Der Markt für Cyber-Security-Versicherungen wächst, weil sich immer mehr Unternehmen gegen Cyber-Risiken absichern wollen. Entsprechende Versicherungsprodukte sind aber neu und viele Versicherer haben Schwierigkeiten, die Risiken zu bewerten. Warum dies so ist, beschreibt Steven Schwartz in seinem Blog-Artikel bei KNect365.
Ein wesentliches Problem der Bewertung von Cyber-Risiken ist, dass das Risiko nicht statisch ist, sondern sich verändert. Damit ist es nicht ausreichend, wie bei klassischen Risiken einmalig den Status Quo zu erheben. Stattdessen muss das Risikopotenzial häufiger neu eingeschätzt werden.
Dies liegt daran, dass sich die Bedrohungslage durch Cyber-Angriffe durch neue Technologien schneller verändert als zum Beispiel bei einer Hausratsversicherung. Analog müssen auch die Cyber-Security-Maßnahmen der Unternehmen angepasst werden.
„There is, however, one fundamental flaw – there is absolutely no standardisation!”
So wundert es nicht, dass es bisher keine standardisierten Cyber-Security-Versicherungen gibt, sondern sich die Produkte der Versicherer stark unterscheiden. Ein weiterer Grund für fehlende Standardisierung ist aus meiner Sicht, dass sich Versicherer derzeit noch in einer „Experimentierphase“ befinden. Ihnen fehlen die nötigen historischen Daten, um das Schadenrisiko in der Zukunft zuverlässig berechnen zu können bzw. sie wissen noch nicht genau, welche Daten in eine Risikobewertung einbezogen werden sollen.
Eine ähnliche Situation findet sich bei IoT-Versicherungen wie Telematik-KfZ-Tarifen oder Smart-Home-Hausratversicherungen, wo es noch keine langfristigen Auswertungen der Auswirkungen der IoT-Technologien auf das Schadenrisiko gibt. Der Autor weist darauf hin, dass in Konsequenz die Bewertung und der Abschluss von Cyber-Versicherungen derzeit noch individuell, ineffektiv und damit teuer ist.
Dabei gibt es durchaus Standards im Bereich Cyber Security, die Versicherer für ihr Assessment nutzen könnten, im Versicherungsbereich zum Beispiel die „Versicherungsaufsichtlichen Anforderungen an die IT“ (VAIT) oder BAIT in der Bankenbranche. Dies könnten aus meiner Sicht den Rahmen für eine Standardisierung von Cyber-Policen sein, wenngleich hier eine stärkere Fokussierung auf organisatorische als auf technische Aspekte gegeben ist.
Der Autor hat natürlich Recht, dass ein standardisiertes Assessment bei Großunternehmen einfacher möglich ist, da diese – unter anderem weil es die Aufsichtsbehörden verlangen – systematischer Risikoprävention betreiben und meist gut ausgebaute und auskunftsfähige (IT-)Sicherheitsabteilungen haben. Kleine und mittlere Unternehmen sind hier üblicherweise weniger strukturiert aufgestellt.
Ich finde die Idee gut, eine Plattform aufzubauen, auf der kontinuierlich Daten von sicherheitsrelevanten Messpunkten gesammelt werden. Damit können Risiken kontinuierlich neu bewertet und das Pricing entsprechend angepasst werden. Auch würde dies ein automatisches Security-Assessment ermöglichen, das für eine präventive Beratung des Versicherungskunden genutzt werden kann.
Originallink aufrufen