Der Markt für Cyberversicherungen ist im Wandel: Neue Abschlüsse unterliegen strengeren Anforderungen, auch bestehende Polizzen werden aufgrund von Angriffswellen und steigenden Schadenssummen angepasst. Was Firmen beim digitalen Versicherungsschutz beachten müssen.
Das Interesse an Cyberversicherungen ist ungebrochen hoch – kein Wunder angesichts allgegenwärtiger Schreckensszenarien. Fast täglich sorgen neue Cyberangriffe und Ransomware-Fälle für Schlagzeilen, mit oft katastrophalen Folgen für betroffene Firmen, Behörden und Organisationen. Der Wunsch, die finanziellen Folgen eines Angriffs auf die eigene IT durch eine entsprechende Versicherung abzufangen, ist verständlich.
Wer jedoch erwartet, dass diese hohe Nachfrage Versicherer in Begeisterung versetzt, irrt. Der Markt für Cyberversicherungen ist angespannt: Die hohe Zahl an Schadensfällen macht den digitalen Versicherungsschutz zum unsicheren Geschäft, was Anpassungen der Konditionen nach sich zieht. Nahezu alle Anbieter in diesem Segment haben ihre Prämien in den vergangenen Jahren stark angehoben, oft in Verbindung mit höheren Selbstbehalten, niedrigeren Deckungssummen oder dem Streichen bestimmter Zusatzleistungen. Zudem steigen die Anforderungen, die Versicherer an die IT-Sicherheit ihrer Kunden stellen. Sowohl Bestandskunden als auch neue Interessenten müssen daher laufend neu kalkulieren, ob ein Angebot zu ihren Anforderungen passt.
Auf Ausnahmen achten
Weniger offensichtlich als der Anstieg von Prämien, doch für versicherte Unternehmen ebenso bedeutsam, sind inhaltliche Anpassungen von Polizzen. In Reaktion auf die steigende Zahl an Schadensfällen definieren Versicherer immer mehr Ausnahmen und Ausschlussgründe. Viele Pakete decken etwa Ransomware-Angriffe nicht (mehr) ab oder schließen Angriffe durch staatliche Akteure explizit aus. Um unangenehme Überraschungen zu vermeiden, ist es entscheidend, sich genau darüber zu informieren, welche Ausnahmen und Einschränkungen in der eigenen Versicherung enthalten sind.
Cyberversicherungen setzen seit jeher Ansprüche an die IT-Sicherheit von Unternehmen, doch auch in diesem Bereich kommt es zu immer strengeren Vorgaben und genaueren Kontrollen. Zeigt sich, dass ein Unternehmen zum Zeitpunkt der Schadensmeldung unter das verpflichtende Sicherheitsniveau gefallen ist, stellt auch dies einen Ausschlussgrund dar und die Versicherung kann die Zahlung verweigern. Entsprechend wichtig ist es für Versicherte, sich dauerhaft an vorgeschriebene Schutzmaßnahmen zu halten und nicht nur während der initialen Auseinandersetzung mit dem Thema.
Wichtige Sicherheitsmaßnahmen
Organisationen, die die Grundlagen der Cybersicherheit nicht umsetzen, werden von Versicherern als untragbares Risiko eingestuft. Zum absoluten Minimum, das Firmen für den Abschluss einer Cyberversicherung nachweisen können müssen, zählen:
- Aktueller Viren- und Malware-Schutz auf allen Geräten
- Das Einspielen von Sicherheitsupdates und Behebung kritischer Schwachstellen
- Der Einsatz von Firewalls auf allen Geräten mit Internetzugang
- Multi-Faktor-Authentifizierung, insbesondere bei Remote-Zugriff und Admin-Konten
- Interne Sicherheitsrichtlinien und die Aufklärung von Mitarbeitenden
- Regelmäßige Backups geschäftskritischer Daten und Systeme
- Sichere Berechtigungsverwaltung und Least Privilege Zugriff
Je nach Anbieter können darüber hinaus auch weitere Schutzmaßnahmen explizit vorgeschrieben sein, beziehungsweise Teil eines Katalogs an empfohlenen Absicherungen, die sich vorteilhaft auf Prämien auswirken. Das Spektrum reicht hier von Maßnahmen zur Angriffserkennung (SIEM oder XDR) über regelmäßige Penetrationstests bis hin zur Überwachung von Endpunkten und Netzwerkverkehr.
