Die Art und Weise wie wir Technologie verwenden ändert sich stetig und die Cloud ist eine dieser Evolutionsstufen. Durch die Cloud-Technologie wurden die Möglichkeiten im letzten Jahrzehnt in diesem Bereich vervielfacht und sie ist es auch, die unsere künftige Arbeitsweise bestimmen wird.
Denn: Die Cloud ermöglicht es jedem Unternehmen, egal welcher Größe und Struktur, unkompliziert und relativ kostengünstig auf Online-Datendienste zuzugreifen. Die sichere Aufbewahrung von Daten und deren ständige Verfügbarkeit, immer und überall ist eine der größten Herausforderungen unserer Zeit und Cloud-Dienstleistungen sind hierfür perfekt geeignet.
Neben Private Clouds, die dadurch gekennzeichnet sind, von einem Unternehmen exklusiv genutzt zu werden, ist es insbesondere der Bereich der Public Cloud, der ein starkes Wachstum vorweist. Allgegenwärtig sind hier Speichermöglichkeiten, Backup-Lösungen, Textbearbeitungsprogramme und die Möglichkeit, über die Cloud digital zu arbeiten. Die drei großen Anbieter, die diesen Markt dominieren und gemeinsam auf einen Anteil von rund 70 Prozent kommen, sind AWS (Amazon Web Services), GCP (Google Cloud Platform) und Microsoft Azure.
Die Idee, von einer Cloud Rechenleistung und Speicherplatz zu mieten, stammt bereits aus dem Jahr 1955 – einer Zeit, als Computer für Unternehmen noch kaum zu finanzieren waren. Erst im letzten Jahrzehnt hat sich die Cloud-Nutzung weltweit an die Spitze der Technologie-Trends gesetzt.
Dies führt dazu, dass heute alle halbe Sekunde ein Service über eine Cloud bereitgestellt wird und Unternehmen zwischen mehr als 1.400 Services wählen können. Was es aber auch bedeutet: Ein Ausfall der Cloud verursacht für das Unternehmen hohe finanzielle Einbußen und immense Mehrkosten.
Die Cloud – kein risikofreier Ort
Gemäß Allianz-Risikobarometer 2022 sehen Unternehmen Cyber-Events und Betriebsunterbrechungen als die beiden größten Risiken von Unternehmen – der Ausfall von Cloud-Providern zählt hierbei zu den meistgenannten Ursachen. Letzten Endes besteht eine Cloud aus physischen Rechenzentren, die durch den Cloud-Anbieter betrieben werden. Die Anbieter wiederum teilen ihre bestehenden Rechenzentren in Regionen und Verfügbarkeitszonen ein. Regionen sind dabei geographische Gebiete, die meist aus mehreren Verfügbarkeitszonen bestehen.
Eine Verfügbarkeitszone ist ein eigenes Rechenzentrum mit eigener Stromversorgung, Kühlung und Netzwerkanschluss. So kann beispielsweise die Region Frankfurt über drei eigenständige Rechenzentren (=Verfügbarkeitszonen) verfügen.
Kurz gesagt: Rechenzentren, auch die in der Cloud, sind nach wie vor physische Orte und dementsprechend können Ereignisse wie ein Brand, eine Überschwemmung, ein Leitungswasserschaden oder auch ein Kurzschluss zu schwerwiegenden Ausfällen führen. Hinzu kommen Risiken bei der Installation von Updates, Netzwerkfehler oder auch Bedienfehler durch Mitarbeiter des Rechenzentrums.
Auch Netzwerksicherheitsverletzungen spielen eine Rolle, denn auch die Cloud ist nicht vollständig vor Hackerangriffen und Co. gefeit. Eine große Rolle bei der Ausfallsicherheit spielt die Vertragsgestaltung. Die Nutzung mehrerer Verfügbarkeitszonen und im Idealfall mehrerer redundanter Regionen reduziert die Ausfallwahrscheinlichkeit enorm. Wird jedoch für einen Service nur eine Region und gegebenenfalls sogar nur eine Verfügbarkeitszone gebucht, so sind mehrere Ausfälle über das Jahr wahrscheinlich.
Betrachtet man die von Cloud-Anbietern ausgegebenen Verfügbarkeitsangaben (die in den Verträgen zu finden sind) ist hierdurch bereits eine normal zu erwartende Ausfallzeit ersichtlich. Im Klartext heißt das: 99,8 Prozent Verfügbarkeit der Cloud bedeuten über das Jahr verteilt bereits mehr als 17 Stunden Ausfallzeit.
