Die Cyberversicherung, auch Cyberhaftpflichtversicherung oder Cybersicherheitsversicherung genannt, deckt finanzielle Verluste, die durch Cybervorfälle verursacht werden. So wie die Kfz-Versicherung im Falle eines Unfalls für Fahrzeug- und Personenschäden aufkommt, zahlen Cyberversicherungspolicen für beschädigte Computersysteme, entgangene Einnahmen, Rechtskosten und andere Kosten eines Cyberangriffs.
Sicherheitsverletzungen treten immer häufiger auf und werden immer kostspieliger. Laut dem IBM Bericht Cost of a Data Breach haben 83 % der Unternehmen mehr als eine Datenschutzverletzung erlitten, und die durchschnittliche Verletzung kostet 4,35 Millionen US-Dollar. Eine Cyberversicherung kann die finanziellen Auswirkungen solcher Sicherheitsverletzungen abmildern und ist daher ein wichtiger Bestandteil des Risikomanagements für Unternehmen von heute.
Jedes Unternehmen, das Kundendaten speichert oder auf Technologie angewiesen ist – und das sind die meisten Unternehmen –, ist mit Cyberrisiken konfrontiert. Sicherheitsteams können Maßnahmen ergreifen, um Cyberbedrohungen einzudämmen, aber sie können sie nicht vollständig verhindern. Laut dem Travelers Risk Index (Link befindet sich außerhalb von ibm.com) halten 57 % der Unternehmensleiter Cyberangriffe für unvermeidlich.
Standardversicherungsprodukte für Unternehmen, wie z. B. allgemeine Haftpflichtversicherungen und Policen für Fehler und Unterlassungen, decken in der Regel keine Verluste aus Cyberereignissen ab, so dass Unternehmen für die vollen Kosten von Ransomware-Angriffen, Betrügereien zur Kompromittierung von Geschäfts-E-Mails und anderen Cyberdelikten aufkommen müssen. Diese Angriffe können einen hohen finanziellen Tribut fordern. So kostet eine durchschnittliche Ransomware-Attacke 4,54 Millionen US-Dollar, Lösegeldzahlungen nicht eingerechnet.
Cyberversicherungspolicen sind entstanden, um diese Deckungslücke zu schließen. Indem sie Lösegeldzahlungen, die Beseitigung von Malware und andere Kosten abdecken, können Cyberpolicen Unternehmen dabei helfen, ihren Schaden zu begrenzen, sich schneller zu erholen und ihre allgemeine Cyberresilienz zu erhöhen.
Der Versicherungsschutz kann je nach Bedarf des Unternehmens, der Art der gespeicherten Daten und der Branche des Unternehmens variieren. Viele Cyberpolicen bieten Optionen für die Eigen- und Drittschadendeckung. Der Versicherungsschutz für Eigenschäden kommt für die direkten Verluste des Unternehmens auf, z. B. für die Kosten der Datenwiederherstellung und der Wiederherstellung von Systemen. Die Drittschadendeckung kommt für Schäden auf, die von Dritten außerhalb des Unternehmens erlitten wurden, z. B. von Verbrauchern, deren Daten gestohlen wurden.
Viele Cyberpolicen kommen für bestimmte Schäden auf, z. B. für folgende Fälle:
Wenn ein Unternehmen Umsatzeinbußen erleidet, weil ein Cyberangriff seine Computersysteme außer Betrieb setzt, können Cyberpolicen diese Verluste teilweise oder vollständig abdecken.
Die Versicherung kann für die Reaktion auf Sicherheitsvorfälle, Systemreparaturen, forensische Untersuchungen und andere Dienstleistungen aufkommen, die nach einem Cybervorfall erforderlich sind.
Cyberversicherungen können die Kosten für Rechtsstreitigkeiten übernehmen, die sich aus einem Cyberangriff ergeben, z. B. von Kunden eingereichte Klagen. Einige Versicherungsgesellschaften können dem versicherten Unternehmen einen Rechtsbeistand zur Seite stellen.
Wenn Hacker personenbezogene Daten oder andere vertrauliche Daten wie Kreditkarten- oder Sozialversicherungsnummern stehlen, können Cyberpolicen dazu beitragen, die Kosten für die Benachrichtigung von Kunden und die Bereitstellung von Dienstleistungen wie Kreditüberwachung zu decken.
Cyberangriffe können zu behördlichen Untersuchungen führen, insbesondere in stark regulierten Bereichen wie dem Gesundheitswesen und den Finanzdienstleistungen. Cyberpolicen können die Kosten für die Einhaltung dieser Prüfungen abdecken, einschließlich etwaiger Geldstrafen, die das Unternehmen zahlen muss.
Ein Unternehmen muss möglicherweise eine PR-Firma beauftragen oder andere Maßnahmen ergreifen, um den Ruf seiner Marke nach einem Angriff wiederherzustellen. Einige Cyberpolicen helfen, diese Kosten zu übernehmen.
Viele Cyberpolicen decken Lösegeldzahlungen ab, aber einige Versicherungsanbieter beenden oder beschränken diese Deckung aufgrund der hohen Kosten von Lösegeldzahlungen.
