Studie

Versicherung als Instrument des Cyber-Risikomanagements

In Deutschland ist mittlerweile jedes zweite Unternehmen von Cyber-Angriffen betroffen. Die Studie des Munich Risk and Insurance Centers (MRIC) und der Cyber Risk Agency GmbH zeigt den Handlungsbedarf für kleine und mittlere Unternehmen (KMUs) auf und liefert konkrete Empfehlungen, wie sich diese sich durch effektives Cyber-Risikomanagement vor Cyber-Kriminellen schützen können.

Über eine Abwehr von Cyber-Angriffen durch Maßnahmen der IT-Security hinaus, werden der Aufbau digitaler Kompetenz bei Mitarbeitern und die Anbindung eines effektiven Notfallmanagements durch Versicherungslösungen diskutiert.

Anzeige

Analysen der Cyber Risk Agency zeigen, dass insbesondere kleinere Unternehmen meist über nur geringe Sicherheitsstandards verfügen. Die Studie analysiert den Mehrwert von Cyber-Versicherungen für KMUs und bietet einen Überblick über die Leistungsfähigkeit des aktuellen Angebots im deutschen Cyber-Versicherungsmarkt. Im direkten Vergleich konnten 6 der 20 untersuchten Policen sowohl in Bezug auf den angebotenen finanziellen Deckungsumfang als auch bezüglich der bereitgestellten Assistance-Leistungen, wie beispielsweise einer ständig verfügbaren Hotline und einem Notfallteam für den Ernstfall, überzeugen.

Handlungsbedarf

Cyber-Kriminelle verursachen in Deutschland jährlich Schäden in Höhe von ca. 55 Mrd. Euro. Davon entfallen etwa 16 Mrd. Euro auf Ermittlungsaufwände, Wiederherstellung der IT und Betriebsstillstand. Bedingt durch das Aufkommen automatisierter Hacking-Tools hat sich nicht nur die absolute Zahl erfolgreicher Cyber-Attacken erhöht, es sind auch immer häufiger kleine und mittlere Unternehmen von den Angriffen betroffen. Marktanalysen des Digitalverbands Bitkom zeigen, dass jedes zweite befragte Unternehmen in den letzten zwei Jahren Opfer von Datendiebstahl, Industriespionage oder Sabotage geworden ist. Unternehmen mit 100 bis 499 Mitarbeitern sind mit 65 Prozent am stärksten betroffen. Aber auch jedes zweite Unternehmen mit weniger als 100 Mitarbeitern musste einen Fall von Cyber-Kriminalität verzeichnen.

Betrachtet man die Altersstruktur der Täter, so wird deutlich, dass es sich im Falle von Cyber-Kriminalität nicht typischerweise um Jugenddelikte handelt. Gemäß aktueller Zahlen des Bundeskriminalamtes waren 54 Prozent der 20.920 im Jahr 2016 registrierten Tatverdächtigen über 30 Jahre alt und weitere 13 Prozent waren 50 Jahre und älter. Dabei reicht das Täterspektrum vom Einzeltäter bis hin zu international organisierten Gruppen.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat im vergangenen Jahr 1.000 kritische Schwachstellen in gängiger Standardsoftware identifiziert. Hinzu kommt eine Zunahme an Schwachstellen in mobilen Endgeräten. Für Cyber-Kriminelle stellt jede dieser Lücken ein potentielles Einfallstor dar. Eine absolute IT-Sicherheit kann daher in keinem Unternehmen erreicht werden.

Analysen der Cyber Risk Agency zeigen, dass insbesondere kleinere Unternehmen meist über nur geringe Sicherheitsstandards verfügen. So ist bei 48 Prozent der Unternehmen mit weniger als 100 Mitarbeitern der Reifegrad der Informationssicherheit als „Gering“ zu bewerten. Bei größeren Unternehmen sind es immerhin noch 32 Prozent (vgl. Bild 1).

Reifegrad der Informationssicherheit nach Unternehmensgröße

Bild 1: Reifegrad der Informationssicherheit nach Unternehmensgröße

Maßnahme: „Cyber-Risikomanagement“

Für eine bestmögliche Abwehrstrategie zeigt die Studie Möglichkeiten der Kombination verschiedener Instrumente des Cyber-Risikomanagements auf; vgl. Bild 2: Instrumente des Cyber-Risikomanagements:

Instrumente des Cyber-Risikomanagements

Auf Basis der Ergebnisse des Online-Tools CyberRiskRadar wird der aktuelle Reifegrad des Cyber-Risikomanagements in kleinen und mittleren Unternehmen dargestellt und aufgezeigt, wie dieser durch konkrete weiterführende Schritte verbessert werden kann. Neben technischen Abwehrmaßnahmen und professioneller Datensicherung besteht demnach Handlungsbedarf vor allem bei personellen Sicherheitsmaßnahmen als auch beim Notfallmanagement der Unternehmen.

Ein wesentliches Defizit besteht darin, dass die Unternehmen trotz der eheblichen Anzahl erfolgreicher Angriffe den Ernstfall noch nicht ausreichend vorbereiten, um Angreifern wirksam Paroli bieten zu können.

