Mit Cyber-Versicherung ein komplexes Risiko in Schach halten
Inhalt
Einblicke aus dem echten Leben
In letzter Zeit sind wir bei der Baerkraft immer wieder erstaunt, wie oft auch unsere Kunden in die Fallen von Cyberkriminellen gehen.
Als besonders notorischer Fall stellt sich der sogenannte “Business Email Compromise” (BEC) dar. Dabei werden Online-Rechnungen von Dritten auf dem Weg zum Kunden gehackt und abgeändert, sodass außer der IBAN alles in der Rechnung und der E-Mail identisch bleibt. Während des Zahlungsvorgangs fällt das dem Rechnungsempfänger dann nicht weiter auf, und es gibt auch keine Fehlermeldung von der Bank. Bis der tatsächliche Rechnungssteller irgendwann eine Mahnung schickt. Zu diesem Zeitpunkt sind die Diebe jedoch längst mit der Beute verschwunden.
Außerdem beobachten wir zunehmend Fälle, in denen es Hackern gelingt, in die Unternehmens-IT einzudringen und diese lahmzulegen. Besonders kritisch sind dabei Angriffe auf zentrale IT-Systeme, deren Freigabe dann durch Lösegeldforderungen – vorzüglich in Bitcoin – erpresst wird.
Auch durch diese Art Angriff haben wir in letzter Zeit regelmäßig bedeutende Schäden bei Kunden mitverfolgen müssen.
Dabei nimmt nicht nur die Frequenz, sondern auch Schadenshöhe zu.
Laut einer aktuellen Studie vom HDI lagen die durchschnittlichen Kosten pro Cyber-Schaden im Jahr 2024 bereits bei fast 99.000 Euro, Tendenz zum Vorjahr: ein Anstieg von 47%!
Vor allem für kleinere Unternehmen können solche Beträge existenzbedrohlich sein, und deshalb ist dies eigentlich ein klarer Fall für die Vorbeuge mittels Versicherung. Allerdings gestaltet sich das Thema der Versicherbarkeit von Cyber-Risiken für die Versicherer zunehmend als Herausforderung.
Im heutigen Artikel wollen wir einige Hintergründe für diese zunehmend kritische Situation erläutern und zeigen, wie sich die Versicherer dazu am Markt neu positionieren.
Die komplexen Risiken der Cyber-Welt
Schäden aufgrund von Cyberangriffen haben sich in den letzten Jahren nicht nur vervielfacht, sondern der unternehmerische Kontext dazu auch erheblich an Komplexität gewonnen.
Viele Unternehmen tun sich zunehmend schwer, den Überblick über die Sicherheit ihrer eigenen IT-Systeme zu behalten. Denn die IT der Unternehmen wächst stetig, und die Digitalisierung zugunsten Prozess- und Kostenoptimierung macht im Grunde vor keinem Unternehmensbereich halt.Mit zunehmender Digitalisierung hängen auch immer mehr überlebenswichtige Prozesse – von der Finanzplanung, der Produktionssteuerung, über das Reporting bis hin zur Personalverwaltung – von den IT-Systemen des Unternehmens ab.Daraus entstehen neue Angriffsflächen für Cyberkriminalität. Insbesondere an den Schnittstellen zwischen heterogenen Teilsystemen lauert Gefahr, denn jedes Software-Update bedarf im Grunde einer minutiösen Überprüfung auf mögliche neue Schwachstellen in ein- und ausgehenden Schnittstellen (APIs). Und diese Überwachung ist bei vielen verschiedenen Software-Produkten, die in einem Unternehmen normalerweise zusammenspielen, eine enorme Herausforderung für die überlasteten Systemadministratoren.
Zusätzlich besonders risikobehaftet ist dabei die spezielle Schnittstelle zwischen Mensch und IT.Denn in so gut wie jedem Unternehmen stehen Mitarbeiter an einer oder mehreren Stellen direkt mit den IT-Systemen interaktiv in Kontakt. Das Problem dabei: Menschliches Verhalten ist nicht immer kalkulierbar. Angewohnheiten, mangelndes Wissen oder einfach nur Neugierde können schnell zu gefährlichen Schwachstellen werden.Alleine durch Phishing- oder Spam-Mails wurden laut HDI-Studie 27% aller Unternehmen in 2023 angegriffen.
Und auch bei unseren Kunden beruht ein großer Teil der Cyber-Schäden auf menschlichem Fehlverhalten. Mitarbeiter klicken auf Phishing-Mails, laden mangels Kenntnis Schadsoftware herunter oder nutzen unsichere Technik oder Netzwerke.
Dieses komplexe und dynamische Umfeld macht es den Versicherern nicht leicht, ihren “Risikoappetit” im Bereich Cyber-Versicherung aufrechtzuerhalten, trotz rapide zunehmendem Potential und Bereitschaft der Kunden zum Abschluss von Versicherungen dieser Risiken.
Cyber-Versicherungen als Teil einer umfassenden Sicherheitsstrategie
Wir beobachten in diesem Zusammenhang, dass “Cyber-Versicherung” bei einigen Versicherern nicht mehr einfach als “Police” verstanden wird.
