Den richtigen Versicherungsschutzbedarf ermitteln

Cyber Insurance Assessment erklärt

LinkedInRedditWhatsAppPocket

Die Digitalisierung bietet Unternehmen immense Möglichkeiten, birgt jedoch auch zahlreiche Risiken. Cyberangriffe gehören mittlerweile zu den größten Bedrohungen für Organisationen jeder Größe. Um sich gegen die potenziellen Schäden abzusichern, setzen immer mehr Unternehmen auf Cyber-Versicherungen.

Doch viele tun sich schwer, den richtigen Versicherungsschutz zu bestimmen. Hier hilft ein Cyber-Insurance-Assessment – ein strukturierter Prozess, der dabei unterstützt, die optimalen Versicherungsbausteine und Deckungssummen zu finden. In diesem Artikel beleuchten wir die zentralen Phasen dieses Assessments, wobei wir den Fokus auf die wesentlichen Schritte der Risikobewertung und Schadenmodellierung legen.

Anzeige

Phase 1: Das Geschäftsmodell verstehen und Cyber-Risiken ableiten

Der erste Schritt eines Cyber-Insurance-Assessments ist immer die Analyse des Geschäftsmodells. Denn die Risiken, denen ein Unternehmen ausgesetzt ist, hängen maßgeblich von seiner Branche, den Geschäftsprozessen und den eingesetzten IT-Systemen ab. Diese Phase bildet die Grundlage für die Risikobewertung und ist der Ausgangspunkt für alle weiteren Schritte.

In dieser Phase wird durch ein interdisziplinäres Team aus IT-Experten, Fachleuten aus den Bereichen Finanzen, Recht und den operativen Einheiten des Unternehmens ermittelt, welche Prozesse, Systeme und Daten am anfälligsten für Cyber-Angriffe sind. Besonders kritisch sind hierbei Geschäftsprozesse wie Zahlungsabwicklungen, Produktionssteuerungen oder der Vertrieb. Aber auch die IT-Sicherheit von Lieferanten und externen Partnern muss berücksichtigt werden, da Cyber-Risiken nicht nur innerhalb des Unternehmens auftreten können, sondern entlang der gesamten Lieferkette verbreitet werden.

Ziel dieser Phase ist es, ein erstes Risikoprofil des Unternehmens zu erstellen und daraus konkrete Cyber-Szenarien zu entwickeln, die als Grundlage für die folgenden Phasen dienen.

Anzeige

Wer seine Cyberrisiken nicht quantifiziert, tappt im Dunkeln – nur eine belastbare Risikobewertung schafft die Grundlage, um den Versicherungsschutz passgenau auszurichten.

Dr. Alexander Dotterweich, PwC

Phase 2: Reifegrad der IT-Sicherheit und Eintrittswahrscheinlichkeit bewerten

Nachdem die potenziellen Cyber-Risiken identifiziert und analysiert wurden, steht in Phase 2 die Bewertung des aktuellen IT-Sicherheitsniveaus im Mittelpunkt. Hier geht es darum, Schwachstellen in der Sicherheitsarchitektur zu identifizieren und die Wahrscheinlichkeit eines erfolgreichen Cyberangriffs abzuschätzen.

Bestandsaufnahme der Sicherheitsarchitektur

Der erste Schritt dieser Phase ist die Bestandsaufnahme aller Sicherheitsmaßnahmen, die im Unternehmen derzeit im Einsatz sind. Dies umfasst sowohl technische (Firewalls, Virenschutz, Intrusion Detection Systeme), organisatorische (Richtlinien für Passwörter, Backup-Strategien, Awareness-Programme für Mitarbeiter) als auch physische Sicherheitsvorkehrungen (Zutrittskontrollen zu Serverräumen). Eine gründliche Überprüfung dieser Maßnahmen ist notwendig, um festzustellen, welche Sicherheitslücken existieren und wie diese behoben werden können.

Reifegradbewertung

Im nächsten Schritt erfolgt eine detaillierte Bewertung des Reifegrads der implementierten Sicherheitsmaßnahmen. Unternehmen mit einem höheren Reifegrad weisen eine robustere Sicherheitsinfrastruktur auf und sind in der Regel besser vor Cyberangriffen geschützt. Ein spezieller Fokus liegt hierbei auf der IT-Governance und der Regelkonformität, also der Einhaltung von Standards und Best Practices. Hier kommen auch speziell für kleine und mittlere Unternehmen entwickelte Reifegradkataloge zum Einsatz, die eine schnelle, aber fundierte Einschätzung des Sicherheitsniveaus ermöglichen.

