Gegen Hacks versichern?
Was 2023 in Sachen Cyberversicherung bringt
Foto: VectorMine - shutterstock.com
Mit der steigenden Zahl immer häufigerer und schwerwiegenderer Ransomware-, Phishing- und Denial-of-Service-Angriffen ist auch die Nachfrage nach Cyberversicherungs-Policen in die Höhe geschossen. Laut einem Memorandum (PDF) der National Association of Insurance Commissioners wurden im Jahr 2021 direkte Versicherungsprämien in Höhe von rund 6,5 Milliarden Dollar ausbezahlt - ein Anstieg von 61 Prozent im Vergleich zum Vorjahr.
"Einige Unternehmen betrachten eine Cyberversicherung als integralen Bestandteil ihrer Risikomanagement-Strategie", meint Heather Engel, geschäftsführende Partnerin der Beratungsfirma Strategic Cyber Partners. Allerdings könnte im Jahr 2023 möglicherweise nicht jedes Unternehmen, das eine solche Police abschließen will, dazu auch die Möglichkeit bekommen. Denn die Kosten für die Policen steigen und die Versicherer stellen inzwischen höhere Anforderungen: Deckung wird im Schadensfall in der Regel nur bei entsprechend nachgewiesenen Cybersecurity-Strategien gewährt.
Vielen Unternehmen bleibt allerdings keine Wahl, denn immer mehr Organisationen verlangen von ihren Geschäftspartnern eine Cyberversicherung. "Dieses Thema muss deshalb vom CEO, dem Risk Management und dem CISO gemeinsam diskutiert werden. Sie alle müssen sich mit der gesamtheitlichen Risikomanagement-Strategie auseinandersetzen", unterstreicht Tracy Wilkison, Senior Management Director bei FTI Consulting.
Diese Marktdynamik hat zur Folge, dass CISOs inzwischen eine wesentlich größere Rolle in den Debatten über eine Cyberversicherung spielen.
Die Cyberversicherungs-Evolution
Die Anfänge der Cyberversicherung reichen bis in die späten 1990er Jahre zurück. Damals (und noch bis in die 2000er) versicherten sich die Unternehmen gegen Sicherheitsvorfälle noch mit traditionellen Versicherungspolicen. Das änderte sich erst um das Jahr 2015, als erste Versicherer eigenständige Cyberversicherungs-Policen anboten. Etwa zur gleichen Zeit etablierte sich bei den Versicherern die Auffassung, dass allgemeine Policen keine Cybervorfälle abdecken sollten.
Diese Argumentation verfestigte sich nach der NotPetya-Angriffswelle im Jahr 2017 noch: In einigen Fällen wurde eine Deckung mit der Begründung verweigert, es handle sich um kriegerische Handlungen (die nicht von der Police abgedeckt werden), die von bösartigen Akteuren in staatlichem Auftrag initiiert worden seien. Es folgten zwei bemerkenswerte Rechtsfälle:
Das Pharmaunternehmen Merck verklagte seinen Versicherer, die American Insurance Company, nachdem ihm die Deckung gemeldeter Schäden in Höhe von 1,4 Milliarden Dollar verweigert wurde. Ein US-Gericht entschied Anfang 2022 zu Gunsten von Merck.
Der multinationale Genussmittelriese Mondelez reichte Klage gegen die Zurich American Insurance ein, nachdem diese es ebenfalls abgelehnt hatte, für die durch NotPetya erlittenen Schäden einzuspringen. Ende 2022 einigten sich die Parteien außergerichtlich.
Klagefälle wie diese hätten in Kombination mit dem wachsenden Angriffsvolumen dafür gesorgt, dass das Interesse an dedizierten Cyberversicherungs-Policen gewachsen sei, ist sich Alla Valente, Senior Analyst bei Forrester, sicher. Sie warnt jedoch: "Es wird immer schwieriger, eine Cyberversicherung abzuschließen. Vor einigen Jahren war das für Unternehmen noch relativ einfach. Aber dann kam die Pandemie und mit ihr Schadensmeldungen wegen Betriebsunterbrechungen und ein erheblicher Anstieg bei den Cyberangriffen."