Eine Anforderung, die während des Versicherungsabschlusses häufig unterschätzt wird: Um den Geltungsbereich der Polizze zu definieren und Fragen der Versicherung zur eigenen IT beantworten zu können, müssen Organisationen genau wissen, welche Dienste, Geräte, Konten, Daten und sonstige Assets ihre digitale Infrastruktur umfasst. Die notwendige Transparenz und Ordnung zu schaffen, setzt geregelte Prozesse und automatisierte Systeme voraus, welche die fehlerfreie Verwaltung und Dokumentation gewährleisten. Das Benutzer- und Berechtigungsmanagement bildet somit die Grundlage für den Schutz sensibler Daten und Systeme.
IT schützen, Prämien senken
Als Anreiz für die Verbesserung der IT-Sicherheit bieten Cyberversicherungen zum Teil die Möglichkeit, durch zusätzliche Schutzmaßnahmen Prämienzahlungen zu senken. Die zusätzliche Absicherung kann sich in mehrerer Hinsicht bezahlt machen: Betriebe, die etwa eine Zertifizierung im Rahmen von ISO 27001 oder dem IT-Grundschutz anstreben, können zwei Fliegen mit einer Klappe schlagen und neben dem Schutz von Daten auch das Vertrauen von Kunden stärken.
Bei der Überlegung, wie viel in den Schutz der eigenen IT investiert werden soll, ist es zudem wichtig zu beachten, dass erfolgreiche Angriffe Ihr Unternehmen teuer zu stehen kommen, selbst wenn die Versicherung für den unmittelbaren Schaden aufkommt. Problem 1: Wie jeder Autofahrer weiß, steigen nach einem Unfall die Prämien. Problem 2: Selbst wenn die eigene Versicherung Betriebsausfälle, die Wiederherstellung der IT und sogar Krisen-PR abdeckt, kann ein Cyberangriff Ihr Image dennoch langfristig beschädigen, wenn Kunden und Partner den Eindruck gewinnen, dass ihre Daten nicht angemessen abgesichert wurden.
Access Management als solides Fundament
Wie sinnvoll eine Cyberversicherung im Einzelfall ist, hängt von der Struktur und Größe des jeweiligen Betriebes, ebenso wie von den sich laufend wandelnden Konditionen ab. Fest steht aber, das digitales Risikomanagement längst Pflicht für Unternehmen ist, egal welche Form die Minimierung von Gefahren letztlich annimmt. Ob die Umsetzung grundlegender Sicherheitsmaßnahmen dabei aus Eigeninitiative oder im Rahmen eines Versicherungsabschlusses erfolgt, ist letztlich zweitrangig.
Die effektive Absicherung digitaler Systeme umfasst zahlreiche technische und organisatorische Schutzmaßnahmen, doch sie beginnt mit einigen essenziellen Fragen: Welche Anwender gibt es in meiner IT? Auf welche Daten und Systemen haben sie Zugriff? Dient der Zugang einem konkreten Zweck oder ist er schlicht historisch gewachsen? Was, wenn sich die Aufgaben eines Benutzers mit der Zeit ändern? Wer stellt sicher, dass sämtliche Zugänge geschlossen werden, wenn ein Mitarbeiter das Unternehmen verlässt?
Identity und Access Management Lösungen wie tenfold stellen durch die automatische Verwaltung von Benutzern und Rechten sicher, dass Sie diese Fragen jederzeit beantworten können. Der Zugang zu Daten ist so nur für Benutzer möglich, die diese tatsächlich für ihre Arbeit benötigen. Das senkt nicht nur das Risiko für Cyberangriffe und internen Datendiebstahl, sondern sorgt dank automatisierten Kontrollen und zentraler Übersicht auch für spürbar weniger Aufwand.