explizit einschließen, großes Unbehagen. Oft fehlt der Überblick, in welchem Ausmaß mitversicherte Systeme, die den Betrieb eines Unternehmens sicherstellen, exponiert und für Angreifer zugänglich sind. In der Folge sind die auf Sachversicherungen basierenden auszubezahlenden Versicherungssummen um ein Vielfaches höher als die spezieller Cyber-Versicherungspolicen.

 

Cyberangriffe können Milliarden verschlingen

Im vergangenen Jahr haben Guidewire und Aon, ein globaler Anbieter von Risiko-, Alters- und Krankenversicherungen, eine Analyse möglicher Auswirkungen verborgener Cyberrisiken durchgeführt. Für die Studie wurde das Szenario eines hypothetischen Hackerangriffs auf einen hydroelektrischen Staudamm in den USA modelliert. Die Folgen der Attacke könnten sowohl Unternehmen als auch Anwohner treffen. Es wurde simuliert, welche Schäden auftreten, wenn Hacker die Schleusentore des Staudamms öffnen würden. Im Falle eines derartigen Szenarios wäre stromabwärts mit erheblichen Flutschäden zu rechnen. Diese würden zu enormen Verlusten bei Versicherern führen. Auf Basis eines computergestützten Modells wurde der Gesamtversicherungsschaden auf etwa 10 Milliarden US-Dollar geschätzt. Dies entspricht in etwa der Schadensumme, die im Falle eines Hurrikans durch Wind und Flutwellen verursacht wird.

 

Große Unsicherheit bei Versicherern und Versicherungsnehmern

Stille Cyberexponierung ist keine bewusste Taktik von Versicherern, um sich aus der Verantwortung zu stehlen. Tatsächlich führen nicht explizit aufgeführte Risiken dazu, dass Versicherungen ihre Leistungsversprechen nicht in der Form erfüllen können, in der der Kunde das erwarten würde. Dies führt zu einem Gefühl von Unsicherheit beim Versicherungsnehmer. Außerdem kann es sein, dass eine abgeschlossene Versicherung unter falschen Annahmen abgeschlossen wurde und die eigentlichen Risiken des Kunden damit nicht abdeckt werden.

 

Cyberrisiken müssen explizit versichert werden

Um dieses Problem nachhaltig zu lösen, bedarf es einer konkreten Definition von Cyber als versichertes Risiko. Genau wie Sturmschäden und Überschwemmungen haben Cyberangriffe das Potenzial, enorme Schäden anzurichten. Versicherungsverträge müssen demnach so modifiziert werden, dass Cyberrisiken entweder ausdrücklich im Versicherungsschutz inkludiert oder ausgeschlossen sind. Da Formulierungen in Versicherungsverträgen teilweise stark variieren, ist die Umsetzung dieses Schrittes sicher nicht einfach. Trotzdem entscheiden sich immer mehr Versicherer, diesen Schritt zu gehen und dadurch mehr Sicherheit für alle Beteiligten zu schaffen.

 

Überarbeitung alter Verträge und Spezialversicherungen

Verborgene Cyberrisiken zu adressieren wird grundlegende Änderungen von Versicherungspolicen nach sich ziehen. Um neue Policen anzubieten, bedarf es der Entwicklung und Bereitstellung von Versicherungsprodukten, die durch Cyberrisiken verursachte physische Schäden abdecken. Vorstellbar sind hierbei sowohl modifizierte Sachversicherungen als auch spezielle Cyberversicherungen.

 

Neue Tools als Basis für Underwriting

Versicherer benötigen zudem neue Tools, um schwer vorhersehbare Risiken zu identifizieren und zu verstehen. Wetter-, Hochwasser- oder Brandrisiken können sowohl örtlich als auch zeitlich relativ gut antizipiert werden. Um das Portfolio an Sachversicherungen bezüglich Cyberrisiken zu optimieren, bedarf es einer regelmäßigen Überprüfung des enthaltenen Versicherungsumfangs. Cybergesteuerte Szenarien, die kritische physische Infrastrukturen beschädigen, müssen simuliert und die Auswirkungen analysiert werden. Durch das Verstehen potenzieller physischer Auswirkungen von Cyberrisiken können Versicherer außerdem vorhandene Risiken in Zusammenarbeit mit dem Kunden abmindern. Sie können so dazu beitragen, die Cyberanfälligkeit von Unternehmen zu reduzieren oder Rückversicherungspartner miteinzubeziehen.