Der Analystin zufolge hätten die Versicherer inzwischen erkannt, dass Cybervorfälle und ihre Auswirkungen beziehungsweise Recovery-Kosten sehr viel schwieriger zu antizipieren seien als reale Ereignisse, für die sie jede Menge versicherungsmathematische Daten zur Verfügung hätten. "Wenn ein Unternehmen beispielsweise einen Wasserschaden meldet, entstehen bestimmte Verluste mit vorhersehbaren Parametern. Es handelt sich um ein begrenztes Ereignis, das an einem bestimmten Ort stattfindet", erklärt Valente und fügt hinzu: "Aber so funktionieren Cybervorfälle nicht, denn sie können sich schnell weitläufig in den Ökosystemen moderner Unternehmen verbreiten - wie eine Krankheit. Zudem können alle Partnerunternehmen im Fall eines Cyberangriffs ebenfalls betroffen sein."
Für seinen "Cyber Readiness Report 2022" befragte der Versicherungsanbieter Hiscox 5.181 Unternehmen unterschiedlicher Größen und Branchen in acht Ländern - darunter auch Deutschland. Die Studie kommt zum Ergebnis, dass:
64 Prozent der Unternehmen eine Cyberversicherung entweder im Rahmen einer eigenständigen Police oder als Teil einer anderen Police abgeschlossen haben. Im Jahr 2020 lag dieser Wert noch bei 58 Prozent.
der Prozentsatz der Unternehmen, die in den letzten zwölf Monaten einen Cyberangriff gemeldet haben, im Vergleich zum Vorjahr von 43 auf 48 Prozent gestiegen ist.
jedes fünfte von einem Angriff betroffene Unternehmen dadurch seine Zahlungsfähigkeit gefährdet sah. Gegenüber dem Vorjahr ein Anstieg um 24 Prozent.
die durchschnittlichen Kosten eines Angriffs um 29 Prozent auf durchschnittlich 17.000 Dollar geklettert sind.
Cyberversicherung 2023 mit steigenden Anforderungen und Kosten
Die Versicherer reagieren auf die zunehmenden Anspruchsanmeldungen und Kosten, indem sie von den Unternehmen robuste Sicherheitskontrollen verlangen - und einen entsprechenden Nachweis darüber, dass diese auch zuverlässig funktionieren. "Früher musste man nur einen simplen Fragebogen ausfüllen, um eine Police abzuschließen. Das hat sich in den letzten Jahren geändert", konstatiert Beraterin Engel und geht weiter ins Detail: "Jetzt verlangen die Versicherer deutlich mehr Kontrollen, beispielsweise eine Multifaktor-Authentifizierung. Anderenfalls gibt es entweder keine Police oder keine vollständige Deckung. Inzwischen müssen Unternehmen auch Incident-Response-Pläne nachweisen."
Auch Wilkison berichtet, dass die Versicherer inzwischen teilweise sehr hohe Anforderungen stellen und ganz genau hinschauen: "Sie verlangen zum Beispiel den Nachweis über ein bestimmtes Sicherheitsniveau, etwa in Form von SOC-2-Konformität. Neben Sicherheitsstrategien und -richtlinien werden auch Schulungs- und Awareness-Programme auf den Prüfstand gestellt." Das erfordere wiederum, die Sicherheitsentscheider stärker in den Procurement-Prozess miteinzubeziehen. Dabei müssten CISOs unter Umständen auch ihre Strategien an die Anforderungen des Versicherers anpassen.