Zwar bieten immer noch viele Versicherer noch den “klassischen” Ansatz: Prozessoptimierung (ironischerweise zunehmend über Digitalisierung…) zugunsten niedriger Prämien und weniger Verwaltungsaufwand, und nehmen dafür häufigere und teurere Schäden in Kauf. Aber einige wichtige Versicherer gehen nun in der Cyberversicherung völlig neue Wege. Insbesondere schließen sie umfangreiche Präventionsberatungen, Mitarbeiter-Schulungen sowie systematische “Due-Diligence”-Evaluierungen der IT des Versicherungsnehmers in ihre Leistung ein. Das geht bisweilen soweit, dass die eigentliche Police nur noch eine Randnotiz ist.
Das gesamte Paket an Services, bestehend aus Risikoanalysen, Mitarbeiter-Schulungen und ausführlicher IT-Beratung, ist natürlich in erster Linie Selbstschutz der Versicherer. Dadurch sollen Schadenquoten minimiert und dadurch das eigene Geschäftsmodell optimiert werden. Denn grundsätzlich gilt: Die im Rahmen von Schadensregulierung geleisteten Summen müssen aus Sicht des Versicherers immer sehr deutlich unter der Summe der erhaltenen Versicherungsprämien bleiben.
Gegenüber dem Kunden werden diese Zusatzleistungen zur Vorbeuge und Optimierung des Risikos dann vom Versicherer als wichtigstes Herausstellungsmerkmal der Versicherung beworben. Und das ist natürlich ja auch gar nicht falsch, denn die Zusatzleistungen kommen auch dem Kunden zugute.Eigentlich sogar noch besser: Anders als in vielen anderen Beratungs-Szenarien haben die Berater hier ein dringendes Interesse daran, dass das Ziel der Beratung maximal wirkt. Also technisch gesehen eine echte Win-Win-Situation. Außer beim Preis, denn die Prämien von solcherart “turbinierten” Policen sind dann auch höher als bei einer „reinen“, „klassischen“ Police.
Wir halten diesen neuen Ansatz jedenfalls für gut und richtig. Denn neben der Optimierung von Risiken und Kosten, können sich Unternehmen durch diese zusätzlichen Dienste deutlich besser und professioneller schützen, sowie schneller und kompetenter reagieren, wenn es dann doch einmal zu einem Angriff kommt.
Die Baerkraft-Lösung: Schneller zu maßgeschneiderten Angeboten
Wir möchten Ihnen den Prozess zur Auswahl des passenden Versicherers und Leistungspakets gleich am Anfang so agil und angenehm wie möglich machen, ohne an Vollständigkeit zu verlieren.
Dafür haben wir eine Online-Lösung entwickelt, die den Prozess der Ausschreibung des Cyber-Risikos für Ihr Unternehmen deutlich vereinfacht.Unser Online-Fragebogen zur Cyber-Versicherung ist dabei das wichtigste Werkzeug. Denn er ist nicht nur einfach zu bedienen, sondern gleichzeitig genau auf die Bedürfnisse von Ihrem Unternehmen zugeschnitten.
Was diesen Fragebogen besonders macht, ist die dahinterliegende komplexe konditionale Logik. Durch sie wird immer nur das abgefragt, was für das individuelle Risiko Ihres Unternehmens relevant ist, während gleichzeitig alle risikorelevanten Fragen der wichtigsten Versicherer am Markt abgedeckt sind – unabhängig davon, ob es sich um eine kleine Firma oder eine komplexe Unternehmensstruktur handelt.
Dadurch können Sie unseren Fragebogen maximal schnell und unkompliziert ausfüllen.
Und dank dieser Flexibilität können wir den Fragebogen dann sehr breit am Markt ausschreiben und Ihnen eine maximale Vielfalt an individuellen Angeboten zukommen lassen.
Und sollten für die Beantwortung bestimmter Fragen zusätzliche interne Recherchen notwendig werden, so können Sie den Fragebogen jederzeit online speichern und mittels eines Links per Email später fertig ausfüllen.
Als Interessent für eine Cyber-Versicherung können Sie unseren Fragebogen natürlich völlig unverbindlich nutzen.Erst wenn Sie sich am Ende für eines der von uns erhaltenen Angebote entscheiden, entstehen Kosten – aber nur in Form derselben Versicherungsprämie, die Sie sowieso zahlen würden, wenn Sie den Vertrag direkt beim Versicherer abschließen würden. Denn als freier Makler werden wir durch eine Provision von demjenigen Versicherer vergütet, der Ihren Zuschlag bekommt. Ohne zusätzliche versteckte Kosten oder Gebühren für Sie.
Fazit
Unternehmerische Cybersicherheit ist so ein bisschen wie Schachspielen geworden: Hacker lauern auf operative Fehler, um zuzuschlagen. Und wie im Schach haben Sie es dabei selbst in der Hand, den entscheidenden Zug zu machen. Die Frage ist nicht, ob Sie angegriffen werden, sondern wie gut Sie vorbereitet sind.
Wir möchten Ihnen Werkzeuge bieten, um nicht nur auf Angriffe zu reagieren, sondern sie von Anfang an abzuwehren. Nutzen Sie die Chance – bevor Ihr Unternehmen Schachmatt ist.