swissaxis

Projekte und Tools für: Risk-Management, IKS, Business Continuity, Compliance
    Management, Cyber Security

Riskmanagement & IKS News

Cyber-Versicherungen: Lösung oder Schein?

Der Markt für Cyberversicherung boomt. Wähnen Sie sich durch das Auslagern von Cyber-Risiken nicht in falscher Sicherheit!

«Industrieunternehmen wollen zunehmend Versicherungsschutz gegen Cyberangriffe kaufen. Die Bafin [die deutsche Aufsichtsbehörde für Versicherer] warnt Versicherer davor, die Policen zu billig anzubieten.»

Cyberversicherungen können dazu beitragen, Unternehmen vor den finanziellen Auswirkungen von Cyberangriffen zu schützen. Sie können jedoch nicht alle Risiken vermeiden, die mit der Nutzung von IT-Systemen verbunden sind.

 

Grenzen von Cyberversicherungen zur Risikovermeidung sind:

  1. Kein Schutz vor allen Cyberangriffen:

    Cyberversicherungen bieten in der Regel Schutz gegen bestimmte Arten von Cyberangriffen, wie z.B. Phishing, Malware und Ransomware. Es ist jedoch unwahrscheinlich, dass sie alle Arten von Angriffen abdecken, insbesondere wenn es sich um neuere und ausgeklügelte Angriffe handelt.

  2. Kein Ersatz für IT-Sicherheitsmassnahmen:

    Eine Cyberversicherung ersetzt nicht die Notwendigkeit, robuste IT-Sicherheitsmassnahmen zu implementieren. Unternehmen müssen weiterhin in die Sicherung ihrer Netzwerke, Daten und Systeme investieren, um das Risiko von Cyberangriffen zu minimieren.

  3. Kein Schutz vor internen Bedrohungen:

    Cyberversicherungen bieten in der Regel keinen Schutz gegen interne Bedrohungen, wie z.B. Mitarbeiter, die absichtlich oder unabsichtlich sensible Daten preisgeben oder stehlen.

  4. Kein Schutz vor Reputationsschäden:

    Auch wenn eine Cyberversicherung finanzielle Verluste abdeckt, kann sie nicht den Ruf des Unternehmens schützen, der durch einen Cyberangriff beschädigt werden kann.

  5. Kein Schutz vor rechtlichen Konsequenzen:

    Cyberversicherungen können finanzielle Schäden abdecken, aber sie können nicht vor rechtlichen Konsequenzen schützen, die aus einem Cyberangriff resultieren können, wie z.B. Schadensersatzforderungen von Kunden oder Vertragsstrafen.

 

Insgesamt können Cyberversicherungen ein wichtiger Bestandteil der Cybersecurity-Strategie eines Unternehmens sein, aber nur als Ergänzung eines ganzheitlichen Risikomanagements. Das Abschliessen einer Cyberpolice sollten nicht als einzige Schutzmassnahme betrachtet werden; es ist eine Ergänzung im Sinne des Restrisikomanagements.

 

Unternehmen sollten weiterhin in IT-Sicherheitsmassnahmen investieren und sicherstellen, dass sie über eine umfassende Incident-Response-Strategie verfügen, um schnell auf Angriffe zu reagieren.

Fazit: Einerseits bestehen Unsicherheiten bei der Deckung von Risiken und den Risikomodellen der Versicherer für Cyberrisiken.

Andererseits werden die Risiken mit einer Versicherung nicht vermieden, sondern höchstens der Schaden vermindert. Und auch nur bis zu einer begrenzenten Summe, die kaum je die operativen Schäden und die Reputationsschäden etc. abdecken kann.

Im schlimmsten Fall führt es zu einem falschen Sicherheitsgefühl und damit zu einem verminderten Elan, aktiv mit den Risiken umzugehen durch

  • abwälzen -> z.B.: Outsourcing
  • begrenzen -> z.B.: fragmentierte Architektur der Systeme
  • vermeiden -> z.B.: Schwachstellen erkennen, organisatorische und technische Massnahmen treffen, Umsetzung und Ergebnisse
  • überwachen -> z.B. Überwachungs-Tools einsetzen, Warnmeldungen, Login-Daten monitoren, Systemaktualisierungen

 

Schliesslich sollten Risikoidentifikation und -bewertung sowie deren Behandlung und Überwachung systematisch, verlässlich und nachweisbar erfolgen. Deshalb braucht auch das Management von IT-Risiken ein veritables RMS – Risk Management System.
image_pdfAls PDF speichern

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert