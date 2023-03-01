Die Cyber-Versicherung, auch Cyber-Haftpflichtversicherung oder Cybersicherheitsversicherung genannt, deckt finanzielle Verluste ab, die Unternehmen infolge von Ransomware-Angriffen, Datenschutzverletzungen und anderen Cybervorfällen erleiden.
So wie die Kfz-Versicherung bei einem Unfall für Fahrzeug- und Personenschäden aufkommt, zahlen Cyber-Versicherungen für beschädigte Computersysteme, entgangene Einnahmen, Rechtskosten und andere Kosten eines Cyberangriffs.
Sicherheitsverletzungen kommen immer häufiger vor und werden immer kostspieliger. Laut dem Bericht zu den Kosten eines Datenschutzverstoßes von IBM hatten 83 % der Unternehmen mehr als eine Datenschutzverletzung, und die durchschnittliche Verletzung kostet 4,35 Millionen USD. Eine Cyber-Versicherung kann die finanziellen Auswirkungen solcher Datenschutzverletzungen abmildern und ist daher ein wichtiger Teil des Risikomanagements für Unternehmen.
Jedes Unternehmen, das Kundendaten speichert oder sich auf Technologie verlässt – und das sind die meisten Unternehmen – ist mit Cyberrisiken konfrontiert. Sicherheitsteams können Maßnahmen ergreifen, um Cyberbedrohungen zu entschärfen, aber sie können sie nicht vollständig verhindern. Laut dem Travelers Risk Index sind 57 % der Führungskräfte der Meinung, dass Cyberangriffe unvermeidlich sind.
Standard-Unternehmensversicherungen wie Haftpflicht- und Betriebshaftpflichtversicherungen decken in der Regel keine Schäden aus Cyber-Ereignissen ab, sodass Unternehmen für die vollen Kosten von Ransomware-Angriffen, Betrug mit Geschäfts-E-Mails und anderen Formen von Cyberkriminalität aufkommen müssen. Diese Angriffe können einen hohen finanziellen Tribut fordern. Beispielsweise kostet ein durchschnittlicher Ransomware-Angriff 4,54 Millionen USD, Lösegeldzahlungen nicht eingerechnet.
Cyberversicherungen wurden entwickelt, um diese Deckungslücke zu schließen. Durch die Deckung von Lösegeldzahlungen, Malware-Sanierung und anderen Kosten können Cyber-Policen Unternehmen dabei unterstützen, ihren Schaden zu begrenzen, sich schneller zu erholen und ihre Cyber-Resilienz insgesamt zu erhöhen.
Der Cyber-Versicherungsschutz kann je nach Bedarf des Unternehmens, der Art der gespeicherten Daten und der Branche des Unternehmens variieren. Viele Cyber-Policen bieten Optionen für die First-Party- und Third-Party-Deckung. Die First-Party-Deckung kommt für die direkten Verluste des Unternehmens auf, z. B. für die Kosten der Datenwiederherstellung und der Wiederherstellung der Systeme. Die Third-Party-Versicherung kommt für Schäden auf, die von Parteien außerhalb des Unternehmens erlitten werden, z. B. von Nutzern, deren Daten gestohlen wurden.
Wenn es um konkrete Schäden geht, zahlen viele Cyber-Policen für Dinge wie:
Wenn ein Unternehmen Umsatzeinbußen erleidet, weil ein Cyberangriff seine Computersysteme außer Betrieb setzt, können Cyberpolicen diese Verluste teilweise oder ganz abdecken.
Die Versicherung kann für Vorfallreaktionen, Systemreparaturen, forensische Untersuchungen und andere Services zahlen, die nach einem Cybervorfall erforderlich sind.
Cyber-Policen können dabei helfen, für Rechtsstreitigkeiten zu zahlen, die aus einem Cyberangriff entstehen, z. B. Klagen von Kunden. Einige Versicherungsgesellschaften bieten eine rechtliche Vertretung für das versicherte Unternehmen an.
Wenn Hacker personenbezogene Daten (PII) oder andere sensible Informationen wie Kreditkarten- oder Sozialversicherungsnummern stehlen, können Cyber-Policen dabei helfen, die Kosten für die Benachrichtigung der Kunden und die Bereitstellung von Services wie einer Kreditüberwachung zu decken.
Cyberangriffe können zu behördlichen Ermittlungen führen, insbesondere in stark regulierten Bereichen wie dem Gesundheitswesen und den Finanzdienstleistungen. Cyber-Policen können die Kosten für die Einhaltung dieser Prüfungen abdecken, einschließlich etwaiger Bußgelder, die das Unternehmen zahlen muss.
