Kostenfaktoren bei Abschluss einer Cyberversicherung
Die IT-Sicherheit rückt immer stärker in den Fokus der Versicherungsbranche. Studien zeigen, dass der Bedarf an Cyberversicherungen weiter zunimmt. Die Schwere und Häufigkeit der durch IT-Angriffe verursachten Schäden haben dabei einen entscheidenden Einfluss auf die Preisentwicklung im Markt. Hohe Tarife bei Neuabschluss oder steigende Kosten bei bestehenden Policen sind künftig kaum auszuschließen.
Doch wonach richten sich die Kosten der Cyberversicherung eigentlich konkret? Bei der Beantwortung dieser Frage spielen vor allem folgende fünf Schlüsselfaktoren eine maßgebliche Rolle:
1. Branche: Es gibt Branchen, die anfälliger für Cyberangriffe sind als andere. Hierzu zählen beispielsweise die öffentliche Verwaltung, der Technologie-Sektor und das Gesundheitswesen. Versicherer ziehen jedoch nicht nur die Häufigkeit geglückter Angriffe in bestimmten Märkten ins Kalkül, sondern auch das potenzielle Ausmaß des Schadens. So liegt die Wahrscheinlichkeit, im Finanzbereich Opfer einer Cyberattacke zu werden, vielleicht niedriger als in anderen Industrien. Dafür sind die mit einem erfolgreichen Übergriff einhergehenden Kosten meist extrem hoch. Für Unternehmen, die einer solchen „Risikogruppe“ angehören, ist der Abschluss einer entsprechenden Police daher meist teurer.
2. Größe: Mit der Anzahl der Mitarbeiter, Systeme und Endgeräte wächst auch die Bedrohungsfläche eines Unternehmens. Je größer und komplexer sich eine Organisation und die ihr zugrundeliegende IT-Infrastruktur gestalten, desto höher ist auch die Wahrscheinlichkeit, Opfer eines Cyberangriffs zu werden. Entsprechend beziehen Versicherer solche Variablen bei ihrer Angebotserstellung mit ein.
3. Geografische Ausrichtung: Die Tatsache, dass ein Unternehmen von verschiedenen Ländern aus operiert oder dessen Mitarbeiter an unterschiedlichen Orten der Welt im Einsatz sind, geht mit deutlich höheren Risiken einher und erfordert in der Regel die Einführung vielfältiger – an den jeweiligen Kontext und die örtlichen Vorschriften angepasster – Sicherheitsmaßnahmen. Gerade im Hinblick auf die Datenschutzbestimmungen gibt es eklatante Unterschiede zwischen einzelnen Staaten. Gleichzeitig gilt es die Zunahme der Fernarbeit zu berücksichtigen, da sich dadurch die Angriffsfläche jenseits des klassischen Unternehmensperimeters vergrößert und insbesondere dem Schutz von VPN-Verbindungen ganz neue Aufmerksamkeit entgegengebracht werden muss. Auch diese Entwicklung schlägt sich auf den Versicherungstarif nieder.
4. Unternehmensumsatz: Die Gesamteinnahmen eines Unternehmens sind nicht selten ausschlaggebend bei der Bestimmung des maximalen Versicherungsschutzes, den ein Versicherer im definierten Eintrittsfall gewährt. Und daran orientiert sich natürlich auch der Preis der Police.
5. Art des Versicherungsfalls: Last but not least gibt es Abstufungen hinsichtlich des konkreten Versicherungsfalls. Policen werden beispielsweise an die Häufigkeit oder Schwere der Bedrohungen und des davon ausgehenden Risikos angepasst. Die Absicherung gegenüber hochentwickelten Cyberangriffen kann dabei um einiges kostspieliger zu Buche schlagen als die Abdeckung von Schäden, die von „gängigeren“ und leichter erkennbaren Bedrohungen ausgelöst werden. Hier sind u.a. das Einschleusen von Ransomware via E-Mail-Phishing oder der Diebstahl der Einwahldaten eines Mitarbeiters gute Beispiele.
Die konkreten Tarife und Bestimmungen hängen also entscheidend von der individuellen Situation des Versicherungsnehmers ab. Um überhaupt in den Genuss eines Versicherungsschutzes kommen zu können, ist ein Mindestmaß an implementierten Sicherheitsmaßnahmen jedoch stets die Pflicht. Dazu gehören u.a. Lösungen zum Schutz von Endgeräten, die über ein herkömmliches Antiviren-Programm hinausgehen, und immer öfter auch eine Multifaktor-Authentifizierung (MFA), die für den Schutz der Konten und Anmeldeinformationen des Unternehmens von entscheidender Bedeutung ist.
Schließlich entstehen zahlreiche Datenschutzverletzungen dadurch, dass Cyberkriminelle Zugang zu Systemen erhalten, weil die Passwörter zu schwach sind und eine zusätzliche Sicherheitsebene fehlt, oder weil es ihnen gelingt, Zugangsdaten zu stehlen.
Auf diesem Thema liegt ein besonderer Fokus der Versicherer, da solche Datenschutzverletzungen Unternehmen (und damit die Versicherungsgesellschaft) häufig am meisten kosten. Es geht nicht nur darum, den durch die Sicherheitslücke resultierenden Schaden an sich zu kompensieren. In manchen Fällen stehen darüber hinaus millionenschwere Bußgelder im Raum, die von Behörden wegen mangelnder Sorgfalt beim Datenschutz verhängt werden. Ein gutes Beispiel dafür sind die 20 Millionen Pfund Strafe, die British Airways aufgrund einer Datenschutzverletzung im Jahr 2020 zahlen musste.
Genau aus diesem Grund legen Versicherer und auch immer mehr Anbieter von Unternehmenssoftware wie Salesforce Wert darauf, dass Firmen, die ihre Dienste in Anspruch nehmen wollen, über einen zuverlässigen und leistungsstarken MFA-Dienst verfügen. Die meisten Cyberversicherungen setzen Multifaktor-Authentifizierung mittlerweile voraus.