Cyberpolicen können zwar viel abdecken, aber es gibt einige Vorfälle, für die sie nicht zahlen. Diese werden als „Ausschlüsse“ bezeichnet. Zu den üblichen Ausschlüssen gehören:
Einem Unternehmen können Daten gestohlen oder Dienstleistungen unterbrochen werden, wenn bei Lieferanten und anderen Partnern eine Sicherheitslücke entsteht. Die Cyberversicherung kommt nicht immer für diese Verluste auf, aber einige Versicherer bieten gegen einen Aufpreis eine Deckung für Verstöße durch Dritte an.
Da Social-Engineering-Angriffe wie Phishing Menschen dazu verleiten, die Cybersicherheit von innen heraus zu gefährden, decken Cyberversicherungen diese Verluste nicht immer ab. Gegen einen Aufpreis ist jedoch oft eine Social-Engineering-Deckung erhältlich.
Verluste, die durch Insider-Bedrohungen wie böswillige oder fahrlässige Mitarbeiter verursacht werden, sind selten abgedeckt.
Viele Cyberpolicen betrachten diese Angriffe als Kriegshandlungen und decken sie nicht ab.
Wenn Hacker eine Schwachstelle ausnutzen, von der das Unternehmen wusste, die es aber nicht behoben hat, lehnen viele Cyberpolicen den Anspruch ab.
Die meisten Versicherungen decken keine Ausfälle ab, die durch Fehlkonfigurationen und andere interne Fehler verursacht wurden.
Die Nachfrage nach Cyberversicherungen ist zwar hoch, doch die steigenden Kosten für Cyberversicherungen machen es Unternehmen – insbesondere kleinen Unternehmen – schwer, einen Versicherungsschutz zu finden. Laut Marsh McLennan (Link befindet sich außerhalb von ibm.com) sind die Preise für Cyberversicherungen im ersten Quartal 2022 um 110 % gestiegen.
Laut 451 Research (Link befindet sich außerhalb von ibm.com) können Cyberversicherungen zur Zunahme von Ransomware-Angriffen beitragen. Je mehr Unternehmen Cyberpolicen abschließen, desto eher sind sie bereit, Lösegeld zu zahlen, weil die Versicherung dafür aufkommt. Die Hacker wiederum fühlen sich ermutigt, weiterhin Lösegeld zu fordern. Ein neuer Ransomware-Stamm, HardBit (Link befindet sich außerhalb von ibm.com), fordert die Opfer sogar auf, die Details ihrer Cyberpolicen mitzuteilen, damit die Hacker ein Lösegeld berechnen können, das die Police abdeckt.
Die Preisturbulenzen werden auch dadurch angeheizt, dass die Cyberversicherung im Vergleich zu anderen Versicherungsprodukten relativ neu ist. Die Versicherer verfügen nur über begrenzte historische Daten zu den Kosten von Cyberangriffen, was die Erstellung genauer Risikomodelle und die Festlegung stabiler Preise erschwert.
Wenn die Versicherungsunternehmen feststellen, dass ihre Verluste steigen, reagieren sie mit höheren Prämien und einer Einschränkung des Versicherungsschutzes. Der Versicherer AXA hat die Deckung von Ransomware-Zahlungen für in Frankreich ausgestellte Policen eingestellt (Link befindet sich außerhalb von ibm.com). Lloyd's of London (Link befindet sich außerhalb von ibm.com) deckt keine staatlich geförderten Cyberangriffe mehr ab, eine weitere Quelle für große Verluste.
Die Versicherer stellen auch strengere Anforderungen an die Netzsicherheit der versicherten Unternehmen. Einige Versicherer bieten nicht einmal ein Versicherungsangebot an, wenn ein Unternehmen nicht über Multi-Faktor-Authentifizierung, Datenverschlüsselung, Zero Trust oder ähnliche Maßnahmen verfügt. Einige Versicherungsunternehmen nehmen eine beratende Rolle ein und geben Versicherungsnehmern und Unternehmern Zugang zu Sicherheitstools und Dienstleistern, die sie bei der Verbesserung ihrer Sicherheitslage unterstützen. Einige Experten sagen voraus, dass Cyberversicherer zu Schlüsselfiguren bei der Durchsetzung von Standards wie dem NIST Cybersecurity Framework werden könnten, da Unternehmen, die diese Standards befolgen, weniger kostspielig zu versichern sein werden.
Schützen Sie Unternehmensdaten in verschiedenen Umgebungen, erfüllen Sie Datenschutzbestimmungen und vereinfachen Sie komplexe Betriebsabläufe.
Mit den Cybersicherheitslösungen für Unternehmen von IBM® Security sind Sie auch in unsicheren Zeiten erfolgreich.
Schützen Sie Ihre Netzinfrastruktur vor fortschrittlichen Bedrohungen und Malware mit IBM QRadar.
Der jährlich erscheinende „Cost of a Data Breach Report“, der auf Untersuchungen des Ponemon Institute basiert, bietet Einblicke in 550 reale Datenschutzverletzungen.
Cyberresilienz ist die Fähigkeit eines Unternehmens, Cybersicherheitsvorfällen vorzubeugen, sie zu überstehen und sich davon zu erholen.
Datensicherheit ist die praktische Umsetzung des Schutzes digitaler Informationen gegen unbefugten Zugriff, Beschädigung oder Datendiebstahl während des gesamten Lebenszyklus.