Cyberversicherungen am Limit
Cyberversicherungen am Limit
30. April 2022 -
Insbesondere Ransomware-Angriffe bereiten nicht nur Unternehmen, sondern auch Versicherungen Kopfzerbrechen. Diese stellen an ihre Kunden zunehmend konkrete Vorgaben bezüglich Cybersecurity. Der Transfer von Cyberrisiken wird zur Herausforderung.
Artikel erschienen in IT Magazine 2022/05
Unternehmen, die ihre Cyberpolice zum Jahreswechsel erneuern wollten, mussten tief in die Tasche greifen. Eine deutliche Erhöhung von Prämien bei gleichzeitiger Verdopplung der Selbstbehalte und Reduzierung der Limiten ist Realität. Viele Versicherer haben ihre Zeichnungspolitik in diesem Jahr schon mehrfach verschärft. Die Schadensituation spitzt sich währenddessen immer dramatischer zu. Meist handelt es sich dabei um Ransomware-Attacken, die zunehmend professioneller werden. Das Geschäftsmodell Ransomware as a Service entwickelt sich stetig weiter: Zum einen verschlüsseln die Angreifenden aktive Systeme und falls möglich Backups. Zum anderen stehlen sie vertrauliche Daten oder schützenswerte Personendaten, um zusätzlich Druck ausüben zu können. Diese als Double-Extortion bekannt gewordene Vorgehensweise entwickelt sich nun nach und nach zu einer Triple-Extortion weiter, welche zusätzlich einen DDoS-Angriff umfasst, um das angegriffene Unternehmen letztlich doch in die Knie zu zwingen und zur Zahlung des Lösegeldes zu bewegen. Die individuelle Lösegeldforderung wird dabei an die finanziellen Möglichkeiten des angegriffenen Unternehmens angepasst, lässt sich erfahrungsgemäss jedoch runterverhandeln.
Als Antwort auf die deutliche Schadenzunahme formulieren Versicherer inzwischen konkrete Vorgaben an die Cybersecurity. Diese müssen Unternehmen zwingend erfüllen, wenn sie eine seriöse Cyberpolice abschliessen wollen. Die wesentlichen Anforderungen an Unternehmen finden sich in untenstehender Box.
Als Antwort auf die deutliche Schadenzunahme formulieren Versicherer inzwischen konkrete Vorgaben an die Cybersecurity. Diese müssen Unternehmen zwingend erfüllen, wenn sie eine seriöse Cyberpolice abschliessen wollen. Die wesentlichen Anforderungen an Unternehmen finden sich in untenstehender Box.
Cybersecurity-Anforderungen für den Versicherungsschutz
Versicherer stellen an ihre Kunden konkrete Vorgaben bezüglich Cybersecurity – unter anderem folgende:
1. Transparenz über alle Assets (vor allem IT-Systeme und verarbeitete Daten)
2. Multi-Faktor-Authentifizierung für jeglichen Fernzugriff (z.B. aus dem Homeoffice) auf IT-Systeme sowie für System- und Domain-Administratoren
3. Starke Passwörter (Länge- und Komplexitätsanforderungen)
4. Mindestens jährliche Sensibilisierung der Mitarbeitenden auf Informationssicherheit und Cyberrisiken, kombiniert mit einem simulierten Phishing-Angriff
5. Strikte Netzwerksegmentierung von Operational Technology und/oder Legacy Systemen, Standorten (geografisch), Organisationseinheiten (z.B. Verwaltung und Produktion) und Netzwerkkomponenten (z.B. Drahtlosnetzwerke)
6. Kontinuierliches und reaktionsfähiges Patchmanagement (Installation kritischer Patches muss innerhalb von 72 Stunden gewährleistet werden)
7. Solide Backup-Strategie zumindest nach der 3-2-1-Regel sowie einem offline oder stand-alone Cloud-Backup (für Ransomware-Vorfälle)
8. Dokumentierter und jährlich geübter Disaster Recovery Plan (inklusive Backup-Recoveries)
9. Für grosse und international ausgerichtete Unternehmen: Einheitliche Cybersecurity-Standards bei allen Tochtergesellschaften
Versicherer stellen an ihre Kunden konkrete Vorgaben bezüglich Cybersecurity – unter anderem folgende:
1. Transparenz über alle Assets (vor allem IT-Systeme und verarbeitete Daten)