Die Absicherung von Restrisiken gehört zum Risikomanagement eines jeden Unternehmens
Eine volle Georedundanz kostet je nach genutzten Services viel Geld. Doch selbst, wenn ein Unternehmen in eine solche technische Lösung investiert, besteht keine 100-prozentige Sicherheit keinen Ausfall zu erleiden. Eine Versicherung kann die Möglichkeit zur finanziellen Absicherung vorhandener Restrisiken bieten. Einzelne Cyber-Versicherer haben in ihren Produkten einen optionalen Versicherungsbaustein für Cloud-Nutzung.
Jedoch wird der Versicherungsschutz oftmals nur für Schäden durch Netzwerksicherheitsverletzungen geboten und häufig eine Wartezeit von zehn bis zwölf Stunden sowie eine Entschädigungsgrenze vereinbart. Das wirkliche Risiko bei Cloud-Ausfällen liegt jedoch zum einen in den immer wieder vorkommenden kürzeren Ausfällen unter zehn Stunden und zum anderen in einem möglichen Großschadenszenario beispielsweise in Form eines Großbrandes im Rechenzentrum. Neue Versicherungslösungen bieten nun insbesondere für die häufiger vorkommenden Ausfallszenarien unter 18 Stunden die Möglichkeit eines Risikotransfers an.
Vorteile einer parametrischen Versicherung
Bei einer Cloud-Störung zählt schnelles Handeln. Innovative Versicherungsanbieter bieten hier Lösungen in Form einer parametrischen Cloud-Ausfallversicherung. Bei einer parametrischen Versicherung wie beispielsweise von Parametrix, ein internationaler Anbieter von Cloud-Ausfallversicherung, wird ein Auslöser (Index) festgelegt, der über den Eintritt des Versicherungsfalls bestimmt. Hierfür wurde ein innovatives Monitoringsystem entwickelt, dass die Cloud-Services verschiedener Anbieter in Echtzeit überwacht.
Wird ein Ausfall registriert, werden die versicherten Kunden unmittelbar informiert und nach Bestätigung, dass das versicherte Unternehmen betroffen war, erfolgt eine zeitnahe Auszahlung der vereinbarten Summe. Diese Versicherungssumme wird vorab bestimmt und berücksichtigt neben dem direkt erlittenen Umsatzausfall auch zusätzliche Kosten, wie den Mehraufwand oder notwendige Marketingmaßnahmen zur Vermeidung von Reputationsverlusten.
Ersatz für klassische Cyber-Versicherung – Nein
Der Unterschied zu „klassischen“ Cyber-Versicherungen: Während diese sich insbesondere auf die IT-Infrastruktur des Versicherungsnehmers fokussiert, steht bei der parametrischen Versicherung die Cloud-Infrastruktur und somit der Cloud-Anbieter im Mittelpunkt. Dies führt dazu, dass keine Fragen zu vorhandenen IT-Sicherheitsvorkehrungen oder Zertifizierungen erfolgen – was die Risikoprüfung verschlankt sowie den Abschluss und die Auszahlung beschleunigt. Die dadurch geringen Wartezeiten und der Allgefahren-Ansatz zur Ursache für die Nicht-Verfügbarkeit des Cloud-Services sind ebenfalls Abgrenzungsmerkmale.
Diese Kombination aus dem Einsatz von Technologie, Auswertung von Daten und Erfahrungen aus der Versicherungswirtschaft ermöglicht es, bislang kaum versicherbare Risiken kalkulierbar zu machen und eine neue, innovative Form des Versicherungsschutzes zu bieten. Ersetzt die Cloud-Ausfallversicherung also zukünftig eine Cyber-Versicherung?
Nein. Vielmehr ergänzen sich beide Lösungen optimal. Hinzuweisen ist in diesen Fällen auf die weiteren Bausteine einer Cyber-Versicherung, die Forensik und den Schutz bei Angriffen auf die eigene Infrastruktur des Versicherungsnehmers. Gleichfalls ist der neuartige Versicherungsschutz für alle Unternehmen empfehlenswert, deren Wertschöpfung in irgendeiner Weise abhängig von Cloud-Services ist.
Der Autor Peter Pillath ist langjähriger Manager in der Versicherungswirtschaft und seit Anfang 2022 bei Parametrix Insurance für den Auf- und Ausbau der Aktivitäten in Deutschland und Europa verantwortlich.