Startseite > Security > Cyberversicherungen als Rettungsanker für Unternehmen

FTAPI: Plädoyer für Pflichtversicherung

Cyberversicherungen als Rettungsanker für Unternehmen

12. September 2024, 11:40 Uhr | Jörg Schröper

Die Bedrohung durch Cyberangriffe hat in den vergangenen Jahren exponentiell zugenommen. Ransomware, Phishing und gezielte Angriffe auf Unternehmensnetzwerke stellen eine stetig wachsende Gefahr dar.

Dennoch ergreifen viele Unternehmen laut einer Stellungnahme von FTAPI offenbar nicht die notwendigen Maßnahmen, um ihre IT-Infrastruktur effektiv abzusichern. Diese Passivität führe nicht nur zu immensen wirtschaftlichen Schäden, sondern bringt auch den Versicherungsmarkt ins Wanken. Versicherer ziehen sich zunehmend aus dem Cyberversicherungssegment zurück, da Schadenszahlungen die Prämieneinnahmen übersteigen – eine fatale Entwicklung für Unternehmen und den Markt.

Mit dem Rückzug von Branchenriesen wie AXA Deutschland aus dem Cyberversicherungsmarkt zeige sich, so FTAPI, dass die Risiken im digitalen Raum selbst für Versicherungskonzerne zu groß werden. Cyberversicherungen, die einst als Garant für finanzielle Absicherung galten, stellen mittlerweile ein unkalkulierbares Risiko für die Versicherer dar. Wenn selbst Versicherer, deren Kerngeschäft die Risikobewältigung ist, den Markt verlassen, sei dies ein klares Signal: grundlegende Veränderungen sind nötig.

Hinzu kommt, dass viele Unternehmen erst dann eine Cyberversicherung abschließen, wenn sie bereits Opfer eines Angriffs geworden sind. Zu diesem Zeitpunkt sind jedoch bereits erhebliche Schäden entstanden. Ein präventiver Ansatz durch verpflichtende Versicherungen kann diesen Teufelskreis durchbrechen und sowohl die Unternehmen als auch die Versicherer schützen.

Im Bereich der Naturkatastrophen sind Elementarversicherungen längst ein gängiges Mittel, um Unternehmen und Privatpersonen vor existenzbedrohenden Schäden zu schützen. Warum sollte es also im Bereich der Cyberrisiken anders sein? Eine verpflichtende Cyberversicherung könnte nicht nur die finanzielle Stabilität der Unternehmen sichern, sondern auch systematisch höhere IT-Sicherheitsstandards fördern, so FTAPI. Der Staat müsse dabei eine zentrale Rolle übernehmen, indem er – wie bei Elementarschäden – die Rückversicherung der Versicherer gewährleistet und klare Richtlinien als Voraussetzung für den erfolgreichen Abschluss einer Cyberversicherung etabliert.

Um sich für eine Cyberversicherung zu qualifizieren, müssten Unternehmen bestimmte Sicherheitsanforderungen erfüllen. Einige denkbare Maßnahmen, die Unternehmen regelmäßig umsetzen müssen, um den Sicherheitsanforderungen zu entsprechen, listet der Speicherspezialist auf.

1. Regelmäßige Sicherheitsaudits
Vorgeschriebene regelmäßige, externe Sicherheitsaudits führen zu mehr Sicherheit. Dabei überwachen unabhängige Prüfer die Einhaltung der IT-Sicherheitsrichtlinien. Solche Audits stellen sicher, dass Unternehmen kontinuierlich auf dem aktuellen Stand der Technik bleiben und neuen Bedrohungen proaktiv begegnen.

2. Compliance mit etablierten Sicherheitsstandards
Versicherer könnten verlangen, dass Unternehmen nach anerkannten Standards zertifiziert sind, die ihrer Unternehmensgröße oder ihrer Branche entsprechen. Zertifizierungen wie BSI C5 (Cloud Computing Compliance Criteria Catalogue) oder ISO/IEC 27001 stellen sicher, dass ein Unternehmen robuste Maßnahmen im Bereich Informationssicherheitsmanagement umsetzt und aufrechterhält.

