Individuelle ProjektpreiseÜber 25 Jahre ErfahrungPersönlicher KontaktTrusted Advisor
BitInfo logo

Rufen Sie uns kostenlos an

0800 - 248 46 36
JETZT BERATEN LASSEN

Christian Wegener

29.07.2018

Versicherungen für das Cyber Risiko-Management

Versicherungen für das Cyber Risiko-Management 2020


Das Internet hat dafür gesorgt, dass Unternehmen den Gefahren von Informationsdiebstahl, Vandalismus und Denial-of-Service-Attacken ausgesetzt sind. Daher sind Sicherheitsthemen in den Unternehmen immer wichtiger geworden und auf die Agenda der Führungskräfte gerückt.

Das Thema Sicherheit im Cyber-Bereich wurde erstmal im Jahr 2002 medial Präsent. Damals berichtete eine Studie vom Computer Security Institute und vom Federal Bureau of Investigation, dass 90% der Befragten Sicherheitslücken in den Systemen hatten und dass viele Unternehmen deswegen Verluste einstecken mussten. Und 74% gaben an, dass die Internetverbindung das Hauptziel der Hackerangriffe wurde.

In den Unternehmen sind die Absicherungen der eigenen Informationen und Datenbanken bereits seit geraumer Zeit ein Thema. Außerdem geht es in den Unternehmen darum, den Zugang zu Informationen und Daten einem Pool an autorisierten Nutzern zu gewähren. Durch das Internet ist die Verwundbarkeit der Systeme allerdings beträchtlich angestiegen und die ökonomischen Schäden sind teilweise sehr hoch.

Daher sind Führungskräfte an neuen Tools interessiert, mit denen die Probleme vermieden werden können. Ein Beispiel für ein derartiges Tool sind Versicherungspolicen im Bereich Cyber-Risiko. Mit solchen Versicherungen können sich Unternehmen gegen Verlust durch Sicherheitslücken und Informationsverlust besser schützen. Hier wird ein Framework vorgestellt, wie Versicherungen als Tools benutzt werden können.

Internet als Risikofaktor

Viele der Risiken, die mit dem Internet im Jahr  2020 verbunden werden, sind nicht wirklich neu. Beispielsweise waren Copyright-Verletzungen, Informationsdiebstahl und Rufschädigung schon vorher möglich. Allerdings weist das Internet einige eigenständige Charakteristika auf was Standorte, Reichweite und Sichtbarkeit betrifft. Die Schäden eines Virus können beispielsweise dafür sorgen, dass Software und Datenbanken in den Unternehmen versagen und die Organisation manövrierunfähig wird.

In vielen Unternehmen wurde darauf noch nicht entsprechend reagiert. Zwar gibt es oft Versicherungspolicen für verschiedene Schadensfälle. Aber nur selten sind Policen mit Bezug auf Cyber-Risiken im Einsatz. Allerdings liegen von Seiten der Versicherungsunternehmer bereits einige Angebote vor, um die unterschiedlichen Probleme besser zu lösen. Dabei entstehen ebenfalls neue Themen und Risikosituationen, die auf Seiten der Versicherungsträger beachtet werden müssen.

Zunächst sind Versicherungen eine Kostenfrage. Wie hoch ist der Preis, den die Versicherungen für die Policen verlangen können und was bedingt die Preisgestaltung überhaupt? Erschwert wird die Beantwortung der Frage durch den Umstand, dass in vielen Unternehmen Unklarheit über den Wert der Informationen oder den zu erwarteten Schaden besteht. Viele der Cyber-Risiken wurden bisher weder quantitativ noch qualitativ ausreichend bewertet.

Außerdem betreiben die Versicherungen eine Gegenauslese. Das bedeutet, dass hochgradig anfällige Unternehmen oder Unternehmen mit einer hochwertigen Informations- und Datensammlung Probleme haben könnten, eine Versicherung abzuschließen. Um unerwarteten Problemen aus dem Weg zu gehen halten viele Versicherungen ein Information Security Audit ab oder bieten teurere Premium-Versicherungen an, die einen höheren Schutz gewährleisten sollen. Für die Versicherungsnehmer gilt, dass Unternehmen mit einer höheren Bedrohungslage ein höheres Interesse haben, eine passende Cyber-Versicherung abzuschließen.

Weiterhin kann der Abschluss einer Versicherung für Cyber Risiko-Management einen nachteiligen Effekt beim Versicherungsnehmer haben. Durch die Versicherungspolice kann beim Versicherten das Gefühl entstehen, keine Schritte zur Gefahrenabwehr mehr unternehmen zu müssen. Dadurch erhöht sich prinzipiell das Risiko für Cyber-Attacken und die Kosten steigen grundlos weiter an.

