properties.trackTitle
properties.trackSubtitle
Versicherer, die Cyberpolicen zeichnen, sollten aber nicht nur darauf achten, wie groß das betreffende Unternehmen ist. „In den letzten fünf bis zehn Jahren hat sich viel verändert, was die Beurteilung von Cyberrisiken durch Versicherer angeht“, so Annamaria Landaverde, Cyber Team Lead, Specialty Lines and Strategic Products bei Munich Re in den USA. „Die Versicherer setzen viel mehr Ressourcen ein als früher: Underwriter prüfen zum Beispiel den Policenwortlaut, den Deckungsumfang und die Preisgestaltung, doch darüber hinaus sind bei der Beurteilung von Cyberrisiken mittlerweile auch immer häufiger Experten für die Schadensteuerung beteiligt. Mittels quantitativer Modelle können die Versicherer ein Sicherheits-Rating für das betreffende Unternehmen ermitteln und beurteilen, wie es innerhalb der Branche im Vergleich zu seinen Peers abschneidet.”
Auf was sollten Versicherer achten, wenn sie das Cyberrisiko eines Unternehmens bewerten?
Branche
Compliance
Risikominderung
KMUs sollten darauf achten, ihre Mitarbeiter durch Schulungen für das Thema Cybersicherheit zu sensibilisieren. Denn menschliches Versagen spielt nachweislich immer noch eine entscheidende Rolle für den Erfolg eines Cyberangriffs. Laut Cybint Solutions, einem Unternehmen, das weltweit über Cyberrisiken aufklärt, sind 95 % aller Cybersicherheitsverletzungen auf menschliches Versagen zurückzuführen.2
Für KMUs besonders gefährlich sind Cyberangriffe und Betrugsversuche, die per E-Mail lanciert werden und auf schlecht vorbereitete Mitarbeiter treffen. Laut einer Cyber-Umfrage, die alljährlich im Auftrag von HSB durch das Marktforschungsunternehmen Zogby Analytics unter KMUs durchgeführt wird, steigt die Zahl der verdächtigen E-Mails an kleinere Unternehmen von Jahr zu Jahr. Fast die Hälfte aller Empfänger (47 %) fällt auf Betrugsversuche per E-Mail herein. Schulungen zur Sensibilisierung der Mitarbeiter sind eine effektive Möglichkeit, dieses Risiko zu reduzieren.
Größere Unternehmen – beispielsweise solche, die in großem Umfang Daten verarbeiten oder stark von ihren Zuliefernetzen abhängig sind – brauchen nicht nur Cybersicherheits-Schulungen für ihre Mitarbeiter, sondern auch angemessene Redundanzen, regelmäßig aktualisierte Betriebssysteme sowie ein etabliertes Cyberrisikomanagement. Viele große Unternehmen, insbesondere in regulierten Branchen, verlangen von ihren Lieferanten und Partnerunternehmen die gleichen – oder sogar noch weitreichendere – Cybersicherheits-Vorkehrungen wie sie im eigenen Unternehmen vorhanden sind.
Cyberbedrohungen verändern sich
Bei der Beurteilung von Cyberrisiken in einem Unternehmen sollten Versicherer unabhängig von der abzuschließenden Deckung vor allem eines bedenken: Cyberbedrohungen können sich rasant verändern. „Die hohe Dynamik, mit der sich Technologien und Cyberbedrohungen weiterentwickeln, ist wahrscheinlich die größte Herausforderung, wenn es um die Versicherung von Cyberrisiken geht,” so Annamaria. „Underwriter stützen sich bei der Beurteilung von Risiken in der Regel auf Ereignisse und Szenarien, die bereits eingetreten sind. In einem Worst-Case-Szenario dürfte ein Cyberereignis tatsächlich aber ganz anders aussehen als erwartet.“
Cyberversicherungen decken Ereignisse, die häufig durch einen böswillig handelnden Menschen – und nicht durch die traditionellen Gefahren der Sachversicherung wie Feuer, Wind, Wasser – verursacht werden. Das macht die Einschätzung der Bedrohungslandschaft so schwierig. Technologischer Fortschritt sowie Veränderungen der regulatorischen Rahmenbedingungen und des menschlichen Verhaltens spielen eine wesentliche Rolle. Beispielsweise boten die Veränderungen infolge der COVID-19-Pandemie – z. B. andere Arbeitsgewohnheiten, neu aufgelegte staatliche Programme und berechtigte Sorgen von Verbrauchern und Unternehmen – Cyberkriminellen eine willkommene Chance für neue Angriffe und Betrugsaktivitäten, die sie rasch zu nutzen wussten.
Wer als Versicherer in den Cybermarkt eintritt, sollte das nicht blindlings tun. Munich Re bietet hier wertvolle Orientierung und Unterstützung. Annamaria erläutert: „Was vielen Versicherern Sorgen macht, ist die Kumulproblematik bei großflächigen Cyberangriffen, etwa im Zusammenhang mit Ransomware-Attacken. Munich Re berät die Kunden zu Modellierungstools auf Vendor-Basis und beurteilt Kundenportfolios, um zu ermitteln, wie ein Kumulszenario im speziellen Fall aussehen würde.
Darüber hinaus kann Munich Re die „Silent Cyber“-Exponierung eines Versicherers beurteilen und abfedern, indem wir Experten bereitstellen, die den Kunden bei der Entwicklung von Cyber-Policenwordings unterstützen. „Wir sind auf verschiedene Wording-Themen spezialisiert, u. a. – um nur einige Beispiele zu nennen – Krieg, Cyberkrieg, Infrastrukturausfall und Rückwirkungsschäden“, so Annamaria.
Im digitalen Zeitalter bleibt der Schutz gegen Cyberbedrohungen für Unternehmen auch künftig ein Muss. Munich Re bietet nicht nur Cyberprodukte an, sondern ermöglicht es auch den Versicherungskunden, sich als Wettbewerber am Markt zu beteiligen.
1https://www.alliedmarketresearch.com/cyber-insurance-market