Trotz des wachsenden Angebots an Cyber-Versicherungslösungen nutzen nur sehr wenige deutsche Unternehmen dieses Instrument. Fast 70 Prozent haben keinen Versicherungsschutz für durch Cyber-Angriffe verursachte Eigenschäden und nur 11 Prozent haben eine Cyber-Versicherung mit entsprechender Cyber-Assistance zur schnellen Unterstützung im Ernstfall. Ein Grund hierfür ist vermutlich die mangelnde Kenntnis vieler Entscheidungsträger über Cyber-Versicherungsprodukte und ihre Möglichkeiten.

In den letzten 6 Jahren wurden in Deutschland Cyber-Versicherungen mit einem geschätzten Gesamtprämienvolumen von etwa 100 Mio. Euro (Quelle: KMPG) gezeichnet. Zum Vergleich – die geschätzten weltweiten Prämien liegen bei ca. 4,1 Mrd. US-Dollar und sind zu beinahe 70 Prozent dem US-Markt zuzuordnen.
Eine Cyber-Versicherung bietet neben der Deckung finanzieller Schäden auch Assistance-Leistungen und stellt damit auch eine Alternative zum Zukauf der erforderlichen Notfall-Expertise dar. Sie bietet damit die Chance auf einen schnellen Wiederanlauf der IT und deckt die Kosten für die Wiederherstellung und sonstige durch einen Cyber-Angriff entstandenen Aufwände sowie Ertragsausfälle während einer Betriebsunterbrechung.

Um einen Beitrag zu mehr Transparenz bezüglich der Leistungsfähigkeit solcher Policen zu leisten, werden die Basiskomponenten einer Cyber-Versicherung in der Studie näher dargestellt. Sowohl der Deckungsumfang für Eigen- und Fremdschäden als auch der Mehrwert von Assistance-Leistungen werden erläutert und alle aktuell angebotenen 20 Cyber-Versicherungslösungen des deutschen Markts werden auf ihre relative Leistungsfähigkeit für den Einsatz in KMUs verglichen. Im direkten Vergleich konnten 6 von 20 Policen identifiziert werden, die einen relativ hohen Leistungsumfang bieten (vgl. Bild 3: Relativer Leistungsumfang der Cyber-Policen im deutschen Markt):

Relativer Leistungsumfang der Cyber-Policen im deutschen Markt

Die Autoren kommen zu dem Schluss, dass die Mehrheit der angebotenen Cyber-Policen die wesentlichen finanziellen Risiken des Versicherungsnehmers abdeckt.

Bei den Standarddeckungskomponenten, wie Betriebsunterbrechungsschäden, Ertragsausfällen und Kosten der System- und Datenwiederherstellung sowie bei Schäden aus Haftpflichtansprüchen von Kunden und Geschäftspartnern und diversen sonstigen Krisenkosten, z.B. für IT-Forensik, Krisenkommunikation und Rechtsberatung unterscheidet sich das Angebot kaum. Bei 9 Policen wurden jedoch zum Teil sehr umfassende und insbesondere für kleine und mittlere Unternehmen nur schwer erfüllbare Obliegenheiten (= Auflagen der Versicherung) identifiziert. Bei der Komponente der Assistance-Leistungen wurden insbesondere Unterschiede bezüglich der Handlungsfähigkeit der 24/7-Hotline, der verfügbaren Notfallkapazitäten und der Professionalität des Notfallteams (sog. CERT-Service = Computer Emergency Response Team) identifiziert.

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.

Fazit und Ausblick

Die Studie des Munich Risk and Insurance Centers (MRIC) und der Cyber Risk Agency verdeutlicht den aktuellen, durch die digitale Transformation steigenden Bedarf, Unternehmen besser vor Cyber-Kriminellen zu schützen. Oliver Lehmeyer, Geschäftsführer und Gründer der Cyber Risk Agency rät: „Wer die Chancen der Digitalisierung nutzen möchte, der muss auch die damit einhergehenden Risiken managen. Gehen Sie als Unternehmen davon aus, dass Sie gehackt werden und bereiten Sie Ihr Unternehmen auf den Ernstfall vor.“ Für Entscheidungsträger in Unternehmen bedeutet dies konkret, dass verstärkt digitale Kompetenz im Unternehmen aufgebaut werden muss, um den mit der Digitalisierung einhergehenden Risiken begegnen zu können. Daneben kann der Abschluss einer Cyber-Versicherung sinnvoll sein, um einerseits den finanziellen Risiken eines Cyber-Angriffs Rechnung zu tragen und mit der in den Policen integrierten Cyber-Assistance ein professionelles Notfallmanagement für das Unternehmen zu etablieren. Insbesondere kleine und mittlere Unternehmen haben hier Nachholbedarf, da diese im Vergleich zu großen Unternehmen in der Regel über geringere IT-Sicherheitsstandards verfügen.

Weitere Informationen:

Eine Kurzfassung der Studie ist auf der Webseite der Cyber Risk Agency verfügbar.
 

Anzeige

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.