3. Regelmäßige Penetrationstests
Unternehmen wären verpflichtet, in regelmäßigen Abständen Penetrationstests (Pentests) durchführen zu lassen. Dadurch werden potenzielle Schwachstellen in ihren IT-Systemen aufgedeckt und behoben. Diese Tests simulieren gezielte Cyberangriffe und decken Sicherheitslücken auf, bevor echte Angreifer dies tun.

4. Implementierung eines Incident-Response-Plans
Unternehmen müssten einen klar definierten Incident-Response-Plan (Notfallplan) vorlegen, der im Falle eines Cyberangriffs aktiviert wird. Dieser Plan umfasst nicht nur technische Reaktionsmaßnahmen, sondern auch Anforderungen an die Zusammenarbeit mit externen Forensik-Teams und Meldestellen.

5. Verschlüsselung sensibler Daten
Eine weitere zentrale Anforderung wäre die Verschlüsselung aller sensiblen Daten sowohl im Ruhezustand als auch während der Übertragung sein. Diese Maßnahme reduziert das Risiko von Datenverlusten erheblich und wäre ein klarer Mehrwert für versicherbare Unternehmen.

Diese Maßnahmen erhöhen nicht nur das allgemeine Sicherheitsniveau eines Unternehmens, sondern auch die Eintrittswahrscheinlichkeit eines erfolgreichen Angriffs drastisch reduzieren – letztlich führt dies zu geringeren Schadensfällen und langfristig stabileren Prämien.

Die Einführung einer verpflichtenden Cyberversicherung für Unternehmen bringt zahlreiche positive Effekte mit sich, so FTAPI weiter. Durch die breitere Beteiligung am Versicherungsmarkt könnte die Risikostreuung erheblich verbessert werden, was langfristig zu nachhaltig niedrigeren Prämien führt. Besonders kleinere Unternehmen, die bislang aufgrund hoher Kosten auf eine Cyberversicherung verzichtet haben, hätte so Zugang zu bezahlbaren Policen.

Darüber hinaus minimieren strengere Sicherheitsanforderungen, wie etwa regelmäßige Sicherheitsüberprüfungen und präventive Maßnahmen, die Erfolgsquote von Cyberangriffen. Mit einem höheren allgemeinen Sicherheitsniveau und weniger erfolgreichen Angriffen sinkt die Zahl der Schadensfälle, was den Versicherungsmarkt weiter stabilisiert.

Langfristig gesehen würde diese Entwicklung zu einer weiteren Reduzierung der Kosten für Versicherungen führen. Weniger Schadensauszahlungen bedeuten stabilere Prämien, was den gesamten Markt für Cyberversicherungen robuster und für Unternehmen attraktiver macht. „Wenn selbst führende Versicherer den Cyberversicherungsmarkt als zu risikoreich bewerten, ist das ein starkes Indiz für den Handlungsbedarf”, sagt Ari Albertini, CEO bei FTAPI. „Eine verpflichtende Cyberversicherung könnte nicht nur zur Stabilisierung des Marktes beitragen, sondern auch dazu führen, dass das Sicherheitsniveau in Deutschland auf ein neues Level gehoben wird.“

Die Einführung einer verpflichtenden Cyberversicherung würde nicht nur den Versicherungsschutz für Unternehmen erweitern, sondern auch einen nachhaltigen Beitrag zur Verbesserung der allgemeinen Cybersicherheit leisten. Durch die Kombination von strengen Auflagen und finanziellen Anreizen könnte ein neues Sicherheitsniveau etabliert werden, das Angreifern das Leben erheblich erschwert. Die Zeit sei reif für einen proaktiven, ganzheitlichen Ansatz, um die Unternehmen der Zukunft gegen die Herausforderungen der digitalen Bedrohungen zu wappnen.