 

Modernisierung des Versicherungsportfolios notwendig

Letzten Endes muss das oberste Ziel von Versicherern der Aufbau eines breiteren Marktes für Versicherungen gegen Cyberverluste sein. Das Ziel ist, dass nicht ausschließlich Unternehmen mit einem hohen Risiko potenzieller Cyberangriffe Zugang zu diesen Policen haben. Auch kleinen und mittelständischen Unternehmen sowie Privatpersonen soll ein passgenauer Versicherungsschutz offenstehen. Mit einem vielfältigen Angebot an Cyber-Versicherungsprodukten kann die Branche einen Markt aufbauen, der selbst schwerwiegende Cyberangriffe auf nationaler Ebene absichern kann.

 

275 Artikel zu „Cyber Versicherung“

Cyberversicherung: »Die finanziellen Folgen von Angriffen auf IT-Systeme lassen sich mit Versicherungen in den Griff bekommen«

»Vorstände, Geschäftsführer und Firmeninhaber, die ihre Unternehmen nicht gegen Gefahren aus dem Internet absichern, handeln grob fahrlässig«, sagt Johannes Sczepan, Geschäftsführer der Finanzberatungsgruppe Plansecur. »Allerdings ist es angesichts der Vielzahl der möglichen Angriffsszenarien schwierig, die passende Versicherungskombination zu finden«, räumt der Finanzfachmann ein. Er verweist auf die aktuelle Studie »IT-Sicherheit 2019« des eco – Verband…

Industrie setzt zunehmend auf Cyberversicherungen

       14 Prozent haben Policen gegen digitale Angriffe abgeschlossen.        Vor allem Großunternehmen setzen auf Cyberversicherungen.   In der deutschen Industrie wächst der Markt für Cyberversicherungen: Jedes siebte Industrieunternehmen (14 Prozent) hat bereits eine Versicherung gegen digitale Wirtschaftsspionage, Sabotage oder Datendiebstahl abgeschlossen. Vor zwei Jahren waren es erst 11 Prozent. Das ist das Ergebnis einer…

Cyberversicherungen – Absicherung existenzbedrohender Risiken

Als Unternehmen Opfer einer Cyberattacke zu werden ist nur eine Frage der Zeit. Die Nachfrage nach Cyber-Versicherungslösungen steigt daher enorm. Sie bieten neben der Absicherung des wirtschaftlichen Bilanzschadens auch externe Experten, die bereits beim Verdacht auf einen Cybervorfall helfen.

Cyber-Versicherungen: digitale Sorglosigkeit führt zur Unterversicherung

Fast jeder zweite Versicherungsentscheider (46 Prozent) ist der Überzeugung, dass das Geschäft mit Cyber-Security-Policen massiv an Relevanz gewinnen wird. Der Vertrieb äußert sich dagegen zurückhaltender. Hier glauben nur 30 Prozent an den Aufschwung durch IT-Sicherheitsversicherungen. Der Grund: Die Produkte sind neu, komplex und erklärungsbedürftig, die Hürden bei der Bedarfsermittlung sind hoch. Das Bewusstsein für Absicherung…

Cyberdeckung – Die Feuerversicherung des 21. Jahrhunderts.

Verfügt Ihr Unternehmen über ein Computernetzwerk? Sind vertrauliche Lieferantenverträge oder Personaldaten auf Ihrem Server abgelegt? Managen Sie Lagerhaltung, Rohstoffbeschaffung und Auslieferung über ein ERP-System? Warten Sie Ihre Maschinen online oder per App? Betreiben Sie Ihre Webseite im Haus selbst? Und verwenden Ihre Außendienstler mobile Geräte, mit denen Sie sich in das Unternehmenssystem einloggen? Wie hoch…

Wachsende Bedeutung der Cyberversicherungen

Anforderungen der Versicherungen könnten Schutzlevel allgemein fördern. »Zyniker würden behaupten, die Cyberversicherung ist eine kostengünstige Form des Risikomanagements. Viele Experten jedoch sehen die Cyberversicherungswirtschaft als potenziell neuen Treiber guter IT-Sicherheitspraktiken«, erklärt Thorsten Henning, Senior Systems Engineering Manager Central & Eastern Europe bei Palo Alto Networks. Im Laufe der letzten zehn Jahre konnten wir die Anwendung…

Analyse eines Cyberangriffs – die Bankenattacke der Carbanak-Gruppe im zeitlichen Verlauf

Experten der Bitdefender-Labs ist es gelungen, den zeitlichen Verlauf eines Angriffs der Carbanak-Gruppe vollständig zu rekonstruieren. Opfer war eine osteuropäische Bank. Die Rekonstruktion aller Aktivitäten der Attacke liefert wertvolle Erkenntnisse für die Sicherung kritischer Infrastrukturen und zeigt die Bedeutung von Endpoint-Security-Maßnahmen auf. Während die Infiltrierung des Netzwerks bereits nach 90 Minuten abgeschlossen war, bewegten sich…

