Die Angriffsfläche für Cyber-Kriminelle weitet sich aus: Das Bundeskriminalamt registrierte für 2022 über 136.000 Cyber-Angriffe, schätzt die Dunkelziffer aber weitaus höher. Führungskräfte werden sich dieser – auch persönlichen – Bedrohung immer mehr bewusst: Für sie stellen Cyber-Erpressung, -Attacken und Datenverluste die Top 3-Risiken in der Managerhaftpflicht dar (WTW D&O Survey 2023). In der Tat ist Vorsicht geboten: Vernachlässigen Manager die Pflicht, eine IT-Sicherheitsorganisation zu schaffen, die ihr Unternehmen umfassend gegen virtuelle Eindringlinge schützt, macht sie dies für eventuelle Schäden haftbar.
Um das zu verhindern, stellt die Cyber-Versicherung, meist in Kombination mit der D&O-Versicherung, eine der wichtigsten Schutzbarrieren dar. Das Problem: Seit 2021 ist der Cyber-Versicherungsmarkt verhärtet, die Aussicht auf Entspannung ist gering. Denn Kriminelle haben längst ein neues Ziel ins Auge gefasst: digitale Lieferketten.
Angriffstaktiken werden perfider
Unternehmen sind heute umfassend mit IT-Dienstleistern, Lieferanten, Kunden und anderen Partnern digital vernetzt. Fällt ein Glied dieser Kette aus, kann das für massive Störungen im eigenen Betrieb sorgen. Die Komplexität der Lieferketten macht es außerdem schwer, den Angreifer zurückzuverfolgen. Bei den sogenannten „Digital Supply Chain Attacks“ suchen Hacker-Gruppen nach ungeschützten Server-Infrastrukturen, unsicheren Netzwerkprotokollen und Programmierpraktiken, um in die Systeme einzudringen und dort Schaden anzurichten. Bei einem Angriff über die Unternehmenssoftware zum Beispiel verschaffen sich Cyberkriminelle häufig über Updates Zugang. So können sie schädliche Codes in ein vertrauenswürdiges System übertragen und dadurch Malware über die gesamte Lieferkette verbreiten.
Lücken in der IT Security kosten den Versicherungsschutz
Bereits in der Vergangenheit führten Ransomware-Attacken, Betriebsunterbrechungen und Lösegeldzahlungen zu einem rasanten Prämienanstieg in der Cyber-Versicherung. Auch Kapazitäten waren und sind teilweise heute noch sehr schwer zu beschaffen. Versicherungsnehmer und -geber diskutierten viel darüber, was eine angemessene Prämie sei, und einzelne Anbieter zogen sich sogar aufgrund der zahlreichen Schadenfälle aus dem Markt zurück. Die Restlichen stellten strengere Mindestvorgaben für den Abschluss einer Versicherung auf – die sich jetzt nochmal verschärfen könnten.
Die Versicherer erwarten, dass Unternehmen mehr in technische Schutzvorkehrungen investieren, Angriffsstrategien sowie neu auftretende Schwachstellen im Blick behalten und ihre Infrastruktur an verschärfte gesetzliche Rahmenbedingungen anpassen. Viele Firmen haben hier Nachholbedarf und müssen nicht nur ein Richtlinienmanagement, sondern auch Notfall-, Business-Continuity- und Disaster-Recovery-Pläne aufsetzen.
Auch im Hinblick auf das weiterhin größte Problem – das Bewusstsein der eigenen Mitarbeiter für IT Security – besteht Handlungsbedarf. Viele Unternehmen führen bis heute keine oder zu seltene Mitarbeiter-Schulungen und Phishing-Tests durch, obwohl der Faktor Mensch nach wie vor das Haupteinfallstor für Kriminelle ist. Darüber hinaus fehlen technische Schutzmechanismen, wie zum Beispiel eine Multi-Faktor-Authentifizierung für Fernzugriffe auf das Unternehmensnetzwerk sowie die Kontrolle über die Zugriffsberechtigungen der Mitarbeiter und die betrieblich genutzten Privatgeräte. Aus diesen Versäumnissen ergibt sich, dass Versicherer Cyber-Risiken weiterhin zurückhaltend zeichnen – und wenn, nur zu hohen Preisen und gegebenenfalls mit Deckungseinschränkungen und/oder hohen Auflagen.
Faktor Unternehmensgröße
Die Marktverhärtung trifft allerdings nicht alle Firmen gleichermaßen. Kleine und mittelständische Unternehmen haben bessere Chancen, eine geeignete Absicherungslösung zu finden als Konzerne. Für sie gibt es nicht nur mehr Anbieter, auch der Prämienanstieg liegt noch im überschaubaren Rahmen. Zudem spielen die Kapazitätsengpässe der letzten Jahre hier keine Rolle, denn Mittelständler kommen mit weitaus geringeren Deckungssummen aus.
Konzerne dagegen müssen in Deutschland auf einen engeren Anbieterkreis zurückgreifen und wesentlich höhere Prämien in Kauf nehmen. Oft müssen sie sich die in Deutschland fehlenden Kapazitäten über internationale Märkte sichern. Doch auch das bringt mittlerweile Vorteile mit sich: Über Konsortien finden Großunternehmen nicht nur höhere Kapazitäten, sondern gegebenenfalls auch günstigere Preisbedingungen vor als im deutschen Markt.
Trotz strenger IT-Auflagen und schwierigerer Marktbedingungen haben Unternehmen nach wie vor eine gute Chance, Cyber-Policen abzuschließen – vorausgesetzt, sie investieren in Präventionsmaßnahmen. Eine wesentliche Unterstützung dabei sind digitale Tools und der Zugriff auf umfassende Daten-Pools. Nur so sind Unternehmen imstande, Cyber-Risiken und potenzielle Schäden zu quantifizieren und daraus abzuleiten, welche Höhe und Struktur ihrer Cyber-Versicherung am wirtschaftlichsten ist.
Theordoros Bitis ist Head of Cyber für die Region D-A-CH bei WTW