AssCompact suche
Home
Assekuranz
28. Juli 2021
Lehren aus Corona: Cyberpandemien absichern

Lehren aus Corona: Cyberpandemien absichern

Die Cyberkriminalität könnte in Zukunft ähnliche Dynamiken entwickeln wie eine Pandemie – darauf müssen Versicherer und Kunden vorbereitet sein. Aus Covid-19 kann die Versicherungsbranche einige Lehren für den Cyberbereich ableiten.

Dr. Christian Gründl, Vorstandsmitglied der ERGO Versicherung AG, verantwortlich für das Firmen- und Industriegeschäft

Egal, wie gut Unternehmen vor 2020 abgesichert waren – mit einer weltweiten Pandemie hat wohl kaum jemand gerechnet. Was die Versicherungswirtschaft aus dieser anspruchsvollen Zeit gelernt haben, lässt sich auch auf den Cyberbereich übertragen: Denn nicht nur krankheitserregende Viren können Schäden in Millionenhöhe verursachen.

Es mag auf den ersten Blick überraschend klingen, aber zwischen großen Cyberangriffen und der Corona-Pandemie gibt es erstaunlich viele Parallelen. Ein Beispiel: Am 04.05.2000 verbreitete sich der Computerwurm Loveletter mit der Betreffzeile „ILOVEYOU“ rasend schnell. Innerhalb von zehn Tagen waren mehr als 50 Millionen Geräte infiziert. Das Virus hatte eine automatische Verbreitungsfunktion, sodass die Zahl der infizierten Computersysteme exponentiell anstieg – genau wie die Corona-Zahlen. So ein digitales Virus ist offensichtlich keine unmittelbare gesundheitliche Gefahr. Wirtschaftlich sind die potenziellen Schäden aber durchaus relevant: Allein „ILOVEYOU“ verursachte weltweit Kosten in Milliardenhöhe.

Wenn die Gefahr durch eine Cyberpandemie also real und ernst zu nehmen ist, was kann dann die Versicherungsbranche von Corona lernen?

1. Mangelndes Risikobewusstsein adressieren

Ein Szenario wie Covid-19 kommt im Risikobewusstsein in der Regel nicht vor, weil sich eine Pandemie nur in sehr langen Abständen wiederholt und persönliche Erfahrungen in den meisten Fällen nicht vorliegen. Die Gefahr erschien abstrakt, dementsprechend schlecht war die Branche vorbereitet.

Auch das Risiko durch Cyber­attacken ist vielen Unternehmen kaum bewusst. Nur 28% der kleinen und mittleren Unternehmer sehen in digitaler Kriminalität eine Gefahr für ihren eigenen Betrieb, ergab eine Studie des Gesamtverbandes der deutschen Versicherungswirtschaft im vergangenen Jahr. Die eigenen Daten seien zu uninteressant, die Server gut abgesichert – eine Cyberver­sicherung hielt die große Mehrheit der Befragten aus diesen Gründen nicht für nötig. Dabei sieht die Realität anders aus: Die Zahl der Cyberattacken auf Unternehmen ist allein im ersten Halbjahr 2020 im Vergleich zur zweiten Jahreshälfte 2019 um fast 70% gestiegen. Betroffen sind alle Branchen und Betriebe jeder Größe.

Deshalb ist es wichtig, dass sich jedes Unternehmen auf einen potenziellen Cyberangriff vorbereitet. Dazu gehört nicht nur eine Cyberversicherung, sondern vor allem Präventionsmaßnahmen. Mitarbeiter sollten zu den Themen IT-­Sicherheit und Datenschutz fortgebildet werden. Für den Ernstfall braucht jeder Betrieb einen Notfallplan: Was sind die wichtigsten Schritte, wenn plötzlich die Systeme lahmliegen? Wer ruft den IT-Dienstleister an? Wer meldet den Schaden der Versicherung?

2. Schadenbearbeitung professionalisieren

Eine Versicherung kann Schulungen anbieten und die Unternehmen beim Risikomanagement unterstützen. Im Ernstfall muss sie dann aber auch die Erwartungen der Kunden erfüllen: Der Schadenservice muss 24 Stunden am Tag erreichbar sein. Ein IT-Dienstleister muss zu jeder Tageszeit innerhalb weniger Stunden vor Ort sein, um die Daten möglichst schnell wiederzugewinnen. Gerade bei Cyberattacken gilt: Je länger es dauert, desto größer wird der Schaden. Jede Minute zählt.

2020 hat die Welt durch Covid-19 gelernt, dass in der Pandemie tausende Schäden innerhalb kürzester Zeit auftreten. Genauso schlimm kann es in einer möglichen Cyberpandemie werden. Die wenigsten Versicherer sind bisher darauf vorbereitet, dass so viele Unternehmen gleichzeitig einen Schaden melden und auf Hilfe angewiesen sind. Versicherer bauen deshalb ihre IT-Expertise aus und verbessern ihren 24-Stunden-Service. Nur durch skalierbare Schadenprozesse können Versicherer in solchen Situationen ihr Versprechen gegenüber dem Kunden einlösen.

3. Überraschungen vermeiden

Wer vorbereitet ist, den kann auch in einem Extremfall so schnell nichts überraschen. In der Rückschau ist festzustellen, dass die Versicherungswirtschaft nicht optimal auf eine Pandemie vorbereitet war.

