Cyber-Versicherung neu denken
Trotz der Veränderungen auf dem Cyber-Versicherungsmarkt verlassen sich einige Unternehmen nach wie vor stark auf ihre Policen, um das Risiko zu mindern, während andere ihre eigenen Cyber-Sicherheitsvorkehrungen in den Vordergrund stellen.
Wichtige Punkte
- Cyber-Versicherungspolicen werden immer teurer und schwieriger zu bekommen.
- Die Versicherer erwarten von ihren Kunden zunehmend, dass sie proaktive Maßnahmen zum Schutz vor Cyber-Bedrohungen ergreifen.
- Es besteht eine große Kluft zwischen Unternehmen, die sich bei der Minderung ihres Cyber-Risikos stark auf diese Policen verlassen, und solchen, die eher geneigt sind, in ihre eigene Cybersicherheitsabwehr zu investieren.
Bis vor kurzem war das Underwriting-Verfahren für Cyber-Versicherungen noch relativ einfach. Die Underwriter der Versicherungsgesellschaften verfügten nicht über genügend Daten, um das Cyber-Risiko genau einschätzen und bewerten zu können, so dass die meisten Antragsteller ein sehr einfaches Formular ausfüllten und Versicherungsschutz erhielten. Da sie leicht zu bekommen war, wurde die Cyberversicherung schnell zur Selbstverständlichkeit. Die Policen waren für Makler und Versicherer profitabel, während die Kunden zufrieden waren, zumindest einen Teil des Risikos aus ihren Bilanzen zu transferieren.
Die meisten Unternehmen erkennen nach wie vor den Wert einer Cyber-Versicherung, die dazu beiträgt, die Kosten einer Computerverletzung zu decken. Die Veränderungen in der Cyber-Bedrohungslandschaft machen es jedoch schwieriger, diese Policen zu erhalten, und schränken den Versicherungsschutz ein. Selbst wenn ein Unternehmen eine Cyberversicherung abgeschlossen hat, deckt diese unter Umständen nicht alle Verluste ab, die durch einen Cyberangriff entstehen.
Vor diesem Hintergrund zeigt der Bericht The State of Email Security 2023 (SOES 2023) von Mimecast deutliche Unterschiede in der Sichtweise von Unternehmen auf Cyber-Versicherungen und die Rolle, die diese spielen. Die Studienteilnehmer sind sich sehr uneinig darüber, ob diese Maßnahmen als Ersatz für die Entwicklung eines umfassenden Programms zur Abwehr von Cyberangriffen dienen können.
Die sich wandelnde Cyber-Versicherungslandschaft
In den letzten Jahren sind das Volumen und die Risiken im Zusammenhang mit Cyberverletzungen weiter gestiegen, und insbesondere die Zahl der Ransomware-Angriffe hat explosionsartig zugenommen. In dieser Zeit boten viele der abgeschlossenen Cyber-Versicherungspolicen Versicherungsschutz für die Kosten der Untersuchung und Wiederherstellung nach einem Ransomware-Ereignis, einschließlich der Kosten für das Lösegeld, falls dieses gezahlt wurde. Dies hielt die Unternehmen davon ab, mehr in die Cybersicherheit zu investieren, auch wenn die Bedrohungslage weiter zunahm. Das Geld, das in die Verbesserung der Cybersicherheitsmaßnahmen der Unternehmen hätte fließen können, wurde anderweitig ausgegeben, so dass die Versicherungsträger für Hunderte Millionen Dollar an Ransomware-Kosten aufkommen mussten, die im Jahr 2021 75 % aller Cyberversicherungsansprüche ausmachten.[1]
Es überrascht nicht, dass dies die Versicherer dazu veranlasst hat, wählerischer zu werden, was sie abdecken und wem sie Versicherungsschutz gewähren. Die Kosten für die Policen sind gestiegen, und - was aus Sicht der Versicherten noch besorgniserregender ist - die Deckungssummen haben nicht mit dem Umfang und dem Ausmaß der Verluste Schritt gehalten, die ihnen durch einen Cyberangriff entstehen könnten.[2]
Die Zeiten, in denen Versicherungsunternehmen bereit waren, das gesamte Risiko einer Datenverletzung oder eines Betrugs zu übernehmen, sind vorbei, und die Versicherer erwarten nun von ihren Kunden, dass sie ihre Gefährdung durch diese Bedrohungen proaktiv verringern. Ein aktueller Bericht des Cyber-Versicherungsunternehmens At-Bay gibt einen Einblick in diese Situation.[3] Die von At-Bay durchgeführte Analyse der von 40.000 Versicherungsnehmern kleiner und mittlerer Unternehmen zwischen Mitte 2018 und Mai 2022 eingereichten Schadensmeldungen per E-Mail ergab Folgendes:
- Es gibt einen signifikanten Unterschied in der Schadenhäufigkeit bei Versicherten, die verschiedene E-Mail-Sicherheitslösungen verwenden. Der Abstand zwischen den besten und den schlechtesten Lösungen betrug 53 %.
