In den letzten Jahren ist der Anteil der Unternehmen, die sich gegen Cyberrisiken versichern, rasant gewachsen. Laut Allied Market Research generierte der globale Cyberversicherungsmarkt 2018 ein Beitragsvolumen von 4.852,19 Millionen US-Dollar. Bis 2026¹ soll das Beitragsaufkommen auf 28.602,10 Millionen US-Dollar steigen (Abb. 1). Diese Entwicklung ist zum Teil auf ein erhöhtes Bewusstsein für Cyberrisiken zurückzuführen. Das Thema ist brandaktuell, Medienberichte über Cyberangriffe finden enorme Beachtung. Auch das regulatorische Umfeld verändert sich: große wie kleinere Unternehmen werden dazu verpflichtet, ein Mindestmaß an Vorkehrungen für Cybersicherheit zu treffen. Zudem arbeiten immer mehr Mitarbeiter von zu Hause aus und nutzen dabei zum Teil Privatgeräte, was das Cyberrisiko – unabhängig von der Größe des Unternehmens – tendenziell erhöht. 

Bisher schließen kleine und mittlere Unternehmen (KMU) weniger häufig eine Cyberversicherung ab als große Unternehmen (Abb. 3). Aber auch bei den KMU wächst das Bewusstsein für die Notwendigkeit, Vorkehrungen zu treffen, um die Cybersicherheit zu erhöhen. Zudem werden größere Unternehmen, die Teil einer Lieferkette oder eines ausgedehnten Produktionsnetzes sind, inzwischen immer häufiger vertraglich verpflichtet, eine Cyberversicherung abzuschließen.

Versicherer, die Cyberpolicen zeichnen, sollten aber nicht nur darauf achten, wie groß das betreffende Unternehmen ist. „In den letzten fünf bis zehn Jahren hat sich viel verändert, was die Beurteilung von Cyberrisiken durch Versicherer angeht“, so Annamaria Landaverde, Cyber Team Lead, Specialty Lines and Strategic Products bei Munich Re in den USA. „Die Versicherer setzen viel mehr Ressourcen ein als früher: Underwriter prüfen zum Beispiel den Policenwortlaut, den Deckungsumfang und die Preisgestaltung, doch darüber hinaus sind bei der Beurteilung von Cyberrisiken mittlerweile auch immer häufiger Experten für die Schadensteuerung beteiligt. Mittels quantitativer Modelle können die Versicherer ein Sicherheits-Rating für das betreffende Unternehmen ermitteln und beurteilen, wie es innerhalb der Branche im Vergleich zu seinen Peers abschneidet.”

Auf was sollten Versicherer achten, wenn sie das Cyberrisiko eines Unternehmens bewerten?

Eine gängige Fehleinschätzung lautet: je größer das Unternehmen, desto höher das Cyberrisiko. Das trifft nicht unbedingt zu. Unternehmen, die als „hoch gefährdet“ anzusehen sind, haben bestimmte Gemeinsamkeiten, die eher mit der Art des Unternehmens als mit dessen Größe zu tun haben. Im Allgemeinen handelt es sich um Unternehmen in Branchen mit hohem Regulierungsgrad, z. B. Finanzinstitute, Gesundheitsunternehmen, Branchen, bei denen in großem Umfang personenbezogene Daten und Finanzdaten erhoben werden, wie z. B. im Einzelhandel, oder um produzierende Unternehmen, die im täglichen Betrieb stark von ihrem Lieferkettennetz abhängig sind.

KMUs haben in der Regel nur bedingt die Möglichkeit, Einfluss auf Vertragswortlaute zu nehmen oder Lieferanten und Partnerunternehmen dazu zu verpflichten, eine Cyberversicherung abzuschließen. Sie können aber sicherstellen, dass sie selbst und die Partner, mit denen sie zusammenarbeiten, die für die jeweilige Branche geltenden Bestimmungen einhalten. Hierzu zählen beispielsweise Maßnahmen zur Erhöhung der Cybersicherheit durch zusätzliche Vorkehrungen wie Verschlüsselung und Multifaktor-Authentifizierung.

