Aufrufe
vor 4 Monaten

AssCompact 10/2019

ASSEKURANZ Bösen

ASSEKURANZ Bösen Überraschungen bei Cyberschäden aus dem Weg gehen Die Cyberrisiken steigen, darauf müssen sich Unternehmen jeder Größe vorbereiten. Denn im Schadenfall bleibt nur wenig Zeit zum Reagieren. Was Unternehmen tun und wie Makler dabei unterstützen können, weiß der Cyberdienstleister COGITANDA. 52 Oktober 2019 Die Welt ist vernetzt wie nie und immaterielle und materielle Vermögenswerte von Unternehmen oder auch der öffentlichen Hand erleiden immer öfter Schaden vonseiten Cyberkrimineller. Eine Studie von McAfee aus dem Jahre 2018 (Economic Impact of Cybercrime – No Slowing Down, 2018) beziffert die jährlichen Schäden durch Cybercrime auf rund 600 Mrd. US-Dollar; auf Deutschland dürften hiervon rund 65 Mrd. US-Dollar entfallen (vgl. KPMG-Studie 2017). Prognosen der Herjavec Group zufolge dürfte sich der weltweite Schaden durch Cybervorfälle mittel- bis langfristig auf den zehnfachen Wert erhöhen. Dabei darf neben dem Verbrechen auch die Fahrlässigkeit von ungeschulten Bedienern nicht vergessen werden. Dem gegenüber steht die Cyber-Security Branche, die laut Schätzungen von Gartner 2018 global 114 Mrd. US-Dollar umgesetzt hat, sowie die Versicherungsindustrie mit aktuell weltweit rund 5 Mrd. US-Dollar Cyberversicherungsprämie im Jahr. Sowohl für die Cyberrisiko-Prävention als auch für die Cyberversicherung bietet sich für die Zukunft also ein enormes Wachstumspotenzial. Doch wie kann man sich nun vor Cyberrisiken schützen? Sicherheit erfordert eine systematische Vorbereitung Eine Verbesserung von Cybersicherheit erreicht man, indem man sich systematisch technisch und organisatorisch auf drohende Schadenereignisse vorbereitet. Hierzu gehören präventive Maßnahmen wie beispielsweise Assessments und Audits, um den IT-Reifegrad eines Unternehmens zu beurteilen, ein aktives Patchmanagement, welches Standardsoftware unternehmensweit immer auf dem neuesten und damit sichersten Stand hält, Risiko- und Business-Impact-Analysen, das Monitoren der IT-Landschaft des Unternehmens, zum Beispiel durch ein SIEM (Security Information and Event Management), sowie Krisenübungen, die den Cyberernstfall simulieren. Durch Vorgaben des Bundesamts für Sicherheit in der Informationstechnik (BSI) und die entsprechenden ISO-Normen (zum Beispiel ISO 27001) ist in den letzten Jahren der Fokus auf kontinuierliche Verbesserungsprozesse gelegt worden. Alle Maßnahmen, die ergriffen werden, seien sie technischer oder organisatorischer Natur, sollen ständig überprüft, evaluiert und verbessert werden. Der häufig verwendete Begriff an dieser Stelle ist „holistisch“: Cybersecurity funktioniert nur, wenn sie ganzheitlich in einem Unternehmen verankert ist – ein holistischer Ansatz. Am Ende wird es um einen Dreiklang bei der Bewältigung von Cyberrisiken gehen: W Risikoprävention W Versicherung und W Schadenmanagement In keiner anderen Risikokategorie ist das passgenaue Zusammenspiel dieser drei Bereiche von derart herausragender Bedeutung wie bei Cyber. Jede Minute zählt, jedes Szenario muss durchdacht worden sein, jeder Handgriff muss sitzen, sonst steigen die Kosten eines Cybervorfalls exponentiell an. © Steve Young – stock.adobe.com

