Unternehmen, die ihre Cyberpolice zum Jahreswechsel erneuern wollten, mussten tief in die Tasche greifen. Eine deutliche Erhöhung von Prämien bei gleichzeitiger Verdopplung der Selbstbehalte und Reduzierung der Limiten ist Realität. Viele Versicherer haben ihre Zeichnungspolitik in diesem Jahr schon mehrfach verschärft. Die Schadensituation spitzt sich währenddessen immer dramatischer zu. Meist handelt es sich dabei um Ransomware-Attacken, die zunehmend professioneller werden. Das Geschäftsmodell Ransomware as a Service entwickelt sich stetig weiter: Zum einen verschlüsseln die Angreifenden aktive Systeme und falls möglich Backups. Zum anderen stehlen sie vertrauliche Daten oder schützenswerte Personendaten, um zusätzlich Druck ausüben zu können. Diese als Double-Extortion bekannt gewordene Vorgehensweise entwickelt sich nun nach und nach zu einer Triple-Extortion weiter, welche zusätzlich einen DDoS-Angriff umfasst, um das angegriffene Unternehmen letztlich doch in die Knie zu zwingen und zur Zahlung des Lösegeldes zu bewegen. Die individuelle Lösegeldforderung wird dabei an die finanziellen Möglichkeiten des angegriffenen Unternehmens angepasst, lässt sich erfahrungsgemäss jedoch runterverhandeln.
Als Antwort auf die deutliche Schadenzunahme formulieren Versicherer inzwischen konkrete Vorgaben an die Cybersecurity. Diese müssen Unternehmen zwingend erfüllen, wenn sie eine seriöse Cyberpolice abschliessen wollen. Die wesentlichen Anforderungen an Unternehmen finden sich in untenstehender Box.
Cybersecurity-Anforderungen für den Versicherungsschutz
Versicherer stellen an ihre Kunden konkrete Vorgaben bezüglich Cybersecurity – unter anderem folgende:
1. Transparenz über alle Assets (vor allem IT-Systeme und verarbeitete Daten)
2. Multi-Faktor-Authentifizierung für jeglichen Fernzugriff (z.B. aus dem Homeoffice) auf IT-Systeme sowie für System- und Domain-Administratoren
3. Starke Passwörter (Länge- und Komplexitätsanforderungen)
4. Mindestens jährliche Sensibilisierung der Mitarbeitenden auf Informationssicherheit und Cyberrisiken, kombiniert mit einem simulierten Phishing-Angriff
5. Strikte Netzwerksegmentierung von Operational Technology und/oder Legacy Systemen, Standorten (geografisch), Organisationseinheiten (z.B. Verwaltung und Produktion) und Netzwerkkomponenten (z.B. Drahtlosnetzwerke)
6. Kontinuierliches und reaktionsfähiges Patchmanagement (Installation kritischer Patches muss innerhalb von 72 Stunden gewährleistet werden)
7. Solide Backup-Strategie zumindest nach der 3-2-1-Regel sowie einem offline oder stand-alone Cloud-Backup (für Ransomware-Vorfälle)
8. Dokumentierter und jährlich geübter Disaster Recovery Plan (inklusive Backup-Recoveries)
9. Für grosse und international ausgerichtete Unternehmen: Einheitliche Cybersecurity-Standards bei allen Tochtergesellschaften
Leistungskürzungen bei Ransomware
Eine weitere Entwicklung beim Transfer von Cyberrisiken ist, dass viele Versicherer den Deckungsumfang insbesondere im Bereich «Schäden durch oder im Zusammenhang mit Ransomware», massiv einschränken. Dies lässt sich auf die hohe Frequenz von Ransomware-Vorfällen zurückführen. Über 90 Prozent der bekannten Schadenfälle stehen erfahrungsgemäss im Zusammenhang mit einer Ransomware. Folglich bieten einige Versicherer überhaupt keine Deckungen für Ransomware an. Andere beschränken ihre Leistungen auf maximal 50 Prozent der Versicherungssumme oder beteiligen den Versicherungsnehmer zusätzlich an solchen Vorfällen. Somit stünde bei 90 Prozent der Schadenfälle gar nicht die eigentliche Versicherungssumme zur Verfügung, sondern lediglich das vereinbarte Sublimit.
Gerade in dieser harten Marktphase sind die Cyberzusatzdienstleistungen eines Versicherungsbrokers und die daraus abgeleiteten Massnahmen besonders wichtig und haben direkten Einfluss auf die Zeichnungsbereitschaft und zum Teil auch die Prämiengestaltung der Versicherer. Sie können auch ein wesentlicher Bestandteil für den Entschädigungserfolg im Schadenfall sein.