Ein Unternehmen muss möglicherweise eine PR-Firma beauftragen oder andere Maßnahmen ergreifen, um seine Marke nach einem Angriff wiederherzustellen. Einige Cyber-Policen helfen dabei, diese Kosten zu decken.
Viele Cyber-Policen decken Ransomware-Zahlungen ab, aber einige Versicherungsanbieter beenden oder beschränken diese Deckung aufgrund der hohen Kosten für Lösegeldzahlungen.
Cyber-Policen können zwar viel abdecken, aber es gibt einige Vorfälle, für die sie nicht zahlen. Diese werden als Ausschlüsse bezeichnet. Zu den gängigen Ausschlüssen gehören:
Einem Unternehmen können Daten gestohlen oder Dienstleistungen unterbrochen werden, wenn Lieferanten und andere Partner angegriffen werden. Die Cyber-Versicherung kommt nicht immer für diese Verluste auf, aber einige Versicherer bieten gegen einen Aufpreis eine Deckung für Verletzungen durch Dritte an.
Weil Social-Engineering-Angriffe wie Phishing Menschen so manipulieren, dass sie die Cybersicherheit von innen heraus gefährden, decken Cyber-Policen diese Verluste nicht immer ab. Die Abdeckung von Social Engineering ist jedoch oft gegen einen Aufpreis erhältlich.
Verluste, die durch Insider-Bedrohungen wie etwa arglistige oder fahrlässige Mitarbeiter verursacht werden, sind selten abgedeckt.
Viele Cyber-Policen betrachten diese Angriffe als Kriegshandlungen und weigern sich, sie abzudecken.
Wenn Hacker eine Schwachstelle ausnutzen, von der das Unternehmen wusste, die es aber nicht behoben hat, lehnen viele Cyber-Policen den Anspruch ab.
Die meisten Pläne decken keine Ausfälle ab, die durch Fehlkonfigurationen und andere interne Fehler verursacht werden.
Während die Nachfrage nach Cyber-Versicherungen hoch ist, machen es die steigenden Kosten für Cyber-Versicherungen für Unternehmen – insbesondere für kleine Unternehmen – schwer, einen Versicherungsschutz zu erhalten. Laut Marsh McLennan stiegen die Preise für Cyber-Versicherungen im ersten Quartal 2022 um 110 %.
Laut 451 Research können Cyber-Versicherungen zur Zunahme von Ransomware-Angriffen beitragen. Je mehr Unternehmen Cyber-Policen abschließen, desto leichter fällt es ihnen, Lösegeld zu zahlen, weil die Versicherung dafür aufkommt. Hacker wiederum fühlen sich ermutigt, weiterhin Lösegeld zu verlangen. Eine neue Art von Ransomware, HardBit, fordert die Opfer sogar auf, die Details ihrer Cyber-Police mitzuteilen, damit die Hacker ein Lösegeld berechnen können, das von der Police abgedeckt ist.
Die Preisturbulenzen werden auch dadurch verstärkt, dass die Cyber-Versicherung im Vergleich zu anderen Versicherungsprodukten relativ neu ist. Die Versicherer verfügen nur über begrenzte historische Daten zu den Kosten von Cyberangriffen, was es schwierig macht, genaue Risikomodelle zu erstellen und stabile Preise festzulegen.
Wenn Versicherungsgesellschaften sehen, dass ihre Verluste steigen, reagieren sie mit höheren Prämien und einer Einschränkung der Deckung. Der Versicherer AXA hat die Übernahme von Ransomware-Zahlungen für in Frankreich ausgestellte Policen eingestellt. Lloyd's of London wird keine staatlich geförderten Cyberangriffe mehr versichern, eine weitere Quelle für große Verluste.
Darüber hinaus stellen die Versicherer strengere Anforderungen an die Netzwerksicherheit der versicherten Unternehmen. Manche Versicherer unterbreiten nicht einmal ein Versicherungsangebot, wenn das Unternehmen nicht über Multi-Faktor-Authentifizierung, Datenverschlüsselung, Zero-Trust oder ähnliche Verfahren verfügt. Einige Versicherungsunternehmen übernehmen eine beratende Rolle und geben Versicherungsnehmern und Geschäftsinhabern Zugang zu Sicherheitstools und Dienstleistern, die ihnen bei der Verbesserung ihres Sicherheitsstatus helfen. Einige Experten sagen voraus, dass Cyber-Versicherer zu Schlüsselfiguren bei der Durchsetzung von Standards wie dem NIST Cybersecurity Framework werden könnten, da Unternehmen, die sich an diese Standards halten, weniger kostspielig zu versichern sein werden.
