02Nov2017 M

Versicherung als Instrument des Cyber-Risikomanagements

Ergebnisse einer aktuellen Studie des Munich Risk and Insurance Center (MRIC) der Ludwig-Maximilians-Universität München und der Cyber Risk Agency GmbH

Versicherung als Instrument des Cyber-Risikomanagements

[München, 27.10.2017]

Ergebnisse einer aktuellen Studie des Munich Risk and Insurance Center (MRIC)
der Ludwig-Maximilians-Universität München und der Cyber Risk Agency GmbH

In Deutschland ist mittlerweile jedes zweite Unternehmen von Cyber-Angriffen betroffen. Die Studie des Mu­nich Risk and Insurance Centers (MRIC) und der Cyber Risk Agency GmbH zeigt den Handlungsbedarf für kleine und mittlere Unternehmen (KMUs) auf und liefert konkrete Empfehlungen, wie sich diese sich durch effektives Cyber-Risikomanagement vor Cyber-Kriminellen schützen können. Über eine Abwehr von Cyber-Angriffen durch Maßnahmen der IT-Security hinaus, werden der Aufbau digitaler Kompetenz bei Mitarbeitern und die Anbindung eines effektiven Notfallmanagements durch Versicherungslösungen diskutiert.

Analysen der Cyber Risk Agency zeigen, dass insbesondere kleinere Unternehmen meist über nur geringe Si­cherheitsstandards verfügen. Die Studie analysiert den Mehrwert von Cyber-Versicherungen für KMUs und bietet einen Überblick über die Leistungsfähigkeit des aktuellen Angebots im deutschen Cyber-Versicherungs­markt. Im direkten Vergleich konnten 6 der 20 untersuchten Policen sowohl in Bezug auf den angebotenen finanziellen Deckungsumfang als auch bezüglich der bereitgestellten Assistance-Leistungen, wie beispielsweise einer ständig verfügbaren Hotline und einem Notfallteam für den Ernstfall, überzeugen.

Handlungsbedarf

Cyber-Kriminelle verursachen in Deutschland jährlich Schäden in Höhe von ca. 55 Mrd. Euro. Davon entfallen etwa 16 Mrd. Euro auf Ermittlungsaufwände, Wiederherstellung der IT und Betriebsstillstand. Bedingt durch das Aufkommen automatisierter Hacking-Tools hat sich nicht nur die absolute Zahl erfolgreicher Cyber-Attacken erhöht, es sind auch immer häufiger kleine und mittlere Unternehmen von den Angriffen betroffen. Marktanalysen des Digitalverbands Bitkom zeigen, dass jedes zweite befragte Unternehmen in den letzten zwei Jahren Opfer von Datendiebstahl, Industriespionage oder Sabotage geworden ist. Unternehmen mit 100 bis 499 Mitarbeitern sind mit 65 Prozent am stärksten betroffen. Aber auch jedes zweite Unterneh­men mit weniger als 100 Mitarbeitern musste einen Fall von Cyber-Kriminalität verzeichnen.

Betrachtet man die Altersstruktur der Täter, so wird deutlich, dass es sich im Falle von Cyber-Kriminalität ­nicht typischerweise um Jugenddelikte handelt. Gemäß aktueller Zahlen des Bundeskriminalamtes waren 54 Prozent der 20.920 im Jahr 2016 registrierten Tatverdächtigen über 30 Jahre alt und weitere 13 Pro­zent waren 50 Jahre und älter. Dabei reicht das Täterspektrum vom Einzeltäter bis hin zu international organi­sierten Gruppen.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat im vergangenen Jahr 1.000 kritische Schwachstellen in gängiger Standardsoftware identifiziert. Hinzu kommt eine Zunahme an Schwachstellen in mobilen Endgeräten. Für Cyber-Kriminelle stellt jede dieser Lücken ein potentielles Einfallstor dar. Eine abso­lute IT-Sicherheit kann daher in keinem Unternehmen erreicht werden.

Analysen der Cyber Risk Agency zeigen, dass insbesondere kleinere Unternehmen meist über nur geringe Si­cherheitsstandards verfügen. So ist bei 48 Prozent der Unternehmen mit weniger als 100 Mitarbeitern der Reifegrad der Informationssicherheit als „Gering“ zu bewerten. Bei größeren Unternehmen sind es immerhin noch 32 Prozent (vgl. Abbildung 1).

Abbildung 1: Reifegrad der Informationssicherheit nach Unternehmensgröße

 

Maßnahme: „Cyber-Risikomanagement“

Für eine bestmögliche Abwehrstrategie zeigt die Studie Möglichkeiten der Kombination verschiedener Instru­mente des Cyber-Risikomanagements auf; vgl. Abb. 2: Instru­mente des Cyber-Risikomanagements:

Auf Basis der Ergebnisse des Online-Tools CyberRiskRadar (Link: www.CyberRiskAgency.de) wird der aktuelle Reifegrad des Cyber-Risikomanagements in kleinen und mittleren Unternehmen dargestellt und aufgezeigt, wie dieser durch konkrete weiterführende Schritte verbessert werden kann. Neben technischen Abwehrmaßnahmen und professioneller Datensicherung besteht demnach Hand­lungsbedarf vor allem bei personellen Sicherheitsmaßnahmen als auch beim Notfallmanagement der Unter­nehmen.

