Riskmanagement & IKS News
Cyber-Versicherungen: Lösung oder Schein?
«Industrieunternehmen wollen zunehmend Versicherungsschutz gegen Cyberangriffe kaufen. Die Bafin [die deutsche Aufsichtsbehörde für Versicherer] warnt Versicherer davor, die Policen zu billig anzubieten.»
Grenzen von Cyberversicherungen zur Risikovermeidung sind:
- Kein Schutz vor allen Cyberangriffen:
Cyberversicherungen bieten in der Regel Schutz gegen bestimmte Arten von Cyberangriffen, wie z.B. Phishing, Malware und Ransomware. Es ist jedoch unwahrscheinlich, dass sie alle Arten von Angriffen abdecken, insbesondere wenn es sich um neuere und ausgeklügelte Angriffe handelt. - Kein Ersatz für IT-Sicherheitsmassnahmen:
Eine Cyberversicherung ersetzt nicht die Notwendigkeit, robuste IT-Sicherheitsmassnahmen zu implementieren. Unternehmen müssen weiterhin in die Sicherung ihrer Netzwerke, Daten und Systeme investieren, um das Risiko von Cyberangriffen zu minimieren.
- Kein Schutz vor internen Bedrohungen:
Cyberversicherungen bieten in der Regel keinen Schutz gegen interne Bedrohungen, wie z.B. Mitarbeiter, die absichtlich oder unabsichtlich sensible Daten preisgeben oder stehlen.
- Kein Schutz vor Reputationsschäden:
Auch wenn eine Cyberversicherung finanzielle Verluste abdeckt, kann sie nicht den Ruf des Unternehmens schützen, der durch einen Cyberangriff beschädigt werden kann. - Kein Schutz vor rechtlichen Konsequenzen:
Cyberversicherungen können finanzielle Schäden abdecken, aber sie können nicht vor rechtlichen Konsequenzen schützen, die aus einem Cyberangriff resultieren können, wie z.B. Schadensersatzforderungen von Kunden oder Vertragsstrafen.
Unternehmen sollten weiterhin in IT-Sicherheitsmassnahmen investieren und sicherstellen, dass sie über eine umfassende Incident-Response-Strategie verfügen, um schnell auf Angriffe zu reagieren.
Fazit: Einerseits bestehen Unsicherheiten bei der Deckung von Risiken und den Risikomodellen der Versicherer für Cyberrisiken.
Andererseits werden die Risiken mit einer Versicherung nicht vermieden, sondern höchstens der Schaden vermindert. Und auch nur bis zu einer begrenzenten Summe, die kaum je die operativen Schäden und die Reputationsschäden etc. abdecken kann.
Im schlimmsten Fall führt es zu einem falschen Sicherheitsgefühl und damit zu einem verminderten Elan, aktiv mit den Risiken umzugehen durch
- abwälzen -> z.B.: Outsourcing
- begrenzen -> z.B.: fragmentierte Architektur der Systeme
- vermeiden -> z.B.: Schwachstellen erkennen, organisatorische und technische Massnahmen treffen, Umsetzung und Ergebnisse
- überwachen -> z.B. Überwachungs-Tools einsetzen, Warnmeldungen, Login-Daten monitoren, Systemaktualisierungen
Quellen:«Cyberversicherungen: hohe Nachfrage – und hohe Risiken?» Bafin, 7.2.2024
«Bafin warnt vor zu billigen Cyberversicherungen» Tagesspiegel Background, 22.2.2024
«Finanzmarktaufsicht erhöht Druck auf deutsche Versicherer» Handelszeitung, 22.2.2024