Sollte ein Unternehmen Geld für eine Cyber-Security-Versicherung zahlen, in eigene IT-Sicherheit investieren oder sich das Geld sparen und den Verlust von Daten bewusst in Kauf nehmen? Entscheidend für die Beantwortung dieser Frage ist, wie hoch einerseits die zu erwartenden Schäden im Bereich Cyber Security und andererseits deren Eintrittswahrscheinlichkeiten sind.
In seinem Blog-Artikel in techseen.com berichtet Abhinav Mohapatra von einer Lloyd’s-Studie, die die Schäden von globalen Cyber-Attacken mit denen von Hurricans vergleicht. Wenn diese Annahme stimmt, beträgt die Unterdeckung der Unternehmen mindestens 80 Prozent der Schadensumme, weil die Schäden nicht ausreichend versichert sind. Unternehmen unterschätzen demnach das Risiko und die Schadensumme erheblich.
Entsprechend ist der Abschluss einer Cyber-Versicherung zwingend erforderlich. Allerdings ersetzt eine solche Versicherungspolice nicht die Umsetzung eigener Maßnahmen für Cyber Security:
„A vehicle owner will not drive haphazardly simply because he has vehicle insurance.”
Eine Cyber-Versicherung sollte also als ergänzende Maßnahme eines umfassenden Sicherheitskonzepts verstanden werden. Versicherungen haben derzeit allerdings – wie ihre Kunden –noch das Problem, dass es zu wenig Erfahrungswerte gibt, die eine zuverlässige Risikoeinschätzung und ein adäquates Pricing gewährleisten.
Aus meiner Sicht haben Versicherungen daher im Moment nur eine Möglichkeit: Sie müssen das Risiko selbst beeinflussen, indem sie Unternehmen mit passenden Assistance-Leistungen in Ergänzung zur Cyber-Security-Police ausstatten. So können in Kooperation mit einem geeigneten IT-Service-Provider die Risiken anhand eines Assessments des zu versichernden Unternehmens besser eingeschätzt werden.
Auf dieser Basis können identifizierte Sicherheits-Schwachpunkte behoben und die bestehenden IT-Sicherheitsmaßnahmen des Unternehmens verbessert werden. Zudem kann im Schadenfall der IT-Serviceprovider dem betroffenen Versicherungskunden helfen, den Schaden zu minimieren und schnell zu beheben.
In jedem Fall zeigt die zitierte Studie, dass sich Unternehmen noch nicht in ausreichendem Maß mit Cyber-Security-Versicherungen auseinandergesetzt haben, wobei mittelständische Unternehmen noch mehr Nachholbedarf als Großunternehmen haben. Das hat zum einen mit einem nicht ausreichenden Gefährdungsbewusstsein der Unternehmen zu tun. Zum anderen sollten Versicherer aber auch daran arbeiten, ihre Versicherungsprodukte und -services den Bedürfnissen der Unternehmen entsprechend zu gestalten.
Originallink aufrufen