Der Informationsbedarf der Versicherer ist inzwischen immens und kann nur durch umfangreiche und aktuelle Risikoinformationen gedeckt werden. Ein gut strukturierter Fragenkatalog von spezialisierten Versicherungsbrokern hilft Unternehmen, die gewünschten Informationen mit angemessenem Aufwand zu beantworten und gleichzeitig einen Überblick über die sicherheitsrelevanten Cybersecurity-Themen zu erhalten. Dadurch kann der Versicherungsbroker eine Schwachstellen- beziehungsweise Gap-Analyse erstellen und die Sinnhaftigkeit zusätzlicher Sicherheitsmassnahmen gemeinsam mit dem Kunden beurteilen.
Umgang mit Cyberrestrisiken
Dennoch schützen auch hohe Investitionen in die Cybersecurity letztlich nicht zu 100 Prozent vor einem erfolgreichen Angriff. Darum ist es zentral, dass sich ein Unternehmen im Rahmen des Risikomanagements konkret mit dem Cyber-Worst-Case-Szenario auseinandersetzt. Erfahrungen zeigen, dass mit einem Cyber Risk Calculator und dem Cyberrisikodialog in Unternehmen wertvolle Transparenz geschaffen wird. Als Resultat erhalten Unternehmen so wichtige Entscheidungsgrundlagen, ob das unternehmensspezifische finanzielle Risiko selbst getragen werden kann oder ob gegebenenfalls ein Transfer des Risikos in eine Versicherungslösung notwendig wäre. Zudem kann im Krisenfall gegenüber den Aktionären nachvollziehbar dargelegt werden, dass die komplexen Cyberrisiken sorgfältig abgearbeitet wurden. Schliesslich steht bei einem Cybervorfall nicht nur die Reputation des Unternehmens, sondern auch die Reputation der Unternehmensleitung auf dem Spiel.
Das schwächste Glied
«Einer klickt immer» – ist leider mehr als nur ein Running Gag in der Cybersecurity-Branche. Das schwächste Glied in jedem Cyberabwehrdispositiv ist der Mensch. Das einfachste Einfalltor für Cyberkriminelle ist und bleibt die Unwissenheit, Nachlässigkeit oder Neugier des Anwenders. Der durch die Covid-19-Pandemie befeuerte Trend zum Home Office hat neue Schwachstellen in die IT-Systeme der Unternehmen gebracht und erschwert die regelmässige Sensibilisierung der Mitarbeitenden hinsichtlich des ordnungsgemässen Umganges mit Informationen und der modernen Gefahren des Internets.
Eine weitere Zusatzdienstleistung spezialisierter Broker sind virtuelle Trainings- und Sensibilisierungsprogramme. So können Unternehmen ihre Mitarbeitenden nachhaltig und kontinuierlich auf Informationssicherheitsthemen vorbereiten – und das mit minimiertem internem Aufwand. Von grundlegenden Informationen bezüglich Passwortsicherheit bis hin zur koordinierten Phishing-Angriffssimulation mit anschliessender Schulung decken solche Lösungen die ganze Bandbreite ab.
Für Unternehmen stehen standardisierte Trainingseinheiten bereit, deren Administration und Koordination durch den Broker sichergestellt wird. Der Wissensstand der Mitarbeitenden kann dabei getrackt und in Reports aufbereitet werden. Damit lassen sich Stärken und Schwächen der Belegschaft ermitteln und im Folgeschritt gezielt angehen – auch dies mit minimalem Aufwand seitens des Arbeitgebers.
Versicherungen nur noch mit Cybertrainingsnachweis
Die eingangs erwähnten technischen Hürden für eine professionelle Cyberpolice und die Leistungsreduktion bei Ransomware-Attacken haben die Anforderungen an die Cyberfitness von Unternehmen enorm erhöht. Zusätzlich erwarten Versicherer im Minimum jährliche Mitarbeiterschulungen. Es geht also nicht nur um eine sinnvolle und direkte Investition in die Cybersicherheit des Unternehmens, sondern diese Massnahme unterstützt Unternehmen aktiv auf dem Weg zum Abschluss oder der Aufrechterhaltung einer leistungsstarken Versicherungslösung.
Der Autor
Max Keller leitet das Funk RiskLab und ist für die Weiterentwicklung, Ausbildung, Marktforschung und Beratung rund um das Risikomanagement Funk Schweiz und Liechtenstein verantwortlich. Mit dem kürzlich abgeschlossenen MAS Digital Business (Vertiefungsrichtungen: Digital Risk Management und disruptive Technologien) hat er eine solide Grundlage für die Beratung von Unternehmen hinsichtlich digitaler Risiken gelegt.
Max Keller leitet das Funk RiskLab. (Quelle: Funk RiskLab)