Die Herausforderung und die Folgen für die Assekuranz Die Antwort der Assekuranz auf Cyber – die Cyberversicherung – blieb lange hinter den Erwartungen der Versicherten zurück. Da Cyberrisiken alle Beteiligten vor eine Fülle an Herausforderungen stellen, ist dies keine große Überraschung. Vergangenheitsdaten zu Schäden sind nur begrenzt vorhanden und selbst wo sie vorhanden sind, ist ihr Vorhersagewert aufgrund der sich permanent verändernden Bedrohungslage eingeschränkt. Vor allem auch bei der Einschätzung des Kumulrisikos sehen sich Versicherer mit großen Herausforderungen konfrontiert. Rückversicherer wollen zum Beispiel möglichst genau wissen, was sie in Cyber in puncto Kumulrisiken in ihre Bücher bekommen. Insbesondere diejenigen Cyberrisiken sorgen für Unruhe, die man auf den ersten Blick als solche nicht erkennt. Branche sorgt sich um Silent Cyber Mit „unsichtbar“ sind hier die sogenannten „Silent-Cyber-Risiken“ gemeint, die heute zu Hauf in den klassischen Sach- und Haftpflichtportfolios der Versicherer schlummern. Die Münchener Rück definiert das Silent- Cyber-Problem auf ihrer Webpage wie folgt: „Es besteht die Gefahr, dass es im Rahmen anderer Arten von Versicherungen zu einer unbeabsichtigten Gefährdung durch Cyber-Risiken kommt.“ Ein schönes Beispiel hierfür könnte zum Beispiel sein, dass das Management eines Unternehmens keine Cyberversicherung abgeschlossen hat, ein substanzieller Cyber - schaden eintritt und die Shareholder dieses Unternehmens das Management für das Unterlassen der Absicherung dieses Risikos verantwortlich machen. Hier kann man sich sehr gut vorstellen, dass der betreffende Cyberschaden von einer D&O-Versicherung zu tragen wäre. Die zunehmende Sorge wegen Silent Cyber hat auch zu der jüngsten Ankündigung von Lloyds geführt, dass alle im Lloyd’s Market gezeichneten Sach- und Haftpflichtverträge bis spätestens 2021 ausweisen müssen, ob sie auch Cyber - risiken beinhalten. Die Bedeutung von Silent Cyber spiegelt sich auch in Schätzungen zum Schadenpotenzial wider: Dem aktuellen weltweiten Prämienvolumen von dedizierten Cyberpolicen (in Abgrenzung zu Silent „affirmative Cyber“ genannt) von rund 5 Mrd. US-Dollar, steht wohl wenigstens ein Wert von 10 Mrd. US-Dollar als Schadenpotenzial in Silent-Cyber-Deckungen in anderen Versicherungssparten gegenüber. Der Kundenmehrwert muss immer im Fokus bleiben Nach der Befassung mit der Sichtweise der Versicherer jetzt ein anderer Blickwinkel: Im Fokus eines jeden Versicherungsproduktes sollte der Nutzen für den Versicherungsnehmer stehen, nicht nur in puncto Risikotransfer, sondern vor allem auch bei den Assistance-Leistungen. Im Schadenfall zum Beispiel genügt es bei Cyber keineswegs, im Nachhinein die Rechnungen von IT- oder anderen Dienstleistern zu begleichen. Es ist aus einer Reihe von Gründen nicht sinnvoll, einem Versicherungsnehmer oder seinem angestammten IT-Dienstleister im Schadenfall die Behebung eines Cybervorfalls alleine zu überlassen. Wichtige Zeit geht verloren, Spuren werden verwischt, nicht geeignete Dienstleister werden eingesetzt, kurz: Eine sowohl für den Versicherungsnehmer als auch für den Versicherer unerfreuliche Erfahrung droht. Ein sinnvoller Ansatz für das Schadenmanagement in Cyber sieht vor, dass der Versicherer auf alle vorstellbaren Szenarien vorbereitet ist, das heißt insbesondere, Vereinbarungen mit Spezialisten aller benötigten fachlichen Ausprägungen geschlossen hat, um diese Dienstleistungen in der nötigen Qualität, Quantität sowie Reichweite im Ernstfall einzusetzen zu können. Viele Marktteilnehmer vergessen bei der Versicherungsdeckung in Cyber auch, dass sie einen weltweiten Geltungsbereich hat. Wer sich das nicht wirklich klar gemacht hat, den trifft im Ernstfall der Hilferuf aus Asien völlig unvorbereitet. W Von Daniel Kasper, Head of CEO Office der COGITANDA Dataprotect AG COGITANDA unterstützt Makler in Cyber-Beratung Die COGITANDA Gruppe entwickelt passenden Cyberversicherungsschutz für Unternehmen. Gleichermaßen unterstützt sie Versicherungsmakler und ihre Kunden auch in allen Fragen der Cyberrisiko-Prävention sowie des Cyberschaden - managements. Die drei Bereiche Prävention, Schutz und Schadenfall gehören für die Cyberexperten dabei untrennbar zusammen, wie sie auch auf der DKM 2019 vorstellen werden. Oktober 2019 53

AssCompact

AssCompact 05/2019
AssCompact 04/2019
AssCompact 03/2019
AssCompact 02/2019
AssCompact 01/2019
Keine Tags gefunden...

Neues von AssCompact.de