2. Multi-Faktor-Authentifizierung für jeglichen Fernzugriff (z.B. aus dem Homeoffice) auf IT-Systeme sowie für System- und Domain-Administratoren
3. Starke Passwörter (Länge- und Komplexitätsanforderungen)
4. Mindestens jährliche Sensibilisierung der Mitarbeitenden auf Informationssicherheit und Cyberrisiken, kombiniert mit einem simulierten Phishing-Angriff
5. Strikte Netzwerksegmentierung von Operational Technology und/oder Legacy Systemen, Standorten (geografisch), Organisationseinheiten (z.B. Verwaltung und Produktion) und Netzwerkkomponenten (z.B. Drahtlosnetzwerke)
6. Kontinuierliches und reaktionsfähiges Patchmanagement (Installation kritischer Patches muss innerhalb von 72 Stunden gewährleistet werden)
7. Solide Backup-Strategie zumindest nach der 3-2-1-Regel sowie einem offline oder stand-alone Cloud-Backup (für Ransomware-Vorfälle)
8. Dokumentierter und jährlich geübter Disaster Recovery Plan (inklusive Backup-Recoveries)
9. Für grosse und international ausgerichtete Unternehmen: Einheitliche Cybersecurity-Standards bei allen Tochtergesellschaften
Leistungskürzungen bei Ransomware
Eine weitere Entwicklung beim Transfer von Cyberrisiken ist, dass viele Versicherer den Deckungsumfang insbesondere im Bereich «Schäden durch oder im Zusammenhang mit Ransomware», massiv einschränken. Dies lässt sich auf die hohe Frequenz von Ransomware-Vorfällen zurückführen. Über 90 Prozent der bekannten Schadenfälle stehen erfahrungsgemäss im Zusammenhang mit einer Ransomware. Folglich bieten einige Versicherer überhaupt keine Deckungen für Ransomware an. Andere beschränken ihre Leistungen auf maximal 50 Prozent der Versicherungssumme oder beteiligen den Versicherungsnehmer zusätzlich an solchen Vorfällen. Somit stünde bei 90 Prozent der Schadenfälle gar nicht die eigentliche Versicherungssumme zur Verfügung, sondern lediglich das vereinbarte Sublimit.
Gerade in dieser harten Marktphase sind die Cyberzusatzdienstleistungen eines Versicherungsbrokers und die daraus abgeleiteten Massnahmen besonders wichtig und haben direkten Einfluss auf die Zeichnungsbereitschaft und zum Teil auch die Prämiengestaltung der Versicherer. Sie können auch ein wesentlicher Bestandteil für den Entschädigungserfolg im Schadenfall sein.
Der Informationsbedarf der Versicherer ist inzwischen immens und kann nur durch umfangreiche und aktuelle Risikoinformationen gedeckt werden. Ein gut strukturierter Fragenkatalog von spezialisierten Versicherungsbrokern hilft Unternehmen, die gewünschten Informationen mit angemessenem Aufwand zu beantworten und gleichzeitig einen Überblick über die sicherheitsrelevanten Cybersecurity-Themen zu erhalten. Dadurch kann der Versicherungsbroker eine Schwachstellen- beziehungsweise Gap-Analyse erstellen und die Sinnhaftigkeit zusätzlicher Sicherheitsmassnahmen gemeinsam mit dem Kunden beurteilen.
Gerade in dieser harten Marktphase sind die Cyberzusatzdienstleistungen eines Versicherungsbrokers und die daraus abgeleiteten Massnahmen besonders wichtig und haben direkten Einfluss auf die Zeichnungsbereitschaft und zum Teil auch die Prämiengestaltung der Versicherer. Sie können auch ein wesentlicher Bestandteil für den Entschädigungserfolg im Schadenfall sein.
Der Informationsbedarf der Versicherer ist inzwischen immens und kann nur durch umfangreiche und aktuelle Risikoinformationen gedeckt werden. Ein gut strukturierter Fragenkatalog von spezialisierten Versicherungsbrokern hilft Unternehmen, die gewünschten Informationen mit angemessenem Aufwand zu beantworten und gleichzeitig einen Überblick über die sicherheitsrelevanten Cybersecurity-Themen zu erhalten. Dadurch kann der Versicherungsbroker eine Schwachstellen- beziehungsweise Gap-Analyse erstellen und die Sinnhaftigkeit zusätzlicher Sicherheitsmassnahmen gemeinsam mit dem Kunden beurteilen.