foto freepik

Angesichts der aktuellen Bedrohungslage bei der Cybersicherheit steigen (wenig überraschend) die Prämien der Cyberversicherer. Gleichzeitig tummelt sich eine Vielzahl unterschiedlicher Anbieter von Cybersicherheitslösungen im Markt, wobei die Angebote insgesamt wettbewerbsfähiger geworden sind. Eine Chance für Entscheider, ihre Cybersicherheitsmaßnahmen zu überprüfen und wenn nötig, zu verstärken.

Unternehmen kämpfen weiterhin mit den Folgen massiver Ransomware-Wellen, und »Cyberattacken sind die derzeit wohl größte Bedrohung für Wirtschaft, Gesellschaft und Staat«, wie jüngst das Bundesinnenministerium, das BKA und das BSI im aktuellen »Bundeslagebild Cybercrime« deutlich verlauten ließen. Zu den bekannten Regulierungsbehörden gesellt sich inzwischen ein weiterer, vergleichsweise neuer Akteur, der die Messlatte in Sachen Cybersicherheit ebenfalls höher legt: Cyberversicherer. Sie befassen sich mitnichten ausschließlich mit der Schadensregulierung nach einem Angriff. Die Anforderungen, um eine Deckung zu gewährleisten und deren auf Kennzahlen basierender Ansatz zur Risikobewertung, führen dazu, dass Firmen ihre Cybersicherheitsmaßnahmen oft aus einem anderen Blickwinkel betrachten (müssen).

Wie kann sich nun ein Chief Information Security Officer (CISO) am besten auf die Zusammenarbeit mit einem Cyberversicherer vorbereiten?

Verstehen Sie Ihren Cyberversicherer (besser)

Das Cybersecurity-Risiko ist gerade in den letzten Jahren exponentiell gestiegen. Dazu haben nicht zuletzt Ransomware-Angriffe beigetragen, von denen inzwischen so gut wie jede Branche betroffen ist, wenn auch in unterschiedlichem Ausmaß. Dazu kommt eine Bedrohungslandschaft, die sich stetig verändert und immer komplexer wird. Ein Ende ist nicht abzusehen. Da verwundert es kaum, dass auch die Prämien anziehen: Allein in 2022 waren sie um rund 50 % gestiegen – mit nicht unerheblichen Auswirkungen auf die Budgets im Bereich Risikomanagement. Angesichts dessen stehen CISOs unter wachsendem Druck und vor der wenig beneidenswerten Aufgabe, dem Versicherer einen Nachweis über ausreichende Cyberresilienz zu erbringen. Dazu sollte ein CISO jedoch zunächst einen Schritt zurücktreten, um die zentralen Prioritäten einer Cyberversicherungsgesellschaft genau zu verstehen.

Versicherer leben von ihrer Fähigkeit, Risiken so genau wie möglich zu quantifizieren. Der Bereich Cybersicherheit bildet da keine Ausnahme. Versicherungsmathematik ist die Grundlage für einen globalen Markt mit einem Prämienvolumen von jährlich 7 Billionen US-Dollar.

Aufgrund der tiefgreifenden Erschütterungen durch die wachsende Zahl simpler, aber skalierbarer Cyberkriminalität, mussten Firmen teils schwerwiegende finanzielle Einbußen hinnehmen. Den meisten Betroffenen wurde sehr schnell bewusst, dass sie ihre Sicherheitsstrategien anpassen, wenn nicht sogar grundlegend verändern müssten. Cyberversicherer treffen ihre Entscheidung über eine zu gewährende Deckung mit Hilfe fortschrittlicher statistischer Methoden – und spielen so eine nicht unwesentliche Rolle bei der Festlegung neuer Strategien.

Im Rückblick betrachtet war gerade 2022 ein schwieriges Jahr für den Cyberversicherungsmarkt; die Prämien schnellten aufgrund der hohen Zahl an Ransomware-Angriffen in die Höhe. Inzwischen hat sich der Markt weitgehend erholt. Die meisten Versicherer haben ihre mathematischen Modelle angepasst und ein besseres Verständnis für Cyberrisiken gewonnen. Trotzdem ist es für jedes Unternehmen wichtiger denn je, mit den Anforderungen seines Cyberversicherer ins Reine zu kommen.

Prioritäten richtig einschätzen

Naturgemäß versuchen Versicherer sich ein möglichst genaues Bild von der allgemeinen Sicherheitslage eines Antragstellers zu machen und Feinheiten besser abzubilden.

Die Fragebögen zur Selbsteinschätzung werden folglich immer detaillierter und reichen vom Thema

Multifaktor-Authentifizierung (MFA) bis hin zur genauen Zusammensetzung der für Administratoren eingesetzten Gruppenrichtlinien für Active Directory (AD). Die Mehrzahl der Firmen kann für sich in Anspruch nehmen, zumindest einige dieser Strategien umgesetzt zu haben, aber kaum jemand kann alle Kriterien des Anforderungsprofils zu erfüllen. Dann heißt es, in Tools, Technologien und/oder Personal zu investieren, um die Differenz auszugleichen. Verzichtet ein Unternehmen darauf, wird ihm unter Umständen der Cyberversicherungsschutz gänzlich verwehrt oder die Prämien steigen in astronomische Höhen.

