Anforderungen der Versicherungen könnten Schutzlevel allgemein fördern.
»Zyniker würden behaupten, die Cyberversicherung ist eine kostengünstige Form des Risikomanagements. Viele Experten jedoch sehen die Cyberversicherungswirtschaft als potenziell neuen Treiber guter IT-Sicherheitspraktiken«, erklärt Thorsten Henning, Senior Systems Engineering Manager Central & Eastern Europe bei Palo Alto Networks.
Im Laufe der letzten zehn Jahre konnten wir die Anwendung von Regulierungsvorschriften beobachten, sei es von staatlicher Seite aus gefordert oder von Branchengruppen initiiert. Die meisten dieser Initiativen standen vor der gleichen Herausforderung: Die Regulierung bewegte sich im Schneckentempo im Vergleich zur raketenartigen Evolution in der IT und Internetsicherheit. Es ist ein Kampf zwischen der dynamischen, sich kontinuierlich weiterentwickelnden Cybersicherheit und dem, was State-of-the-Art ist. Dies gilt für neue Anwendungsfälle von IT-Technologie ebenso wie für die wechselnden Bedrohungen oder neuen Praktiken, um diese Risiken zu mindern.
State-of-the-Art-Sicherheitstechnik
Die bevorstehenden EU-Verordnungen, also die Richtlinie zur Netz- und Informationssicherheit und die Reform der Datenschutzverordnung, nutzen beide den Begriff und das Konzept von State-of-the-Art. Dies deutet darauf hin, dass – in letzterem Fall – Unternehmen die Fähigkeit der Cybersicherheit obliegen sollte, soweit dies für das Risiko relevant ist, und – im Fall davor – die Unternehmen mindestens State-of-the-Art-Sicherheitstechnik implementiert haben sollten.
»Stellt sich die Frage ob die Cyberversicherungsbranche so zur dynamischen neuen Regulierungsinstanz werden, während die Akzeptanz für die Cyberversicherung wächst«, meint Thorsten Henning. »Unternehmen wären sicherlich bereit, die Anwendung dieser State-of-the-Art-Praktiken nachzuweisen, um ihre Prämien zu reduzieren, und die Versicherer würden versuchen, zu prüfen, ob ein Unternehmen versichert werden kann und welches Prämienlevel sie anbieten können aufgrund des Sicherheitsniveaus des Unternehmens.«
Cyberversicherung
Da der Cyberversicherungsmarkt wächst, würde der Wettbewerb zunehmen und so könnte eine solche Analyse zum Schlüssel dazu werden, um bessere Prämien anbieten zu können, wenn es das Risikoniveau zulässt. Ein Beispiel hierfür ist IASME, ein britisches Konsortium für kleine bis mittelgroße Unternehmen, das mit einer Cyberhaftpflichtversicherung für Kleinunternehmen ein Mindestmaß an Cybersicherheit erreichen will. Dies ist eine von vier Akkreditierungsstellen für die Cyber-Essentials-Zertifizierung in Großbritannien.
Die Frage, die all dies aufwirft, ist, ob es in der Versicherungsbranche auf einmal so viele Experten für Cybersicherheit gibt. Die Antwort ist wahrscheinlich »nein«, da schon im IT-Markt entsprechende Fähigkeiten Mangelware sind. So scheint es wahrscheinlicher, dass Partnerschaften mit der Sicherheitsindustrie gebildet werden. So können bessere Erkenntnisse zur aktuellen Bedrohungslandschaft gewonnen werden. Zudem können Abwehrfähigkeiten auf ihre Effektivität unter realen Bedingungen überprüft werden, um Best Practices zu identifizieren.
So wie die Hausratversicherung an den Ort gebunden ist, an dem man lebt, wird die Cyberversicherung mit der Branche verknüpft sein, in der Unternehmen ihre Geschäfte machen. Dadurch soll es einfacher sein, die Risikowahrscheinlichkeit und den Umfang der Anforderungen zu ermitteln. Einige Sicherheitsanbieter, wie Palo Alto Networks, nutzen bereits solche Daten, um im Rahmen der Cyber Threat Alliance neue Bedrohungen aufzuspüren und Unternehmen diesbezüglich beraten zu können.
Drei Komponenten
Da sich die Cyberversicherung weiterentwickelt, sind drei Komponenten erforderlich: die Kenntnis des Risikos, die Verfügbarkeit relevanter State-of-the-Art-Funktionen, um Auswirkungen zu verhindern, und die Fähigkeiten, um die laufende Anwendung zu validieren. Es wird interessant sein zu sehen, ob auf längere Sicht die Versicherer ihre eigene Liste der zugelassenen Anforderungen und Fähigkeiten aufbauen werden.
»Die meisten Versicherungsdienstleistungen bauen auf jahrzehntelangem Wissen auf, um versicherungsmathematische Daten zu generieren und darauf basierend Prämien gegen Ansprüche zu kalkulieren. Im Gegensatz dazu ist die Cyberversicherung immer noch eher im Entstehen begriffen«, fasst Thorsten Henning zusammen. »Es gibt derzeit jedoch wohl nur sehr wenige Versicherungsmärkte, die so dynamisch sind wie Cybersicherheit. Die Zeit wird zeigen, ob die potenziellen Vorteile für alle zum Tragen kommen, wenn sich die Versicherer am Cybergeschäft beteiligen.«