Angriffsforensik, das Post Mortem von Cyberattacken

Blinde Flecken in der digitalen Verteidigung werden von den Cyberkriminellen dankend ausgenutzt. EPP- und EDR-Lösungen können IT- und Sicherheitsteams helfen diese Sicherheitslücken zu identifizieren. Wenn Cyberangriffe die Sicherheit von Endgeräten umgehen, kann es oft Monate dauern, bis Unternehmen die Schwachstelle entdecken. Unternehmen suchen deshalb nach Möglichkeiten, ihre Endgerätesicherheit zu modernisieren und ihre Fähigkeit zu verbessern,…

Cyber-Security: So vermeiden Unternehmen ihr eigenes »Baltimore«

Die amerikanische Stadt Baltimore steht wegen einer Windows-Sicherheitslücke still. Um sich gegen Cyberangriffe zu wehren, ist das rechtzeitige Installieren von Patches und Updates wichtig. Vor unbekanntem Schadcode schützt es allerdings nicht. Applikations-Isolation mit Hilfe von Micro-Virtualisierung ist die bessere Lösung, findet Jochen Koehler, Regional VP Sales Europe beim Sicherheitsanbieter Bromium. Ransomware ist eine perfide Kryptografie-Anwendung:…

Cyberkriminalität: Angreifer nehmen Führungskräfte ins Visier, warnt der Data Breach Investigations Report 2019

Das C-Level-Management wird zielgerichtet und proaktiv von Social-Engineering-Angriffen erfasst. Diese Entwicklung steht im Zusammenhang mit einem Anstieg von wirtschaftlich motivierten Social-Engineering-Angriffen. Die Kompromittierung von webbasierten E-Mail-Konten nimmt zu, in 98 Prozent der Fälle durch gestohlene Anmeldeinformationen. In 60 Prozent der Attacken, bei denen eine Webanwendung angegriffen wurde, handelte es sich um webbasierte E-Mail-Konten. Ein Viertel…

Weltweit wird noch immer zu wenig für die Cybersicherheit getan

Weltweit wird noch immer zu wenig für die Cybersicherheit getan. Es handelt sich hierbei nicht um eine allgemeine Betrachtung, sondern um die Ergebnisse der jährlichen Umfrage von 2019 mit dem Titel »Cyber Resilient Organization«, die vom Ponemon Institute durchgeführt, von IBM Resilient gesponsert wurde und an der mehr als 3.600 Sicherheits- und IT-Experten aus der…

Die Steuererklärung steht an – und Cyberkriminelle in den Startlöchern

Steuerzahler und Steuerberater sind gehalten vertrauliche Informationen zu schützen. Bei einer Zertifizierungsstelle wie GlobalSign konzentriert sich alles auf ein Ziel – Identitäten zu schützen. Wenn also in den nächsten Wochen die Steuererklärung ansteht, sind wir uns nur allzu sehr bewusst wie schnell betrügerische Aktivitäten den Abgabezeitraum zum Alptraum machen können. Eine 2017 veröffentlichte Studie von…

Digitale Krankheitserreger & Prävention – Impfen Sie sich gegen Cyberbedrohungen

Die digitale Transformation erfasst das Gesundheitswesen und ermöglicht neue Geschäftsmodelle, bessere Prävention vor Krankheiten, schnellere Anamnese sowie effizientere Betreuung von Patienten. Durch den zunehmenden Technologieeinsatz steigt allerdings auch das Risiko Opfer von Datendieben und Saboteuren zu werden. Professionelle Vorsorge und bewusster Umgang mit kritischen Daten und IT-Systemen schützt Sie vor diesen Risiken.   Wir befinden…

Sicherheitsteams verdienen einen besseren Ansatz für Erkennung und Reaktion auf Cyberangriffe

Für viele Unternehmen ist das IT-Sicherheitsteam die erste Verteidigungslinie gegen alle bekannten und unbekannten Bedrohungen. Die zentrale Aufgabe solcher Teams besteht darin, Bedrohungen in ihrer gesamten digitalen Umgebung zu identifizieren, zu untersuchen und zu entschärfen. Da die Angreifer zunehmend automatisierter und komplexer vorgehen, verlassen sich Sicherheitsteams auf einen mehrschichtigen Ansatz zur Prävention, wie Palo Alto…

Weitere Artikel zu