Höhere Kosten, weniger Nutzen?: 7 Gründe gegen eine Cyber-Versicherung

Foto: Antonio Guillem – shutterstock.com

Angesichts der alarmierenden Zunahme von Cyberangriffen auf der ganzen Welt ist die Cyberversicherung zu einer immer beliebteren Schutzmaßnahme für Unternehmen in allen Branchen geworden. Trotz ihrer eindeutigen Attraktivität als Mittel zur Unterstützung und Ergänzung des Cyber-Risikomanagements ist die Versicherung jedoch nicht für alle Unternehmen und unter allen Umständen die richtige Lösung. In der Tat gibt es gute Gründe, warum manche Unternehmen den Abschluss oder die Erneuerung einer Police vermeiden, verzögern oder zumindest ernsthaft überdenken sollten: Steigende Kosten, strengere Anforderungen, Deckungsbeschränkungen und die allgemeine Komplexität der Verträge sind nur einige davon.

“Manchmal, wenn Branchenthemen wirklich durchstarten und viel Aufmerksamkeit erregen, kann es passieren, dass viel über sie gesprochen wird, ohne dass sie allgemein verstanden werden; das ist auch bei der Cyberversicherung der Fall”, sagt Manoj Bhatt, Leiter der Abteilung Cybersicherheit und Netzwerke bei Telstra Purple. “Während die Bedrohungsvektoren zunehmen und sich weiterentwickeln, sind auch die Cyberversicherungsangebote einem starken Wandel unterworfen. Sowohl aus geschäftlicher als auch aus sicherheitstechnischer Sicht ist es daher wichtig, sich die Zeit zu nehmen, um den Wert einer bestimmten Cyberversicherungspolice für Ihr Unternehmen genau abzuwägen und zu prüfen, wie schnell der Versicherungsschutz veraltern kann.”

Jetzt kostenlos für den CSO-Newsletter anmelden

Hier sind 7 Gründe, warum Sie eine Investition in eine Cyberversicherung möglicherweise vermeiden oder hinauszögern sollten:

Die Wiederherstellung kann billiger sein als Versicherungsprämien

Mick Reynolds, Director of Intelligence bei SecAlliance, erklärt gegenüber CSO, dass Unternehmen bei der Erwägung einer Versicherungspolice von vornherein die Kosten und den Nutzen für das Unternehmen berücksichtigen sollten. “Was die Kosten angeht, so hat die jüngste Flut von Ransomware-Angriffen weltweit zu einem massiven Anstieg der Prämien für Unternehmen geführt, die eine Absicherung gegen solche Ereignisse wünschen. In einigen Fällen sind die Prämien für die Erneuerung der Versicherung von etwa 120.000 Dollar auf über 1,8 Millionen Dollar gestiegen”, berichtet er. Solche massiven Prämienerhöhungen ohne erkennbare Erhöhung des Versicherungsschutzes würden inzwischen von den Risikoausschüssen der Vorstände im Hinblick auf den Gesamtwert, den sie bieten, in Frage gestellt – mit dem Resultat, dass einige lieber die Gefährdung durch größere Cyber-Ereignisse wie Ransomware in Kauf nehmen als die Kosten für die entsprechende Police.

Was den Nutzen für das Unternehmen beträfe, so würde die Versicherung in erster Linie abgeschlossen, um Verluste zu decken, die während eines größeren Sicherheitsvorfalls entstünden. In 99 Prozent der Fälle sind diese Verluste Reynolds zufolge quantifizierbar und beziehen sich in erster Linie auf Reaktions- und Wiederherstellungskosten: “In Anbetracht der Tatsache, dass ein hoher Prozentsatz der Cyber-Ereignisse zu geringeren Kosten behoben werden kann als die derzeit hohen Prämien für Cyber-Versicherungen, ist es verständlich, dass Unternehmen nun den Wert solcher Investitionen in Frage stellen. Ransomware-Angriffe kommen zwar immer noch häufig vor, aber die Fähigkeit der Unternehmen, ein solches Ereignis relativ unbeschadet zu überstehen, wird durch operative Schutzmaßnahmen verbessert.”

Dieser zunehmende Reifegrad der Cybersicherheit bedeute, dass eine Absicherung nur noch notwendig ist, um das Risiko indirekter Kosten wie Bußgelder, Verlust der Marktposition und Kundenentschädigungen zu decken, fügt Reynolds hinzu. Diese indirekten Kosten könnten sich zwar massiv auf die Liquidität eines Unternehmens auswirken, wenn sie nicht durch eine Cyberversicherung abgedeckt sind. Angesichts der geringen Wahrscheinlichkeit, dass sie auftreten, sind sie eher als Wildcard-Ereignisse zu betrachten. Und diese würden nicht unbedingt hohe Prämien rechtfertigen, erklärt der Security-Spezialist: “In einer Zeit, in der Unternehmen gezwungen sind, ihre Budgets zu kürzen, ist es schwer, so hohe Versicherungskosten für vermeintlich seltene Ereignisse zu rechtfertigen.”

