Cyberangriffe schwächen auch Cyberversicherer

740px 535px

Rund die Hälfte aller deutschen Unternehmen wurde vergangenes Jahr Ziel von Cyberattacken, wie eine Umfrage aus 2022 ergab. Das wirkt sich auch auf Versicherer aus: Der Gesamtverband der Versicherer (GDV) zeigt, dass Cyberversicherer zunehmend in die Verlustzone rutschen, was die Analyse von Guidewire untermauert.

Einige Versicherer mussten sich daher bereits aus dem Cyber-Versicherungsmarkt zurückziehen. Um sich davor zu schützen, benötigen Versicherer geeignete IT-Lösungen, mit denen sie Cybersecurity-Risiken adäquat modellieren können. Gleichzeitig bedarf es auf Unternehmensseite einer ausgeprägten Cybersecurity-Expertise im Senior Management und in den Vorständen, um eine wirksame Cybersecurity-Strategie zu entwickeln.

Häufig gelangen Angreifer über gefälschte E-Mails und Websites an Identifikations- und Bankdaten. Dieser „Phishing“ genannte Vorgang betrifft Versicherungsunternehmen gleich in doppelter Weise: Zum einen als potenzielle Opfer von Cyberattacken – 2022 gab es in Deutschland 17,7 Million Cybercrime-Opfer – und zum anderen als Branche, die die finanziellen und betrieblichen Schäden dieser Angriffe absichert.

Zeichnet sich eine gefährliche Entwicklung ab

Insgesamt zählten die Cyberversicherer laut GDV 2021 knapp 3.700 Schäden durch Hackerangriffe auf die deutsche Wirtschaft und leisteten rund 137 Millionen Euro, fast dreimal so viel wie 2020. Hier zeichnet sich nach Einschätzung von Guidewire eine gefährliche Entwicklung ab: Während die Cyberangriffe immer ausgefeilter würden und häufiger vorkämen, verlaufe die Weiterentwicklung der IT-Sicherheit in Unternehmen schleppend. In vielen Unternehmen, vor allem im Mittelstand, seien so gefährliche Sicherheitslücken vorhanden.

Vorstände würden oftmals die Qualität ihrer Sicherheitssysteme überschätzen. Cyberrisiko- und Sicherheitsfragen würden daher oft nur die Prüfungs- und Risikounterausschüsse der Vorstände bearbeiten.

In der Folge müsse der Vorstand das Security-Fachwissen aus externen Quellen beziehen, meist durch regelmäßige Berichte der „Chief Information Security Officer“ (CISO). Doch es gebe auch Positivbeispiele: Führende Kredit-, Finanz- und Versicherungsunternehmen würden ihre Vorstände gezielt weiterbilden, beriefen Cybersecurity-Fachwissen in ihre Reihen und bedienten sich moderner Analysemodelle und Softwarelösungen, um Cyberrisiken möglichst realitätsnah zu bewerten und immer genauere Cyberrisikoprognosen in ihre Analysen mit einzubeziehen. Neben statischen und historischen Daten würden sie auch Verhaltensdaten verarbeiten, wodurch die Risikobewertung deutlich besser werde.

Wichtig, ob und wie Unternehmensdaten gesichert sind

Auch Kreditgeber würden wissen, dass Cyberangriffe meist dann ihre schädliche Wirkung entfalten, wenn das attackierte Unternehmen in einem grundlegenden, spezifischen Bereich der Cybersicherheit versagt habe: Denn für den Großteil der finanziellen Verluste seien - temporäre - Betriebsausfälle und die daraus folgenden Wiederherstellungskosten verantwortlich. Deshalb würden Kreditagenturen bei der Bewertung des Kreditrisikos besonders darauf achten, ob und wie Unternehmensdaten gesichert seien, und wie Reaktionsszenarien aussähen. Unternehmen mit einer durchdachten Cybersicherheitsplanung würden sich folgende Fragen stellen und sich mit ihrer Beantwortung einen großen Kreditvorteil verschaffen:

  1. Kann der Vorstand seine treuhänderische Pflicht erfüllen?
  2. Kann der Vorstand Cyberrisiken angemessen verstehen und berücksichtigen?
  3. Entspricht der aktuelle Sicherheitszustand dem, was sich Vorstandsmitglieder für Ihr Unternehmen wünschen?

 

Vorstands- und Aufsichtsratsmitglieder müssen sich gezielt weiterbilden

Um diesen Weg erfolgreich zu gehen, die richtigen Fragen zu stellen und die Antworten in eine wirksame Cybersecurity-Strategie einzubinden, bedürfe es der nötigen Sicherheitsexpertise in Vorständen. Denn je technologieabhängiger Unternehmen würden, desto mehr Cyberattacken drohten und umso stärker müssten sich Vorstands- und Aufsichtsratsmitglieder gezielt weiterbilden.

Für Versicherer bedeute das zudem, Cyberrisiken besser zu modellieren und mithilfe ausgereifter IT-Lösungen genauer zu prognostizieren. Dies sichere den Geschäftsbetrieb und stifte Vertrauen bei Stakeholdern wie Aktionären. Cyberversicherungen könnten zwar die finanziellen Folgen eines erfolgreichen Angriffs abmildern, doch die Unternehmen seien in der Pflicht, Prävention zu betreiben und ihre IT-Systeme optimal abzusichern.

Quelle: Guidewire

Autor(en): versicherungsmagazin.de

Alle Branche News