Auf der versicherten Seite

Cyber-Versicherungen können angesichts der wirtschaftlichen Dimensionen von IT-Sicherheitsvorfällen in vielen Fällen zum entscheidenden Rettungsanker für Unternehmen werden. Die Wichtigkeit von Cyber-Policen nimmt daher zu. Gleichzeitig verschärfen sich die Kriterien für deren Vergabe. Wer vom Schutz profitieren will, muss nicht nur seine IT-Sicherheit auf Stand bringen, sondern zunehmend externen Schutz nachweisen – etwa durch Managed-Security-Service-Provider.

Cyber-Policen haben sich zu einem wichtigen Bestandteil der IT-Sicherheit für Unternehmen entwickelt. Sie ergänzen vorhandene Abwehrtechnologien um eine wichtige Komponente: Das Abfangen der finanziellen Schäden und Belastungen durch einen erfolgreichen Angriff sowie anderer Sicherheitsverpflichtungen. Das ist ein unverzichtbarer Mehrwert, denn kein Unternehmen kann davon ausgehen, dass die eigene Cyber-Security alle zukünftigen Angriffe abwehrt. Es ist lediglich eine Frage der Zeit, wann die Angreifer erfolgreich sind. Kosten sollten daher kein Argument sein: Schon nach einem einmaligen Erfolg der Hacker haben sich die bezahlten Prämien amortisiert.

Teurer oder gar kein Versicherungsschutz

Die Versicherungsgeber sind sich ihrer zunehmend wichtigeren Rolle, aber auch des für sie steigenden Risikos bewusst. Viele Anbieter haben registriert, dass Unternehmen mit einer Police im Rücken schneller bei einem Ransomware-Angriff ihre Daten und ihre IT durch ein Lösegeld freikaufen – und hoffen, der Schaden werde übernommen. Sie haben nicht zuletzt deshalb erkannt, wie notwendig es ist, eine Police mit Bedacht zu gewähren. In der Folge errechnen sie höhere Prämien und arbeiten im eigenen Interesse an erweiterten Kriterien als Bedingung für einen Versicherungsschutz. Und die Lage verschärft sich: Viele Marktbeobachter befürchten nach dem Schub durch die Pandemie jetzt steigende Cyber-Prämien durch den Ukraine-Krieg. Gleichzeitig überblicken die Versicherungen gar nicht alle Risiken. So sind sie nicht davor gefeit, für Schäden nicht aufkommen zu können, die sie bei älteren Policen bei der Prämienberechnung noch nicht einkalkuliert haben. Die sogenannten Silent-Cyber-Risiken in vernetzten Produktionsanlagen, die es bei Abschluss der Versicherung oft noch nicht gab, sind ein gutes Beispiel dafür.

Auch der Versicherungsschutz an sich steht immer wieder in der Diskussion. Die Axa hatte zum Beispiel im Jahr 2021 ihre Angebote, Ransomware-Lösegelder zu decken, auf dem französischen Markt zurückgezogen. In Deutschland scheint die Lage allgemein besser zu sein, so dass die Mehrzahl der Unternehmen zumindest Teile des Lösegelds erstattet bekamen. Unternehmen haben aber zunehmend das Gefühl, das die Versicherer höhere Kriterien an die IT-Sicherheit stellen. Hierzulande ließ der CEO der Munich Re zudem erst kürzlich mit seiner Absicht aufhorchen, Großkonzernen gar keine Cyberversicherungen mehr anbieten zu wollen.

Nachholbedarf scheint sowieso gegeben zu sein: Laut einer Umfrage der Gothaer genießen etwa lediglich 16 Prozent der Mittelständler in Deutschland einen Schutz. Experten konstatieren, dass gerade diese Zielgruppe keine passenden Angebote mehr erhält.

 

Wachsende Hürden für den Schutzbrief

Um sich selbst zu schützen, verschärfen die Versicherer die Vorgaben für die Unternehmen: Sie setzen einen Minimalkanon an Schutzmechanismen voraus, bevor sie den Kunden für schutzwürdig erachten:

• Multi-Faktor-Authentifizierung: Diese Technologie verhindert den Löwenanteil automatisierter Attacken und reduziert effizient das Risiko. Ohne sie wird es immer schwieriger, einen ausreichenden Schutz zu erlangen.

• Antivirus, Firewall und Malware-Erkennung: Diese Grundlagen einer jeden IT-Abwehr fragen die Versicherer zunehmend ab.

• Endpoint-Detection and Response (EDR): Cyberversicherer erkundigen sich zunehmend nach dem Schutz der Endpunkte. Extended-Detection and Response (XDR) erweitert diese Abwehr und liefert Informationen zu Gefahren im Kontext der gesamten IT-Infrastruktur eines Unternehmens.

Die Versicherungsgeber wissen immer besser, was sie von einem Kunden verlangen können und sollen. Sie handeln in eigenem Interesse, um ihre Kosten zu senken, legen die Messlatte immer höher und verlange ein exaktes Einhalten der von ihnen definierten Vergabekriterien.

 

Externe Hilfe für mehr Cyber-Glaubwürdigkeit

Gerade kleine und mittlere Unternehmen stehen daher unter Druck, wenn es darum geht, aus eigenen Kräften an der Glaubwürdigkeit der eigenen Cyberabwehr zu arbeiten.
Reine IT-Sicherheitstechnologie kann ihnen wenig helfen. Ein personell gut aufgestelltes eigenes IT-Sicherheitsteam ist oft nicht vorhanden. Fremde Hilfe wird daher gerade jetzt wichtig: Ein Managed-Security-Service-Provider (MSSP) verbessert die eigene Sicherheit und wird immer mehr zur Eintrittskarte für die Cyberpolice.

Managed-Security-Service-Provider und ihre Managed-Detection-and-Response (MDR)-Dienste bieten einen unbestrittenen Mehrwert für Unternehmen, um ihre Applikationen, Informationen und Systeme kontinuierlich zu schützen. Ihre Angebote machen sie im Augen der Versicherung zu einem glaubwürdigen Pfeiler der IT-Abwehr bei Kunden. Vor allem kleine und mittelständische Unternehmen können diesen Schutz auf hohem Level aus Mangel an eigenen Ressourcen nicht stemmen. Sie benötigen daher den externen Schutz durch Dienste und IT-Sicherheitsanalysten, um ihre Initiativen zur Cybersicherheit glaubwürdig dokumentieren zu können.

Zudem helfen sie Unternehmen bei der Suche nach der geeigneten Police, weil sie selbst bereits mit einer solchen zusammenarbeiten. MSSPs, die einen solchen Mehrwert anbieten, bieten ihren Kunden einen zusätzlichen Schutz. Sie beraten ihre Kunden, wie diese eine passende Police erlangen können und wie sie ihre Abwehr glaubwürdig aufstellen. Das hat einen unmittelbar positiven Effekt auf die Prämien.

 

Jörg von der Heydt, Regional Director DACH bei Bitdefender

Anbieter von IT-Sicherheitsdiensten erleichtern die Suche nach einer Cyber-Versicherung und die Arbeit mit ihr. In allzu großer Sicherheit sollte man sich aber immer noch nicht wiegen. Nicht jeder Schadenfall ist automatisch abgedeckt, nicht-monetäre und für den Geschäftserfolg oft noch verheerendere Image-Schäden ohnehin nicht. Dennoch sollten sich Entscheider darum bemühen, dank einem geeigneten IT-Schutz das Ihre zu tun, um von einer Cyber-Security-Police zu profitieren.

Von Jörg von der Heydt, Regional Director DACH bei Bitdefender

#Bitdefender