Es gibt auch Fälle, in denen die Selbstbeteiligung in der Police die Kosten für die Geltendmachung des Anspruchs übersteigt und es daher einfacher sein kann, die Folgen eines Angriffs ohne die Versicherung abzuwickeln, fügt Manoj Bhatt, Leiter Cybersicherheit und Netzwerke bei Telstra Purple hinzu.

Lesetipp: Lohnt sich eine Cyber-Versicherung?

Ransomware-Deckung wird zurückgefahren

Ransomware-Angriffe sind eine der größten Cyber-Bedrohungen für Unternehmen, da sie weit verbreitet sind, immer raffinierter werden und weitreichende Schäden verursachen können. Die gestiegenen Risiken durch Ransomware haben die Cyber-Versicherung noch attraktiver gemacht. Die meisten Versicherer decken jedoch nicht mehr alle potenziellen Verluste durch diese Art der Schadsoftware ab, sagt Jon Miller, Mitbegründer von Halcyon. Das bedeutet, dass eine Investition in eine Cyberversicherung speziell für den Schutz vor Ransomware ein teurer Fehler sein könnte.

“Da es bei einem Ransomware-Angriff so viele Variablen gibt, ist es für die Versicherungsanbieter schwierig, das tatsächliche Risiko von Ransomware zu quantifizieren, um die Prämien genau festzulegen”, so Miller. Von den meisten Cyber-Versicherungspolicen, die eine Ransomware-Deckung anbieten, werde die Erstattung einer Lösegeldzahlung nicht mehr abgedeckt. Der Grund: Die Lösegeldsummen können zu stark variieren, so dass es zu schwierig ist, sie versicherungsmathematisch zu definieren. “Oftmals stellt ein Unternehmen, das von einem Ransomware-Angriff betroffen ist, erst später fest, dass die Police nur einen Bruchteil der Kosten für die Behebung und Wiederherstellung abdeckt”, berichtet Miller.

Lesetipp: Cloud-Ausfälle versichern

Außschluss von (vermeintlich) staatlichen Angriffen

Ausschlüsse von Cyberangriffen mit staatlichem Hintergrund trüben ebenfalls die Sicht auf Cyber-Versicherungen und könnten dazu führen, dass Unternehmen die Tragfähigkeit von Policen in Frage stellen. Im vergangenen Jahr kündigte der Versicherungsmarktplatz Lloyd’s of London an, dass Cyber-Versicherungen ab 2023 die Deckung für “katastrophale” staatlich unterstützte Angriffe ausschließen werden. In einem am 16. August 2022 veröffentlichten Market Bulletin erklärte Lloyd’s, dass es zwar weiterhin den Abschluss von Cyberangriffsversicherungen nachdrücklich befürwortet, aber anerkennt, dass “cyberbezogene Geschäfte weiterhin ein sich entwickelndes Risiko darstellen”. Daher werde das Unternehmen von allen seinen Versicherungsgruppen verlangen, dass sie eine geeignete Klausel anwenden, die die Haftung für Verluste aus staatlich unterstützten Cyberangriffen ausschließt.

“Eine der Herausforderungen für Unternehmen besteht darin, festzustellen, ob ein Angriff von einem Nationalstaat verübt wurde”, sagt Jonathan Armstrong, Anwalt und Partner bei der Compliance-Firma Cordery. “Mit Hilfe von Spezialisten kann man zwar oft sagen, dass es Anzeichen für eine Beteiligung eines Nationalstaates gibt, aber wir wissen, dass es schwer ist, das zu beweisen. Diese Schwierigkeiten sind es, die wahrscheinlich zu Rechtsstreitigkeiten führen werden, da die Versicherer vielleicht glauben, dass ein Staat involviert ist, während der Versicherte dies nicht glaubt”.

Lisa Forte von Cybersicherheits-Beratungsunternehmen Red Goat, nahm die Entscheidung von LIoyd’s of London in einem Blogbeitrag genauer unter die Lupe. Forte wies darauf hin, dass die Versicherer einseitig entscheiden können, was Angriffe von Nationalstaaten sind und was nicht. “In den zahlreichen Analysen zu dieser Entscheidung wurde behauptet, dass der Angriff nicht unbedingt eine offizielle Zuordnung erfordert, um von der Versicherungsdeckung ausgeschlossen zu werden”, schreibt die Expertin. “Der Versicherer könnte also behaupten, dass der Angriff ausgeschlossen ist, weil es ‘Sinn mache’, ihn einem Nationalstaat zuzuschreiben.”

Lesetipp: Online-Erpressung weiter wachsendes Problem

Es gibt auch andere Arten von Versicherungen

Einige Unternehmen möchten möglicherweise keine Cyber-Versicherung abschließen, weil sie bereits von anderen Methoden profitieren, die sie in Bezug auf Cyber-Risiken schützen, sagt Philip D. Harris, Research Director, Risk, Advisory, Management und Privacy bei IDC. “Einige große Organisationen und sogar einige kleinere Kommunalverwaltungen sind in der Lage, aus einem bereits bestehenden Pool von Mitteln zu schöpfen, die für diese Art von Ereignissen zurückgelegt wurden”, erklärt er gegenüber CSO. “Große Organisationen, die über große Mengen an Bargeld verfügen, können diese Mittel für den Fall von Großereignissen zurücklegen, mit denen die Organisation konfrontiert ist. Ebenso können kleinere Kommunalverwaltungen, die sich eine Cyber-Versicherung nicht leisten können, ein Konsortium kleinerer Kommunalverwaltungen bilden, die jeweils einen Pool von Geldern zur Verfügung stellen, die im Falle größerer Cyber-Ereignisse verwendet werden.”