Mittelfristig betrachtet wirken sich diese Investitionen positiv aus, zum Beispiel wenn ein Unternehmen sich erneut für eine Cyberversicherung qualifizieren muss. Das Prozedere vereinfacht sich in aller Regel, und im besten Fall wird der Abschluss kostengünstiger. Wenn ein CISO mit Versicherungsmaklern und -unterzeichnern zusammenarbeitet, lassen sich realitätsnahe Szenarien erstellen, die unterschiedlichen Investitionen im Bereich Cybersecurity entsprechen. Das Ganze stützt zudem die Argumentationslinie gegenüber CFO und Vorstand. An dieser Stelle lassen sich die Anforderungskataloge der Cyberversicherer als Messgrößen verwenden, um Sicherheitsziele nachzuverfolgen und das eigene Risikoregister zu den Versicherungsprämien in Beziehung setzen. Dies ist eine gute Gelegenheit, Cyberinvestitionen mit konkreten Kennzahlen zu versehen und damit auf eine maximale Kapitalrendite hinzuwirken.

Auditieren Sie, bevor Sie auditiert werden

Der derzeitige Stand beim Thema Cyberversicherungen bietet Entscheidungsträgern im Bereich Sicherheit einige handlungsrelevante Optionen.

Erstens: Unterschätzen Sie nicht die Macht einer genauen Selbsteinschätzung seitens einer Cyber-versicherung. Auf dieser Grundlage bewerten die Versicherungsträger ein Unternehmen im Rahmen eines Audits oder eines Schadensfalls. Aktuelle Selbstauskünfte sind überraschend anspruchsvoll, und die Fragen decken ein breites Spektrum ab, von Backups über AD-Sicherheit bis hin zu MFA.

Keinesfalls sollte man dies als reine Formalität abtun, sondern vielmehr sicherstellen, dass die Informationen vollständig und korrekt sind. Die Versicherer sind durchaus bereit, einen Versicherungsschutz abzulehnen, und sie scheuen sich im Falle unrichtiger Angaben auch nicht, eine Firma zu verklagen – wenn z.B. behauptet wird, es bestehe eine MFA für alle digitalen Systeme und dies erweist sich dann als unrichtig.

Werden Präventivmaßnahmen nicht ausreichend dokumentiert, ist das fast genauso schlimm als hätte man sie erst gar nicht getroffen. CISOs müssen deshalb in einem zweiten Schritt nachweisen, dass ihre Firma tatsächlich über die angegebenen Fähigkeiten verfügt. Glücklicherweise sind erfahrene CISOs mit dem Metier vertraut. Dank hochentwickelter Cybersicherheits-Tools ist es möglich, detaillierte Aufzeichnungen zu erstellen und zu pflegen, Systeme zur Berichterstattung aufzubauen, alle relevanten Geschäfts- und Sicherheitsprozesse zu dokumentieren und manipulationssichere Daten für die Cyber-Forensik zu erheben. Die einzige Änderung besteht darin, dass ein CISO jetzt in der Lage sein muss, den Status in Sachen Cybersicherheit einem Versicherungsträger transparent zu machen (und seine Aussagen zu belegen).

Zum Schluss noch eine unangenehme Wahrheit

Unternehmen konkurrieren untereinander um Versicherungsschutz und Deckung. Ein Unternehmen, respektive ein CISO, muss dazu den Nachweis erbringen, dass das eigene Unternehmen über ausgereiftere Cybersicherheitsmaßnahmen verfügt als ein anderes. Dies ist vor allem in den Branchen kritisch, die als besonders anfällig gelten (z. B. Gesundheitswesen, Finanzdienstleistungen oder bei der staatlichen Auftragsvergabe).

Unabhängig davon, ob es sich um die vollständige NIST-Compliance handelt, eine sichere Softwarelieferkette oder einen vom Vorstand eines Unternehmens getragenen, proaktiven Plan hinsichtlich von Cybersicherheitsvorfällen – sollten CISOs die Stärken ihres Unternehmens ausspielen, aber gleichzeitig potenzielle Schwachstellen transparent machen.

Der Markt für Cyberversicherungen stabilisiert sich weiter und entwickelt sich zunehmend wettbewerbsorientiert. Dies führt dazu, dass Regeln vereinheitlicht werden und diese sich insgesamt transparenter gestalten. Es ist immens wichtig, sich Klarheit darüber zu verschaffen, welche Cyberrisikofaktoren die Preisgestaltung bei den Prämien am stärksten beeinflussen und welche Bereiche der Cyberabwehr sich verbessern müssen. Das primäre Ziel ist natürlich, dass Unternehmen sich – auf der Basis von Best Practices bei der Cyberabwehr – besser gegen Cyberkriminalität, vor Ransomware und Sicherheitsverletzungen schützen. Dabei profitieren CISOs von einer transparenten Zusammenarbeit mit Versicherern und Wirtschaftsprüfern. Denn auf dieser Grundlage lassen sich Investitionen genauer justieren und zugleich die Cyberresilienz stärken.

Mark Logan, CEO One Identity

798 Artikel zu „Cyber Versicherung“

AUSGABE 3-4-2024 | SECURITY SPEZIAL 3-4-2024 | NEWS | IT-SECURITY | TIPPS

Cyberversicherungen – Beitragskosten mit sicherheitstechnischer Proaktivität spürbar reduzieren

23. April 2024

Cyberversicherungen gelten unter IT-Entscheidern mittlerweile als probates Mittel, eigene Cyberrisiken auszulagern. Jedoch: Quantität und Qualität der Cyberangriffe haben in den vergangenen Jahren kräftig angezogen – und tun es noch. Cyberversicherer haben reagiert. Die Beiträge und die sicherheitstechnischen Anforderungen an Unternehmen, die eine Cyberversicherung in Anspruch nehmen wollen, sind signifikant gestiegen. Jedoch werden Versicherten nun auch Möglichkeiten eröffnet, Beitragssätze zu senken, indem sie sich vor Cyberbedrohungen schützen. Gelingt es Unternehmen, ihre IT-Sicherheit nachweislich zu optimieren, können sie von der neuen Lage am Cyberversicherungsmarkt nachhaltig profitieren.