Der Versicherer hat mehrere Möglichkeiten sich vor den Konsequenzen zu schützen. So können beim Abschluss der Versicherung beispielsweise Selbstbeteiligungen des Versicherten vertraglich festgelegt werden. Außerdem könnte der Versicherte per Kontrakt dazu verpflichtet werden, weitere Schritte beim Risiko-Management im Cyber-Bereich vorzunehmen und den Schutzfaktor zu erhöhen.

Was decken Cyber-Risiko-Versicherungen ab?

Es gibt einige spezielle Versicherungspolicen für Cyber-Risiken auf dem Markt. Diese Policen decken First-Party- und Third-Party-Risiken ab, die in den Unternehmen durch die Nutzung des Internets entstehen.

Ein First-Party-Risiko entsteht durch Diebstahl oder Verlust von Eigentümern des Versicherungsnehmers. Dazu gehören beispielsweise Software, Hardware und Daten. Bei Third-Party-Risiken geht es um weitergeleitete Viren, Lieferausfälle oder Diebstahl von Informationen über Dritte, wie zum Beispiel Kreditkartendaten.

Da Cyber-Risiko allerdings ein relativ neues Produkt ist, ist es schwierig eine Lösung aus einer Hand zu finden. Die Versicherungsunternehmen bieten nur selten große, umfassende Policen an.

Framework zum Cyber-Risiko-Management für die Informationssicherheit

Risiko-Management in Bezug auf Informationssicherheit ist der Prozess die Risiken zu erheben, Schritte zu unternehmen die Risiken auf akzeptables Niveau zu senken und schließlich dieses Niveau zu halten.

Unternehmen sollten zunächst damit beginnen die Bedrohungen und Verwundbarkeiten der Informationssysteme festzustellen. Dabei bietet es sich an die Faktoren Wert der Information und potenzielle Gefährdung miteinander zu verrechnen. Eine Information, Datenbank oder ein Wissensbestand von hohem Wert und mit einer hohen Verwundbarkeit sollte im Unternehmen auf jeden Fall hinsichtlich Cyber-Risiko-Management analysiert und bearbeitet werden.

Danach sollten die Unternehmen beginnen das Risiko-Level auf eine akzeptable Stufe zu bringen. Das akzeptable Level unterscheidet sich je nach Wert, Verwundbarkeit und Unternehmen und muss für den Einzelfall näher erfasst werden. Für die Reduktion des sollten Unternehmen darin investieren vorhandene Sicherheitslücken zu stopfen und dabei beispielsweise Firewalls, Kryptologie oder Kontrollmechanismen zum Einsatz bringen. Nach dem Ausbau der internen Sicherheitsvorkehrungen können Organisationen eine Cyber-Risiko-Versicherung abschließen.

Bei der Cyber-Risiko-Versicherung gilt es den Trade-Off zwischen Investitionen in innerbetriebliche Sicherheit und in Versicherungspolicen zu beachten. Eine höhere Qualität der Sicherheitstechnologie im Unternehmen bedeutet, dass eine weniger umfassende Versicherung notwendig ist.

Wenn das akzeptable Sicherheitsniveau im Unternehmen erreicht wurde, geht es schließlich darum den Level zu halten. Unternehmen sollten dabei weiterhin in Überwachungssysteme investieren und Pläne in der Hinterhand haben, wenn unvorhergesehene Zwischenfälle auftreten. Hierbei geht es um die richtige Auswahl der Versicherungspolice, wo Unternehmen vier Schritte beachten können.

Der erste Schritt ist das Information Security Risk Audit, welches zwischen Unternehmen und Versicherer abgehalten wird. Bei diesem Audit geht es darum die grundlegenden Informationen zu übermitteln und einen monetären Gegenwert festzusetzen. Danach können die bereits vorhandenen Versicherungen und Schutzsysteme analysiert werden. Der Blick kann dabei besonders auf die Thematik Cyber-Risiko und Internet gelegt werden. Der dritte Schritt umfasst die Sammlung und Auswertung der vorhandenen Versicherungsangebote, um herauszufinden welche am besten zum Unternehmen passt. Schließlich kann in einem vierten Schritt die passende Versicherungspolice ausgewählt und abgeschlossen werden.

Zusammenfassung

Die Risiken im Cyber-Bereich sind nach einigen Hackerangriffen, dem Entstehen verschiedener Viren und elektronischen Diebstählen ein wichtiges Thema für die Wirtschaft und die Industrie. Viele digitale Unternehmen haben bereits Schritte unternommen, um die Sicherheit zu steigern. Leider ist es aber nur schwer möglich, einen umfassenden Schutz zu garantieren.

Daher hat sich ein Markt für Cyber-Versicherungen entwickelt und Unternehmen können sich davor schützen hohe finanzielle Einbußen zu haben. Das hier beschriebene generische Framework zeigt mögliche Anwendungsgebiete für Versicherungen für Cyber Risiko-Management und gibt eine Hilfestellung bei der Auswahl einer Versicherung.

Sind Ihre IT-Workloads
Cloud-ready?

Wir analysieren Ihre Infrastruktur.

Kommentar hinzufügen