KMUs sollten darauf achten, ihre Mitarbeiter durch Schulungen für das Thema Cybersicherheit zu sensibilisieren. Denn menschliches Versagen spielt nachweislich immer noch eine entscheidende Rolle für den Erfolg eines Cyberangriffs. Laut Cybint Solutions, einem Unternehmen, das weltweit über Cyberrisiken aufklärt, sind 95 % aller Cybersicherheitsverletzungen auf menschliches Versagen zurückzuführen.²

Für KMUs besonders gefährlich sind Cyberangriffe und Betrugsversuche, die per E-Mail lanciert werden und auf schlecht vorbereitete Mitarbeiter treffen. Laut einer Cyber-Umfrage, die alljährlich im Auftrag von HSB durch das Marktforschungsunternehmen Zogby Analytics unter KMUs durchgeführt wird, steigt die Zahl der verdächtigen E-Mails an kleinere Unternehmen von Jahr zu Jahr. Fast die Hälfte aller Empfänger (47 %) fällt auf Betrugsversuche per E-Mail herein. Schulungen zur Sensibilisierung der Mitarbeiter sind eine effektive Möglichkeit, dieses Risiko zu reduzieren.

Größere Unternehmen – beispielsweise solche, die in großem Umfang Daten verarbeiten oder stark von ihren Zuliefernetzen abhängig sind – brauchen nicht nur Cybersicherheits-Schulungen für ihre Mitarbeiter, sondern auch angemessene Redundanzen, regelmäßig aktualisierte Betriebssysteme sowie ein etabliertes Cyberrisikomanagement. Viele große Unternehmen, insbesondere in regulierten Branchen, verlangen von ihren Lieferanten und Partnerunternehmen die gleichen – oder sogar noch weitreichendere – Cybersicherheits-Vorkehrungen wie sie im eigenen Unternehmen vorhanden sind.

Bei der Beurteilung von Cyberrisiken in einem Unternehmen sollten Versicherer unabhängig von der abzuschließenden Deckung vor allem eines bedenken: Cyberbedrohungen können sich rasant verändern. „Die hohe Dynamik, mit der sich Technologien und Cyberbedrohungen weiterentwickeln, ist wahrscheinlich die größte Herausforderung, wenn es um die Versicherung von Cyberrisiken geht,” so Annamaria. „Underwriter stützen sich bei der Beurteilung von Risiken in der Regel auf Ereignisse und Szenarien, die bereits eingetreten sind. In einem Worst-Case-Szenario dürfte ein Cyberereignis tatsächlich aber ganz anders aussehen als erwartet.“

Cyberversicherungen decken Ereignisse, die häufig durch einen böswillig handelnden Menschen – und nicht durch die traditionellen Gefahren der Sachversicherung wie Feuer, Wind, Wasser – verursacht werden. Das macht die Einschätzung der Bedrohungslandschaft so schwierig. Technologischer Fortschritt sowie Veränderungen der regulatorischen Rahmenbedingungen und des menschlichen Verhaltens spielen eine wesentliche Rolle. Beispielsweise boten die Veränderungen infolge der COVID-19-Pandemie – z. B. andere Arbeitsgewohnheiten, neu aufgelegte staatliche Programme und berechtigte Sorgen von Verbrauchern und Unternehmen – Cyberkriminellen eine willkommene Chance für neue Angriffe und Betrugsaktivitäten, die sie rasch zu nutzen wussten.

Wer als Versicherer in den Cybermarkt eintritt, sollte das nicht blindlings tun. Munich Re bietet hier wertvolle Orientierung und Unterstützung. Annamaria erläutert: „Was vielen Versicherern Sorgen macht, ist die Kumulproblematik bei großflächigen Cyberangriffen, etwa im Zusammenhang mit Ransomware-Attacken. Munich Re berät die Kunden zu Modellierungstools auf Vendor-Basis und beurteilt Kundenportfolios, um zu ermitteln, wie ein Kumulszenario im speziellen Fall aussehen würde.

Darüber hinaus kann Munich Re die „Silent Cyber“-Exponierung eines Versicherers beurteilen und abfedern, indem wir Experten bereitstellen, die den Kunden bei der Entwicklung von Cyber-Policenwordings unterstützen. „Wir sind auf verschiedene Wording-Themen spezialisiert, u. a. – um nur einige Beispiele zu nennen – Krieg, Cyberkrieg, Infrastrukturausfall und Rückwirkungsschäden“, so Annamaria.

Im digitalen Zeitalter bleibt der Schutz gegen Cyberbedrohungen für Unternehmen auch künftig ein Muss. Munich Re bietet nicht nur Cyberprodukte an, sondern ermöglicht es auch den Versicherungskunden, sich als Wettbewerber am Markt zu beteiligen.

 

¹https://www.alliedmarketresearch.com/cyber-insurance-market

²https://www.cybintsolutions.com/cyber-security-facts-stats