Nicht ausreichend: Cyberversicherungen

Cyberschutz proaktiv vorantreiben


FM Global

Laut einer in Auftrag gegebenen Umfrage des Industriesachversicherers FM Global erwarten Entscheider, dass ihr Versicherer den größten Teil oder gar den gesamten Schaden bei einem Cyberangriff abdecken wird. Doch das ist ein fataler Irrtum! Stattdessen verhindert diese Einstellung, dass parallel zum Versicherungsschutz die notwendige Prävention veranlasst wird. FM Global unterstützt bei der Bewertung der Risiken und hilft bei der Entscheidungsfindung. Mittlerweile wurden auch die Arbeiten im eigenen Cyber Lab aufgenommen.

68 Prozent der Industrieunternehmen gaben an, innerhalb der vergangenen zwei Jahre von Datendiebstahl, Industriespionage oder Sabotage betroffen gewesen zu sein – so der Digitalverband Bitkom in einem Bericht von 2018. Erfolgt ein Angriff, unterscheidet sich der Schaden der einzelnen Unternehmen nur noch im Ausmaß. Für diese Fälle leisten Cyberversicherungen einen wichtigen Beitrag zur Absicherung von Risiken. Doch was deckt die Versicherung eigentlich ab? Und noch wichtiger: Was deckt sie nicht ab? Die Antworten sind beunruhigend, wie eine Befragung von FM Global zeigt: Demnach erwarten Entscheider, dass ihre Versicherer eine breite Palette von Verlusten abdecken, die aus Cyberangriffen resultieren. Für diese Erhebung hat der Industriesachversicherer 105 CFOs und andere Finanzleiter in Unternehmen mit einem weltweiten Umsatz von einer Milliarde US-Dollar zum Umgang mit Cyberlösungen befragt.

Cyberumfrage: beunruhigende Ergebnisse

Sieben von zehn Befragten glauben, dass ihr Versicherer den größten Teil oder gar den gesamten Schaden bei einem Cyberangriff abdecken wird. Doch die meisten der zu erwartenden Auswirkungen sind in der Regel nicht versichert. Dazu zählen:

  • Schädigung der Marke/Reputation des Unternehmens (46 Prozent gaben dies als eine wahrscheinliche Folge eines Cybersicherheitsereignisses an)
  • Stärkere Kontrollen durch Investoren (40 Prozent)
  • Umsatzrückgang (38 Prozent)
  • Durch das Ereignis entstandene Compliance-Probleme (35 Prozent)
  • Verlust von Marktanteilen (24 Prozent)
  • Schwächung des Aktienkurses (24 Prozent)

Ferner gab die Hälfte der Befragten an, dass es Monate bis Jahre dauern würde, sich in finanzieller Hinsicht von einem schweren Angriff zu erholen. Um nicht in diese Situation zu geraten, ist es also wichtig, die eigene Exponierung gegenüber Cyberrisiken zu verstehen.

Da das Cyberrisiko-Profil für jedes Unternehmen individuell definiert ist, gibt es keine starre Einordnung für niedriges, mittleres oder hohes Risiko. Auch im Hinblick auf die Versicherungssumme im Cyberumfeld gibt es, wie bei traditionellen Gefahren, eine Differenzierung des Risikos, die auf individueller Analyse beruht. Bei FM Global werden auch zur Bewertung für Cyberrisiken die Prinzipien der Schadenverhütung genutzt und der ingenieur- und forschungsbasierte Ansatz kommt zum Tragen. Das Cyber Risk Assessment Tool des Industriesachversicherers identifiziert Schwachstellen in der Informationssicherheit, während die von den Field Engineers durchgeführten Vor-Ort-Besuche die physische Sicherheit sowie industrielle Kontrollsysteme und Gebäudeautomationssysteme umfassen.

Diese Informationen sind notwendig, um das potenzielle Cyberrisiko der Kunden zu verstehen und es im Hinblick auf angemessenes Risikomanagement zu bewerten. Zudem sollen die Informationen den Kunden bei der Entscheidung unterstützen, welche Maßnahmen zu ergreifen sind.

Cyber Lab: Erforschung der virtuellen Gefahr

Die Basis für Bewertungen und Empfehlungen bilden die Forschungen und Ergebnisse aus dem FM Global Cyber Lab. Hier haben Mitarbeiter den Auftrag, in der simulierten Welt Chaos anzurichten, damit die Kunden in der realen Welt besser geschützt werden. Echte Cyber-Verlustszenarien werden nachgestellt, um festzustellen, welche Sicherheitsmaßnahmen diese Verluste hätten reduzieren oder gar verhindern können. In ihrem ersten Test haben die Forscher ein WannaCry-Experiment umgesetzt. Bei diesem gut kontrollierten Experiment wurde eine echte Malware in einer simulierten Firma, die ebenfalls mit einem simulierten Internet verbunden war, freigesetzt. Die Mitarbeiter konnten in Echtzeit beobachten, wie sich die Malware durch das System arbeitete und ausbreitete. In der Folge wurden Schwachstellen in den Sicherheitssystemen aufgedeckt und vor allem Lösungen angeboten, wie Unternehmen eine solche Infektion in der realen Welt verhindern können.

Diese Ergebnisse zeigen, dass eine Versicherung nicht alle Schäden abdeckt, die durch einen Cyberangriff verursacht werden. Deshalb sollten Unternehmen proaktive Schritte in Betracht ziehen, um Cyberbedrohungen und ihre eigenen Schwachstellen zu verstehen und vorbeugende Maßnahmen zu ergreifen. Um die Resilienz des Unternehmens zu stärken, ist es ferner zu empfehlen, sich von externen Fachexperten beraten zu lassen.

[ Bildquelle: Adobe Stock ]
Risk Academy

Die Intensiv-Seminare der RiskAcademy® konzentrieren sich auf Methoden und Instrumente für evolutionäre und revolutionäre Wege im Risikomanagement.

Seminare ansehen
Newsletter

Der Newsletter RiskNEWS informiert über Entwicklungen im Risikomanagement, aktuelle Buchveröffentlichungen sowie Kongresse und Veranstaltungen.

jetzt anmelden
Lösungsanbieter

Sie suchen eine Softwarelösung oder einen Dienstleister rund um die Themen Risikomanagement, GRC, IKS oder ISMS?

Partner finden
zum Seitenanfang