Eintrittswahrscheinlichkeit: Ein mathematisches Modell

Die Eintrittswahrscheinlichkeit eines Cyberangriffs wird schließlich durch ein mathematisches Modell ermittelt, das sowohl die Anzahl potenzieller Angriffsschritte als auch den Sicherheitsreifegrad des Unternehmens berücksichtigt. Je niedriger der Reifegrad der IT-Sicherheit und je größer die Zahl möglicher Angriffspfade, desto höher fällt die Wahrscheinlichkeit eines Angriffs aus. Das Modell hilft dabei, eine fundierte Schätzung der Eintrittswahrscheinlichkeit zu erstellen, indem es die analysierten Daten mathematisch verknüpft.

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.

Phase 3: Quantifizierung der potenziellen Schäden

In dieser Phase geht es darum, die finanziellen Auswirkungen eines Cyberangriffs genau zu quantifizieren. Nur durch eine detaillierte Einschätzung der potenziellen Schäden können Unternehmen feststellen, wie viel Versicherungsschutz sie benötigen.

Szenario-basierte Schadenanalyse

Der erste Schritt in Phase 3 ist die Szenario-basierte Analyse. Hierbei werden verschiedene Cyber-Angriffsszenarien simuliert, um die direkten und indirekten Kosten eines Angriffs zu ermitteln. Typische Szenarien umfassen beispielsweise Ransomware-Angriffe, bei denen Produktionsdaten verschlüsselt und Betriebsabläufe unterbrochen werden, oder Phishing-Angriffe, bei denen sensible Kundendaten gestohlen werden.

Für jedes Szenario werden sowohl die direkten Kosten (wie etwa Kosten für die Wiederherstellung von Daten, Lösegeldzahlungen oder forensische Untersuchungen) als auch die indirekten Kosten (Umsatzverluste, Bußgelder oder Reputationsschäden) ermittelt. Hierbei fließen auch branchenspezifische Erfahrungswerte ein, um insbesondere schwer messbare Schäden wie den Verlust von Kundenvertrauen zu berücksichtigen.

Modellierung der Schadenhöhe

Nach der Analyse der Szenarien werden die möglichen Schadenhöhen mithilfe probabilistischer Modelle wie der Monte-Carlo-Simulation berechnet. Dabei werden Tausende von potenziellen Schadensszenarien durchgespielt, um eine Wahrscheinlichkeitsverteilung zu erstellen, die sowohl häufige kleine Schäden als auch seltene, aber sehr teure Vorfälle umfasst. Die Expected Loss (durchschnittlicher Schaden) sowie die Schäden bei Extremereignissen (etwa bei einem 99%-Quantil) werden dabei ermittelt.

Validierung und Verfeinerung der Schadensberechnungen

Die ersten Berechnungen werden von einem Expertenteam überprüft, um sicherzustellen, dass die ermittelten Schadenhöhen realistisch sind. Insbesondere schwer quantifizierbare Schäden, wie etwa die langfristigen Auswirkungen auf den Ruf eines Unternehmens, werden mithilfe von Erfahrungswerten aus der Praxis ergänzt. Dies ermöglicht eine präzise und realistische Einschätzung der finanziellen Risiken.

Phase 4: Modellierung der Schadenverteilung

Nachdem die potenziellen Schäden quantifiziert wurden, geht es in Phase 4 um die Modellierung einer Wahrscheinlichkeitsverteilung für die Schäden. Dies ermöglicht eine differenzierte Risikobetrachtung und stellt sicher, dass nicht nur häufige, kleinere Schäden, sondern auch seltene, aber existenzbedrohende Ereignisse abgebildet werden.

Trennung von Häufigkeit und Schwere

Die Schadenverteilung wird in zwei Komponenten unterteilt: Schadenhäufigkeit (wie oft tritt ein Angriff auf?) und Schadenschwere (wie hoch sind die Schäden im Falle eines Angriffs?). Diese Trennung ermöglicht es, die Risikobewertung noch präziser und differenzierter vorzunehmen.

Wahrscheinlichkeitsverteilung und Monte-Carlo-Simulation

Durch die Monte-Carlo-Simulation werden Tausende von potenziellen Schadensverläufen berechnet, um eine realistische Wahrscheinlichkeitsverteilung zu erstellen. Diese gibt Auskunft darüber, wie hoch der zu erwartende Durchschnittsschaden ist und wie sich die Extremereignisse entwickeln könnten. Dabei wird auch berücksichtigt, welche Szenarien den größten Einfluss auf das Gesamtrisiko haben.

Berücksichtigung von Abhängigkeiten

Cyber-Angriffe treten oft nicht isoliert auf. Ein Angriff auf ein System kann in der Regel auch Auswirkungen auf andere Systeme haben, weshalb in der Modellierung die Abhängigkeiten zwischen verschiedenen Schadenarten berücksichtigt werden. Diese Abhängigkeiten werden mithilfe von Copula-Modellen abgebildet, die eine präzise Darstellung der Korrelationen zwischen verschiedenen Schadenarten ermöglichen. Beispielsweise könnte ein Angriff auf die interne IT eines Unternehmens auch Auswirkungen auf die Cloud-Services oder Lieferketten haben.

Nutzen für Versicherungsentscheidungen

Die resultierende Verlustverteilung ist entscheidend für die spätere Versicherungsentscheidung. Sie dient als Grundlage, um zu bestimmen, welche Deckungssumme benötigt wird und welcher Selbstbehalt sinnvoll ist. Darüber hinaus hilft sie dabei, den Fokus entweder auf den Risikotransfer (Versicherung) oder auf präventive Maßnahmen zu legen.

Angreifer nutzen das schwächste Glied in der IT-Architektur aus. Cyber-Assessments nutzen sowohl bei der Qualifizierung als auch bei der Verbesserung der Reife.

Dr. Silvia Knittl, PwC

Phase 5: Handlungsempfehlungen und Implementierung

Nach der detaillierten Analyse in den vorangegangenen Phasen folgt in Phase 5 die Ableitung von Handlungsempfehlungen. Ziel ist es, die gewonnenen Erkenntnisse in konkrete Maßnahmen zu übersetzen, die sowohl das Risikomanagement als auch die Versicherungsstrategie betreffen.

Auswahl der passenden Versicherungskomponenten

Die in den Phasen 2 bis 4 ermittelten Risiken und potenziellen Schäden helfen dabei, die passenden Deckungsbausteine für die Cyber-Versicherung auszuwählen. Dies umfasst die Festlegung der Deckungssumme, der Selbstbehalte und der spezifischen Versicherungspolicen, die auf die individuellen Risiken des Unternehmens zugeschnitten sind. Auch die Haftungsbedingungen werden in diesem Schritt geprüft, um sicherzustellen, dass die Versicherung im Ernstfall umfassenden Schutz bietet.

Gap-Analyse und Verbesserung der Sicherheitsmaßnahmen

Sollte sich herausstellen, dass der Abschluss einer umfassenden Cyber-Versicherung aktuell nicht die beste Lösung darstellt, etwa weil die Prämien zu hoch sind oder keine geeigneten Deckungsbausteine verfügbar sind, empfiehlt sich eine Gap-Analyse. Diese Identifikation von Sicherheitslücken im Unternehmen kann als Grundlage für Verbesserungsmaßnahmen dienen, die im Zuge eines kontinuierlichen Sicherheitsprogramms umgesetzt werden.

Alternative Absicherungsmodelle

In einigen Fällen kann es sinnvoll sein, auf alternative Absicherungsmodelle wie Captives zurückzugreifen – eine Form der Selbstversicherung, bei der ein Unternehmen eigene Rücklagen bildet, um potenzielle Schäden aus Cyber-Angriffen selbst abzudecken. Dieser Ansatz wird besonders für große Unternehmen interessant, die eine hohe Risikofähigkeit besitzen und ihre Versicherungsprämien optimieren möchten.

Fazit

Das Cyber-Insurance-Assessment stellt für Unternehmen eine wichtige Grundlage dar, um ihre Cyber-Risiken zu verstehen und den richtigen Versicherungsschutz zu wählen. Durch die präzise Identifikation von Risiken, die Bewertung der IT-Sicherheit, die Quantifizierung potenzieller Schäden und die Modellierung von Schadenverteilungen erhalten Unternehmen nicht nur ein detailliertes Bild ihrer Bedrohungslage, sondern auch eine fundierte Entscheidungsgrundlage für die Auswahl der passenden Versicherungspolicen.


Dr. Silvia

Knittl

Cyber Security & Privacy

PricewaterhouseCoopers GmbH Wirtschaftsprüfungsgesellschaft

Dr. Alexander

Dotterweich

Partner Actuarial Risk Modelling Service

PricewaterhouseCoopers GmbH Wirtschaftsprüfungsgesellschaft

Anzeige

Artikel zu diesem Thema

Einer der größten Cyber-Risiken – Der „normale“ Mensch
Cyberversicherung: So erreichen Sie Schutz zu guten Konditionen

Weitere Artikel

Vernetzte Sicherheitsprozesse sind dringend notwendig
Enthüllung von 5 weit verbreiteten Irrtümern über die Sicherheit von eSIM-Karten
Wie Unternehmen die Sicherheitslücke in ihrer Gerätestrategie schließen können
Steam Daten sind doch sicher – was Gamer jetzt trotzdem tun sollten
Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.