Bedeutung für die Versicherungsbranche
Allerdings ist eine verstärkte Auseinandersetzung der Versicherer mit Log4j in der Vertragsanbahnung zu beobachten. Spartenübergreifend, also nicht nur in der Cyberversicherung, sondern beispielhaft gleichwohl in der Vertrauensschadenversicherung und Vermögensschadenhaftpflichtversicherung entwickeln die Risikoträger ein verstärktes Informationsbedürfnis zu Log4j und fordern die zusätzliche Beantwortung von Risikofragen. In der Praxis sind diese Fragen durch die Komplexität und den eingeschränkten eigenen Einflussbereich gerade für kleine und mittelständische Unternehmen kaum wahrheitsgemäß zu beantworten.
Hinzu kommen spezifische Ausschlussklauseln für Schäden im direkten oder indirekten Zusammenhang mit der Log4Shell-Schwachstelle. Dies betrifft nach aktuellem Kenntnisstand erst mal nur Neugeschäftsanfragen und vereinzelt Vertragsanpassungen wie die Höherdeckung von Versicherungssummen.
Tückisches Zeichen für den Cyberversicherungsmarkt
So ein Ausschluss ist schnell geschrieben und von den Risikoträgern als Vorgabe verlangt. Die Konsequenzen für den Markt sind allerdings noch nicht absehbar.
Als Reaktion auf eine Schwachstelle, aus der sich bisher noch kein konkreter Schaden materialisierte, Neuverträge mit spezifischen Ausschlüssen zu versehen, verdeutlicht die aktuelle Unsicherheit und Hilflosigkeit der Versicherer, mit solchen Gefahren umzugehen. Das viel größere Risiko müsste für die Versicherer im eigenen Bestand liegen. Außerdem ist unklar, wie und auf welcher Grundlage die Versicherung das Vorliegen eines solchen Ausschlusstatbestandes nachweisen könnte.
Für die versicherten Unternehmen schürt dieses Verhalten vor allem Unsicherheit zum Regulierungsverhalten der Cyberversicherer. Wie sinnvoll und verlässlich ist ein Versicherungsprodukt, aus dem relevante Bedrohungsszenarien gleich versucht werden auszuschließen? In dem frühen Stadium des Cyberversicherungsmarktes kann dies verheerende Vertrauensverluste bedeuten.
Es bleibt abzuwarten, wie sich die Reaktion der Versicherer auf solche in Zukunft immer häufiger aufkommenden Veröffentlichungen kritischer Sicherheitsschwachstellen einpendeln wird.
Überreaktion oder Gefahr für Versicherer?
Sehen wir aktuell eine Überreaktion vereinzelter Versicherer, hervorgerufen durch die eindringliche Sicherheitswarnung des BSI? Oder übersteigt das Schadenpotenzial bestimmter Sicherheitslücken tatsächlich die Tragfähigkeit des Risikotransfers? Und muss die Versicherbarkeit ähnlich dem Kriegsausschluss pauschal begrenzt werden?
In jedem Fall bleibt die Herausforderung der Beweislast. Gerade zu Beginn eines Schadenfalls in der Chaosphase sind Ursache und Hergang unklar. Je mehr Zeit zwischen der vermeintlichen Kompromittierung und dem tatsächlichen Schadenereignis liegt, desto herausfordernder bis unmöglich wird die IT-forensische Aufklärung des Sachverhalts, vor allem wegen fehlender Protokolldaten.
Hier ist zu betonen, dass der Umgang mit kritischen Sicherheitslücken bei Standardsoftware eine große gesellschaftliche Herausforderung darstellt, der nur im gemeinsamen Schulterschluss effektiv begegnet werden kann. Dabei tragen Führungskräfte und IT-Verantwortliche in den Organisationen vor allem die Pflicht der offenen Suche und Beseitigung von bekannten Cybergefahren.
Grob fahrlässiges Unterlassen dieser ständigen Auseinandersetzung mit aktuellen Schwachstellen und der möglichst zeitnahen Reaktion durch geeignete Schutzmaßnahmen wie der Installation von bereitgestellten Sicherheitspatches sollten nicht toleriert werden. Der pauschale Ausschluss einzelner bekannt gewordener Sicherheitslücken ist dafür allerdings der falsche Anknüpfungspunkt und damit ein Irrweg.
Diesen Artikel lesen Sie auch in AssCompact 02/2022, S. 30 f., und in unserem ePaper.
Bild: © Alexander Limbach – stock.adobe.com
Seite 1 Log4j: Bestandsaufnahme und Folgen für Versicherungsbranche
Seite 2 Bedeutung für die Versicherungsbranche
- Anmelden, um Kommentare verfassen zu können