Daher müssen Bedingungen und Leistungen klar formuliert sein, damit im Schadenfall ein gleiches Verständnis hinsichtlich der Deckung vorliegt. Das bedeutet nicht, dass Versicherer möglichst viele Fälle von der Versicherung ausschließen sollten – dabei hat der Markt zuletzt überreagiert. Stattdessen muss ein Anbieter partnerschaftlich mit seinen Kunden zusammenarbeiten und genau die Risiken absichern, die sie real betreffen.

Wenn die Branche die Bedingungen dafür nicht klar definiert, wird mit „Silent Cyber“-Schäden zu rechnen sein. Das sind Schäden, die in der Police nicht ausdrücklich benannt sind, die aber mit der Cyberattacke zusammenhängen. Denn die können häufig ungeahnte Auswirkungen haben – wenn sie zum Beispiel ein Krankenhaus betreffen und lebenswichtige Geräte ausfallen. Über solche Fälle darf es in Zukunft keine Unklarheiten mehr geben. Dazu gehört auch, dass in der heutigen Zeit die Arbeit im Home-Office explizit mitversichert sein muss.

4. Prävention und Risiko­management müssen zum Standard werden

Immer wieder hört man den Satz „Cyber ist die Feuerversicherung des 21. Jahrhunderts“. Wenn dies stimmt, heißt es von Bewährtem lernen. Während in der Feuerversicherung regelmäßig der Brandschutz besichtigt und diskutiert wird, belassen es die Versicherer beim Thema IT-Sicherheit häufig bei einem Fragebogen. Dabei ist die Entwicklung in der IT-Sicherheit deutlich dynamischer als beim Thema Brandschutz.

Im gegenseitigen Interesse müssen Prävention und Risikomanagement viel stärker in den Fokus gerückt werden. Fragebögen sollten durch regelmäßige IT-Audits ersetzt werden – hier müssen die Versicherer in ihre eigenen Fähigkeiten investieren. Denn am Ende ist der wirksamste Schutz vor einer Pandemie immer noch, dass Viren am „IT-Immunsystem“ der Unternehmen abprallen und so die Verbreitung zum Stoppen kommt.

Was ist noch versicherbar?

Die Corona-Zeiten haben es gezeigt: In einer Pandemie können Versicherer an ihre Grenzen stoßen. Das Kollektiv kann die Schäden nicht mehr ausgleichen, weil die Mehrheit aller Kunden von einem Schadenfall betroffen ist. Es ist davon auszugehen, dass die Zahl der Cyberattacken in den kommenden Jahren weiter stark zunehmen wird. Wenn sich dieser Trend fortsetzt, muss darüber diskutiert werden, ob die Risiken überhaupt noch ver­sicherbar sind. Im Jahr 2020 hat die Branche laut GDV-Angaben 160 Mio. Euro an Prämien im Cyberbereich eingenommen. Ein möglicher Kumul-Schaden ist mindestens 20 Mal so hoch, möglicherweise sogar 50 Mal so hoch. Das ist heute noch nicht bedrohlich für die Branche – kann es aber zukünftig werden.

Deshalb ist es so wichtig, aus der Corona-Pandemie auch Lehren für Cyberversicherungen zu ziehen. Versicherer müssen sich auf die Prävention und das Risikomanagement konzentrieren, um die Gefahren möglichst klein zu halten. Sie müssen Bedingungen präzisieren, um böse Überraschungen („Silent Cyber“) zu vermeiden. Gleichzeitig müssen die Schadenprozesse der Versicherungen professionalisiert werden. Die Branche muss ihren Kunden aber auch weiterhin eine Absicherung für relevante Cybergefahren bieten. Denn eine Cyberversicherung muss im Fall der Fälle vor der unsichtbaren Gefahr schützen und damit essenziell für Unternehmen bleiben.

Den Artikel lesen Sie auch in AssCompact 07/2021, Seite 36 f., und in unserem ePaper.

Bilder: © Dr. Christian Gründl; oz – stock.adobe.com

 
Ein Artikel von
Dr. Christian Gründl
  • Anmelden, um Kommentare verfassen zu können

Ähnliche News

Assekuranz
Baloise feilt an Cyberversicherung
Die Baloise hat ihre Cyberversicherung überarbeitet und ermöglicht nun Absicherung für Firmen mit einem Umsatz von bis zu 150 Mio. Euro. Auch die Deckungssumme wurde angepasst. Zusätzlich zur Cyberpolice bietet Baloise in Kooperation mit Roland Rechtschutz die Rechtschutzversicherung „JurCyber“. weiterlesen
Assekuranz
QBE startet globale Cyberpolice und Online-Sicherheitsraum
QBE hat eine globale Cyberversicherung gelauncht, die aktuelle sowie neu auftretende Cyberrisiken für eine Vielzahl von Gewerbekunden absichert. Zusätzlich führt der Versicherer einen Online-Sicherheitsraum ein, der es Unternehmen erlaubt, Vorkehrungen für den Ernstfall zu treffen. weiterlesen
Vertrieb
Cyberspezialist DGC übernimmt COGITANDA
Neues von der insolventen COGITANDA Gruppe: Der Insolvenzverwalter hat den Investorenprozess abgeschlossen. Die Deutsche Gesellschaft für Cybersicherheit (DGC AG) hat die Geschäftsbetriebe aller fünf Gesellschaften der COGITANDA Gruppe erworben. Der Geschäftsbetrieb wird fortgeführt. weiterlesen