Lesetipp: Versicherungsdaten helfen Hackern bei Erpressung

Schlechte Überprüfung Ihres Unternehmens

Harris warnt Unternehmen auch davor, Geld in eine Cyber-Versicherungspolice zu investieren, wenn ihre Investitionsentscheidung allein auf dem Ausfüllen des Fragebogens eines Cyber-Versicherers zur Ermittlung ihrer Sicherheitslage beruht. “Cyber-Versicherer, die von ihren Kunden verlangen, ihren Fragebogen zur Cybersicherheit auszufüllen, erhalten letztlich nur einen begrenzten, punktuellen Einblick in die Sicherheitslage des Versicherten”, sagt der Research Director. “Unternehmen, die keinen professionellen Anbieter von Cybersicherheitsdienstleistungen mit einer detaillierten Bewertung beauftragt haben, um sich ein vollständiges Bild von den Mängeln, Plänen zur Abhilfe und einem fortlaufenden Plan zur Verbesserung zu machen, erweisen sich selbst einen schlechten Dienst, wenn sie sich auf einen etwas verallgemeinerten Sicherheitsfragebogen verlassen.”

Harris ist der Meinung, dass die Versicherer sich auf die Versicherung beschränken sollten und die Bewertung der Cybersicherheitslage des Versicherten qualifizierten Anbietern von Cybersicherheitsdienstleistungen überlassen sollten. “Mit einer detaillierten Bewertung ausgestattet, kann der Versicherer den Kunden ernsthaft prüfen und möglicherweise bessere Prämien anbieten, die Sinn machen.”

Lesetipp: Was 2023 in Sachen Cyberversicherung bringt

Sie können die Anforderungen der Police nicht erfüllen

Damit eine Cyber-Versicherungspolice in Kraft tritt und gültig ist, muss ein Unternehmen eine umfassende Bilanz seines Sicherheitsprogramms vorlegen, erklärt Halcyon-Mitbegründer Miller. “Hält das Unternehmen die Vorschriften nicht ein, wenn es an der Zeit ist, einen Schaden einzureichen – zum Beispiel, wenn es Patches nicht rechtzeitig installiert oder Sicherheitsanwendungen falsch konfiguriert hat – wird es schnell feststellen, dass der Schaden nicht durch die Versicherung gedeckt wird.” Pete Bowers, COO von NormCyber, stimmt dem zu: “Unternehmen müssen ein umfassendes Programm einführen, das Menschen, Prozesse und technologische Kontrollen umfasst, um ihre gesamte Cyberabwehr zu stärken. Solange dies nicht der Fall ist, ist eine Cyberversicherung als einziger Mechanismus zur Übertragung und Minderung des Risikos nicht die richtige Wahl.”

Lesetipp: 2,5 Millionen Euro Garantie gegen Ransomware

Das Geld ist besser in anderen Sicherheitsmaßnahmen investiert

Ein letzter entscheidender Grund, nicht in eine Cyberversicherung zu investieren, ist die Tatsache, dass das Geld besser für die Verbesserung der allgemeinen Sicherheitslage und der Cyber-Resilienz eines Unternehmens eingesetzt werden könnte. “Eine Nulldeckung mag entmutigend sein, aber der Wegfall des vermeintlichen Sicherheitsnetzes, das die Versicherung bietet, kann genau das sein, was Unternehmen brauchen – ein Weckruf, um ihr Geschäft sicherer zu machen”, schreibt Sean Moran, Forscher und Autor bei Jumpsec, in einem Blogbeitrag. “Nicht das Abhaken von Compliance-Kästchen, um die Versicherer zufrieden zu stellen, macht Ihr Unternehmen widerstandsfähiger gegen Angriffe, auch nicht das Verlassen auf jährliche Mindeststandardtests, sondern nur die Implementierung von Kontrollen.”

Unternehmen, die sich gegen eine Cyber-Versicherung entscheiden, sollten in ihre ganzheitlichen Cyber-Verteidigungsfähigkeiten investieren, um sicherzustellen, dass die potenziellen Auswirkungen eines Verstoßes minimiert werden können, fügt Moran hinzu. Dazu gehören das Testen von Backups, ein effektives Identitäts- und Zugriffsmanagement sowie eine Netzwerksegmentierung, ein gut ausgearbeiteter Wiederherstellungsplan, die Einschätzung, welche Unternehmenskomponenten am ehesten von einem Angreifer angegriffen werden können, sowie gezielte Präventions-, Erkennungs- und Reaktionskontrollen. (ms)

Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation CSO Online.