Ein wesentliches Defizit besteht darin, dass die Unternehmen trotz der eheblichen Anzahl erfolgreicher An­griffe den Ernstfall noch nicht ausreichend vorbereiten, um Angreifern wirksam Paroli bieten zu können.

Trotz des wachsenden Angebots an Cyber-Versicherungslösungen nutzen nur sehr wenige deutsche Unternehmen dieses Instrument. Fast 70 Prozent haben keinen Versicherungsschutz für durch Cyber-Angriffe verursachte Eigenschäden und nur 11 Prozent haben eine Cyber-Versicherung mit entsprechender Cyber-Assistance zur schnellen Unterstützung im Ernstfall. Ein Grund hierfür ist vermutlich die mangelnde Kenntnis vieler Entscheidungsträger über Cyber-Versicherungsprodukte und ihre Möglichkeiten.

In den letzten 6 Jahren wurden in Deutschland Cyber-Versicherungen mit einem geschätzten Gesamtprämien­volumen von etwa 100 Mio. Euro (Quelle: KMPG) gezeichnet. Zum Vergleich – die geschätzten weltweiten Prämien liegen bei ca. 4,1 Mrd. US-Dollar und sind zu beinahe 70 Prozent dem US-Markt zuzuordnen.

Eine Cyber-Versicherung bietet neben der Deckung finanzieller Schäden auch Assistance-Leistungen und stellt damit auch eine Alternative zum Zukauf der erforderlichen Notfall-Expertise dar. Sie bietet damit die Chance auf einen schnellen Wiederanlauf der IT und deckt die Kosten für die Wiederherstellung und sonstige durch einen Cyber-Angriff entstandenen Aufwände sowie Ertragsausfälle während einer Betriebsunterbrechung.

Um einen Beitrag zu mehr Transparenz bezüglich der Leistungsfähigkeit solcher Policen zu leisten, werden die Basiskomponenten einer Cyber-Versicherung in der Studie näher dargestellt. Sowohl der Deckungsumfang für Eigen- und Fremdschäden als auch der Mehrwert von Assistance-Leistungen werden erläutert und alle aktuell angebotenen 20 Cyber-Versicherungslösungen des deutschen Markts werden auf ihre relative Leistungsfähig­keit für den Einsatz in KMUs verglichen.  Im direkten Vergleich konnten 6 von 20 Policen identifiziert werden, die einen relativ hohen Leistungsumfang bieten (vgl. Abbildung 3: Relativer Leistungsumfang der Cyber-Policen im deutschen Markt):

Die Autoren kommen zu dem Schluss, dass die Mehrheit der angebotenen Cyber-Poli­cen die wesentlichen finanziellen Risiken des Versicherungsnehmers abdeckt.

Bei den Standarddeckungskomponenten, wie Betriebsunterbrechungsschäden, Ertragsausfällen und Kosten der System- und Datenwiederherstellung sowie bei Schäden aus Haftpflichtansprüchen von Kunden und Geschäftspartnern und diversen sonstigen Krisenko­sten, z.B. für IT-Forensik, Krisenkommunikation und Rechtsberatung unterscheidet sich das Angebot kaum. Bei 9 Policen wurden je­doch zum Teil sehr umfassende und insbe­sondere für kleine und mittlere Unterneh­men nur schwer erfüllbare Obliegenheiten (= Auflagen der Versicherung) identifiziert. Bei der Komponente der Assistance-Leistungen wurden insbesondere Unterschiede bezüglich der Handlungsfähig­keit der 24/7-Hotline, der verfügbaren Notfallkapazitäten und der Professionalität des Notfall­teams (sog. CERT-Service = Computer Emergency Response Team) identifiziert.

Fazit und Ausblick

Die Studie des Munich Risk and Insurance Centers (MRIC) und der Cyber Risk Agency verdeutlicht den aktuel­len, durch die digitale Transformation steigenden Bedarf, Unternehmen besser vor Cyber-Kriminel­len zu schüt­zen. Oliver Lehmeyer, Geschäftsführer und Gründer der Cyber Risk Agency rät: „Wer die Chancen der Digitali­sierung nutzen möchte, der muss auch die damit einhergehenden Risiken managen. Gehen Sie als Unterneh­men davon aus, dass Sie gehackt werden und bereiten Sie Ihr Unternehmen auf den Ernstfall vor.“ Für Entschei­dungsträger in Unternehmen bedeutet dies konkret, dass verstärkt digitale Kompetenz im Unter­neh­men aufgebaut werden muss, um den mit der Digitalisierung einhergehenden Risiken begegnen zu können. Daneben kann der Abschluss einer Cyber-Versicherung sinnvoll sein, um einerseits den finanziellen Risiken eines Cyber-Angriffs Rechnung zu tragen und mit der in den Policen integrierten Cyber-Assistance ein profes­sionelles Notfallmanagement für das Unternehmen zu etablieren. Insbesondere kleine und mittlere Unter­nehmen haben hier Nachholbedarf, da diese im Vergleich zu großen Unternehmen in der Regel über geringere IT-Sicherheitsstandards verfügen.

Eine Kurzfassung der Studie ist auf der Webseite der Cyber Risk Agency downloadbar: https://www.cyberriskagency.de/aktuelles/studie-cyber-versicherung.html

zurück zu News