Die Marktsituation in der Cyberversicherung bringt erhebliche Herausforderungen mit sich. Bei unverändert hohen Schadenzahlen über alle Branchen und Unternehmensgrößen hinweg wird es immer schwieriger, risikoadäquaten Versicherungsschutz zu akzeptablen Preisen und Bedingungen zu erhalten. Industrieunternehmen spüren diese Entwicklung schon länger, mittlerweile ist sie aber auch in der Sozialwirtschaft und dem Gesundheitswesen angekommen. Cyberversicherungsexperte Frank Schultz beschreibt die Situation. IT-Sicherheitsexperte Henning Weibezahl leitet daraus praktische Schritte ab.

Cyberrisiken stehen mittlerweile nach dem Klimawandel an Platz zwei der weltweit am meisten gefürchteten Risiken, und beinahe täglich tauchen Unternehmen in der Presse auf, die „gehackt“ worden sind. Prominentestes Beispiel der vergangenen Wochen aus Deutschland: Der vollständige Shutdown der IT in den Industrie- und Handelskammern in ganz Deutschland. 

Diese Entwicklung wirkt sich auf den Markt der Cyberversicherungen aus. Die Versicherer reagieren hartleibiger: Prämien steigen, Selbstbehalte werden ebenfalls angehoben, Kapazitäten am Markt schrumpfen hingegen, und die Kunden werden kritischer betrachtet. „In der anstehenden Erneuerungsphase wird sich diese Entwicklung aller Voraussicht nach fortsetzen“, erwartet Frank Schultz.

Absehbar ist, dass es vor allem für große Unternehmen und Institutionen immer komplizierter wird, adäquaten Cyberversicherungsschutz zu erhalten. Dabei erlangt die Frage, wie die unternehmenseigene Cybersecurity gestaltet ist, große Bedeutung. Die Mindestanforderungen an die Sicherheit wachsen und werden in umfangreichen Fragebögen abgefragt. Frank Schultz: „Insbesondere bei Unternehmen jenseits von 100 Millionen Euro Umsatz muss mittlerweile ein jährlicher Risikodialog geführt werden, um einen Cyberversicherungsschutz überhaupt erhalten zu können.“

Etwas entspannter ist der Markt bei kleinen und mittleren Unternehmen, die bis zu 25 Millionen Euro Umsatz generieren. „Vermehrt achten die Risikoträger allerdings auch in diesem Segment auf die Risikosituation und legen Risikofragebögen vor, die ohne eine sachkundige Unterstützung durch den Makler nicht ausgefüllt werden sollten, um bei einem Schaden später nicht in Probleme zu geraten“, warnt der Experte. Denn wenn Obliegenheiten durch den Versicherungsnehmer nicht erfüllt wurden, kann der Versicherer im Schadenfall die Leistung kürzen oder sogar verweigern.

Cybergefahren sind ein weltweites Phänomen. Damit verschärft sich die Lage noch einmal. Denn viele international tätige Versicherungskonzerne übertragen ihre Erfahrungen aus anderen Ländern auf den Inlandsmarkt. Zu erwarten ist, dass in der Zukunft nur noch Cyberversicherungen für die Unternehmen erhältlich sein werden, die eine risikokonforme IT-Sicherheit nachweisen können.

Das lenkt den Blick auf Ausbau und Überprüfung der eigenen Sicherheitsstrukturen. Unsere Unternehmensgruppe unterstützt Sie gemeinsam mit unseren Partnern auch bei diesen Fragen. Frank Schultz: „Wir prüfen ihre Cybersicherheitssysteme und die Organisationsstruktur, begleiten aber auch bei den Projekten zum Aus- oder Aufbau der notwendigen Strukturen. Wir analysieren Ihren Cyber-Risikofragebogen und koordinieren den Risikodialog, um ein vollständiges Bild Ihrer Cybersecurity zu erhalten und mögliche Verbesserungspunkte mit Ihnen zu besprechen.“

Aber auch im alltäglichen Geschäft bleiben viele Möglichkeiten, um die Cybersicherheit an sich und mit ihr auch die Ausgangsbedingungen für den Versicherungsschutz zu verbessern. „Sehr wichtig ist, die Systeme immer auf dem neuesten Stand zu halten, also schnell zu patchen, sprich Updates zu übernehmen“, rät Henning Weibezahl. Der Kontrollaufwand verringert sich zudem erheblich, wenn nicht allzu viel unterschiedliche Softwareprodukte genutzt werden. Henning Weibezahl: „Halten Sie die IT-Landschaft überschaubar und nutzen Sie möglichst Standardlösungen, um den Überblick nicht zu verlieren.“ Ein gutes Beispiel dafür sind Videokonferenztools. Statt fünf verschiedener reicht auch eins. Aus Sicht der IT-Sicherheit zahlt sich auch ein restriktiver Umgang mit Datei-Anhängen in E-Mails aus. Veraltete Office-Formate (.doc, .xls) oder direkt ausführbare Dateien sollten nicht beziehungsweise nicht ohne weitere Prüfung akzeptiert werden.

„Egal wie groß ein Unternehmen ist, verschiedene Dinge sollten alle beherzigen“, zieht Frank Schultz ein Resümee: „Erstens ein schnelles und umfassendes Patch-Management; zweitens eine Strategie, Back-ups zu fahren und somit die Daten ausreichend zu sichern, und drittens Schulung und Sensibilisierung der Mitarbeitenden für Cybergefahren. Das ist das A & O.“ Denn immer noch seien schadhafte E-Mails ein Haupteinfallstor für Verschlüsselungsprogramme oder andere Schadsoftware.