Michael Pisano, Managing Director beim Beratungsunternehmen Protiviti, unterstreicht, wer am längeren Hebel sitzt: "Wenn Sie Ihren Anspruch geltend machen wollen, müssen Sie in der Regel auf die bevorzugten Anbieter der Versicherer zurückgreifen oder deren vorgesehene Prozesse befolgen. Im Falle eines Vorfalls gilt es, bestimmte Anforderungen zu erfüllen, etwa bestimmte Anwälte einzusetzen oder spezifische forensische Untersuchungen durchzuführen. Das müssen CISOs in ihr Playbook integrieren."
Doch selbst dann gebe es keine Garantie, dass die Verluste abgedeckt würden, warnt der Chefberater: "Die Unternehmen müssen nachweisen, dass ihre Sicherheitsteams alle Pläne befolgt und das beim Abschluss der Police beschriebene Sicherheitsniveau kontinuierlich aufrechterhalten haben."
Forrester-Analystin Valente verweist in diesem Zusammenhang auf einen laufenden Fall aus dem Jahr 2022, bei dem das US-Industrieunternnehmen Industrial Control Services seinen Versicherer verklagt. Die Travelers Insurance will nicht für Schäden aufkommen, die durch einen Ransomware-Angriff entstanden sind. Die Begründung: ICS habe seine Verwendung von MFA falsch dargestellt. "Es besteht also die Möglichkeit, dass Ihr Unternehmen auf den Kosten für einen Sicherheitsvorfall sitzenbleibt", kommentiert die erfahrene Analystin.
Die Dynamik hat auch zur Folge, dass die Kosten für Cyberversicherungs-Policen steigen. Wilkison erklärt: "Es gibt eine enorme Zunahme von Angriffen, wodurch den Versicherungsgesellschaften deutlich mehr Kosten entstehen. Also haben sie die Preise erhöht - und zwar drastisch."
Das belegen auch aktuelle Zahlen. Laut einer Umfrage des Softwareanbieters Delinea zum Thema Cyberversicherung unter 300 IT-Entscheidern in den USA:
sehen sich 75 Prozent der Befragten mit steigenden Prämien konfrontiert.
verfügen nur 30 Prozent der Teilnehmer über Versicherungspolicen, die Ransomware, Ransomware-Verhandlungen und Lösegeldzahlungen abdecken.
haben 48 Prozent Policen abgeschlossen, die Data Recovery beinhalten.
deckt die Police bei 33 Prozent der Befragten auch regulatorische Strafen und Third-Party-Schäden ab.
Lohnt sich eine Cyberversicherung noch?
Angesichts steigender Kosten und Einschränkungen bei der Deckung prüfen einige Unternehmen ihre Optionen, wie auch Consultant Engel weiß: "Es stellt sich die Frage, ob die Versicherungspolice ihr Geld wert ist. Die Antwort darauf kann nur das Unternehmen selbst geben."
Dabei stellten einige Unternehmen fest, dass sie die Zahlung der Prämien nicht rechtfertigen könnten, selbst wenn sie dadurch Geschäftsmöglichkeiten verlieren. Vor allem kleine und mittlere Unternehmen könnten oft auch nicht alle Anforderungen erfüllen, die die Versicherer inzwischen stellen. Andere entschieden sich dazu, verstärkt in ihre Security-Programme zu investieren statt in eine Versicherung, berichtet Engel: "Das ist natürlich eher eine Lösung für große Unternehmen, die über die Tools und das nötige Knowhow verfügen, um Sicherheitsvorfälle zu erkennen und zu untersuchen."
Protiviti-Director Pisano bringt es auf den Punkt: "Es ist eine Kosten-Nutzen-Analyse. Man muss als Unternehmen entscheiden, was man sich leisten kann."
Sie wollen weitere interessante Beiträge rund um das Thema IT-Sicherheit lesen? Unser kostenloser Newsletter liefert Ihnen alles, was Sicherheitsentscheider und -experten wissen sollten, direkt in Ihre Inbox.
Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation CSO Online.