- Diejenigen, die eine E-Mail-Sicherheitslösung von Mimecast einsetzen, meldeten die geringste Anzahl von Vorfällen. Im Durchschnitt gab es bei denjenigen, die Mimecast verwenden, 22 % weniger Vorfälle als bei den Versicherten von At Bay, die insgesamt eine E-Mail-Sicherheitslösung verwenden.
- Der Einsatz einer erstklassigen E-Mail-Sicherheitslösung kann die Prämien für Cyber-Versicherungen um bis zu 50 % senken.
Ungewissheit über Cyber-Versicherungspolicen
Mimecasts SOES 2023 beleuchtet das Thema Cyberversicherung aus einem anderen Blickwinkel. Der Bericht, für den 1.700 Unternehmen in 13 Ländern befragt wurden, umfasst Interviews mit IT- und Cybersicherheitsexperten aus 255 kleineren Unternehmen mit 250 bis 500 Mitarbeitern am einen Ende des Spektrums und 153 Großunternehmen mit über 10.000 Mitarbeitern am anderen Ende. Die Ergebnisse zeigen, dass es kaum einen Konsens in Bezug auf Cyberversicherungen gibt: Während die Hälfte (50 %) der befragten Unternehmen den Wert dieser Policen als umfassenden Schutz vor Cybersicherheitsbedrohungen skeptisch sieht, halten fast ebenso viele (48 %) sie für eine wichtige Ergänzung ihres Sicherheitsnetzes.
In dieser Frage gibt es in den verschiedenen Branchen sehr unterschiedliche Auffassungen. Weniger geneigt, sich allein auf Cyber-Versicherungspolicen zu verlassen, sind Befragte, die im Energiesektor (73 %), im Baugewerbe (65 %), bei Verbraucherdienstleistungen (65 %) und bei Unternehmensdienstleistungen (61 %) arbeiten. Die Mehrheit der Befragten in der IT- und Telekommunikationsbranche (55 %), im Gesundheitswesen (66 %) und in der Medien- und Unterhaltungsbranche (66 %) ist jedoch der Meinung, dass eine Versicherung ein gutes Maß an Schutz bietet.
Diese Meinungsverschiedenheit gilt auch für Unternehmen unterschiedlicher Größe. Die Mehrheit (59 %) der mittelständischen Unternehmen (500 bis 1.000 Beschäftigte) betrachtet die Cyber-Versicherung als integralen Bestandteil ihrer Cyber-Vorsorge, während sechs von zehn Großunternehmen dies nicht tun.
Unabhängig von der Unternehmensgröße oder dem Sektor sind sich die Befragten, die dazu neigen, ihre Abhängigkeit von diesen Richtlinien zu verringern, einig, dass sie dies durch höhere Investitionen in ihre eigene Cybersicherheitsabwehr kompensieren müssen (88 %).
Die Quintessenz
Eine Versicherungspolice kann den eigenen Cyber-Vorsorgeplan eines Unternehmens nicht ersetzen. Es mag zwar finanziell sinnvoll sein, sich gegen Cyber-Risiken zu versichern, aber selbst die beste Cyber-Versicherung kann nur Schäden ausgleichen, die bereits entstanden sind; sie kann nicht verhindern, dass der Schaden überhaupt erst eintritt. Das kann nur die eigene Cybersicherheitsabwehr eines Unternehmens leisten. Lesen Sie mehr darüber, wie Unternehmen aller Größen mit den heutigen erhöhten Cyber-Risiken umgehen, indem Sie den Bericht SOES 2023 von Mimecast herunterladen.
[1 ] "Best's Market Segment Report: Ransomware und Aggregationsprobleme erfordern neue Ansätze für Cyberrisiken", AM Best
[2 ] "Steigende Prämien, eingeschränkter Cyber-Versicherungsschutz stellt ein großes Risiko für Unternehmen dar", CNBC
[3] "Ranking von E-Mail-Sicherheitslösungen", At Bay
Abonnieren Sie Cyber Resilience Insights für weitere Artikel wie diesen
Erhalten Sie die neuesten Nachrichten und Analysen aus der Cybersicherheitsbranche direkt in Ihren Posteingang
Anmeldung erfolgreich
Vielen Dank, dass Sie sich für den Erhalt von Updates aus unserem Blog angemeldet haben
Wir bleiben in Kontakt!