Märkte & Vertrieb

Cyber: Wie funktioniert eine Risikoanalyse bei KMU?

Von VW-RedaktionTagesaktuelle Informationen und Neuigkeiten aus der Versicherungsbranche. Alle Nachrichten des Tagesreports auch als Newsletter abonnierbar.
Systemausfälle und Hackerangriffe führen seit mehreren Jahren immer öfter zu Ausfällen und auch Datenlecks führen zu hohen Kosten bei betroffenen Unternehmen aller Größen. In ihrem jährlichen "Risiko Barometer" von 2018 beschreibt die Allianz Betriebsunterbrechung und Cyber-Vorfälle als die beiden Top-Risiken für Unternehmen. Doch was bedeutet dies für die KMU? Eine Analyse von Thomas Schnitzer.

Digitalisierung und deren Vorteile

Die Digitalisierung der Wirtschaft und der Gesellschaft bringt viele Vorteile. Nahezu jeder trägt heute ein Smartphone mit sich, bestellt Produkte im Internet, nutzt Multimedia Streaming-Dienste. Unter dem Stichwort "Industrie 4.0" profitieren Unternehmen von der Beschleunigung und Effizienzsteigerung, welche die Digitalisierung von operativen Prozessen und von ganzen Geschäftsbereichen verspricht. Auch für die kleinen und mittelgroßen Unternehmen (KMU) sind funktionierende PC-Arbeitsplätze und ein schneller Internetanschluss mittlerweile essentiell für ihre Geschäftstätigkeit.

Cyber Versicherung auch für KMU

Viele Sach- und Haftpflichtversicherer haben dieses Risiko erkannt und bieten seit mehreren Jahren Cyber-Versicherungen für Unternehmen an, um sie vor den hohen Kosten von Cyber-Vorfällen zu schützen. Zu den verbreitetsten Deckungselementen zählen bzgl. Eigenschäden die Betriebsunterbrechung, Datenwiederherstellung und Cyber-Erpressung, bzgl. Fremdschäden die Deckung von Schadenersatzforderungen Dritter bei Verlust personenbezogener Daten, PCI-Vertragsstrafen und die Netzwerk-/Multimedia-Haftpflicht. Wichtig sind auch die Dienstleistungen, welche Versicherer über den "Service-Baustein" anbieten, zum Beispiel Sicherheitsanalysen, präventive Maßnahmen, Schulungen und die Vermittlung von Experten im Schadenfall.
Die Bekanntheit von Cyber-Risiken und deren negative Auswirkungen auf den laufenden Geschäftsbetrieb nehmen auch bei KMU zu. Auch wegen der Einführung der Europäischen Datenschutzrichtlinie (GDPR) im Mai 2018 interessieren sich mehr und mehr KMU ihre IT-Risiken zu analysieren, sich zu schützen und einen Teil ihrer Cyber-Risiken über eine Versicherung zu transferieren.
Auch KMU sind sehr stark von ihrer IT abhängig und können sich – anders als große Firmen weniger gut schützen und sind im Angriffsfall oft schlecht vorbereitet. Viele Versicherer bieten deshalb auch für KMU spezielle Deckungen an; im Frühjahr 2017 veröffentlichte der GDV Musterbedingungen für Cyber-Policen.

Risikoanalyse bei großen Versicherungsnehmern

Um eine angemessene Prämie für ihre Cyber-Deckungen zu berechnen, müssen Versicherer ein Verständnis für das Cyber-Risiko ihrer Kunden entwickeln. Cyberrisiko-Analysten unterstützen die Underwriter im Entscheidungsprozess, in dem sie die Cyberrisiko-Exponierung und die Angemessenheit von Schutzmaßnahmen analysieren. Dazu benötigen sie viele Informationen vom Versicherungsnehmer, der diese in Form von ausgefüllten Fragebögen, unterstützender Dokumentation und in Risikodialogen zur Verfügung stellt.
Der generelle IT-Risikomanagementanasatz des Versicherungsnehmers muss geklärt und komplexe Systeme, Netzwerke und die Sicherheitsorganisation müssen verstanden werden. Diese Analyse gleicht oft einem kleinen, externen Cyber-Sicherheits-Audit, kann mehrere Tage oder gar Wochen dauern und lohnt sich deshalb nur für große Risiken.

Risikoanalyse bei KMU

Wegen der geringen Deckungs- und Prämiensummen können die Versicherer bei KMU keine zeit- und kostenintensiven Cyber-Risikoanalysen durchführen. Die meisten Versicherer arbeiten deshalb derzeit mit klassischen Risikofragebögen, die zum Teil noch auf Papier, vermehrt aber auch online ausgefüllt werden können. Die gestellten Fragen zur Exponierung und IT-Sicherheit müssen gut formuliert werden, so dass der Versicherungsnehmer sie selbständig oder mit Hilfe eines Maklers oder Versicherungsagenten ausfüllen kann.
Der GDV-Musterfragebogen enthält in der Minimalversion zehn Fragen, je nach Risikopotential kommen weitere hinzu. Unternehmen mit Jahresumsatz zwischen fünf und zehn Mio. Euro, welche sensible Daten verarbeiten und industrielle Steuerungssysteme einsetzen, müssen beispielsweise 35 Fragen beantworten. Je nach Deckungssumme und -elementen reduzieren manche Versicherer ihre Cyber-Fragebögen sogar auf unter fünf Fragen und weisen auf weitere Anforderungen an die IT-Sicherheit in den Bestimmungen der allgemeinen Versicherungsbedingungen hin.

Vor- und Nachteile von Fragebögen

KMU Cyber-Fragebögen sind für Versicherer relativ leicht zu implementieren und auch das Ausfüllen durch den Versicherungsnehmer dauert in der Regel nicht lange. Wird ein Online-Fragebogen verwendet, können die Antworten schnell ausgewertet und ein Angebot erstellt werden. Laut Umfrageergebnissen werden Versicherungsfragebögen von KMU-Geschäftsführern selbst ausgefüllt. Im Cyber-Umfeld stellt dies eine gewisse Gefahr dar, denn nicht alle Geschäftsführer kennen sich mit diesem relativ neuen, sehr komplexen und schnell wandelnden Themenfeld aus.
Die eigene Bedrohungslage wird oft unterschätzt, während die eigene IT-Sicherheit oft überschätzt wird. Auch sollten Fragen nicht nur mit Ja/Nein beantwortet werden können, es sollte eine Auswahl an möglichen Schutztechnologien und Methoden angeboten werden um ein gewisses Verständnis und eine Auseinandersetzung mit dem Thema sicherzustellen.

Internetbasierte Sicherheitsbewertungen als ergänzende Maßnahme

Ein weiterer Ansatz zur Risikobewertung besteht in sogenannten Outside-in-Analysen. Hier wird das Sicherheitsniveau eines Unternehmens mit öffentlich zugänglichen Daten und Scans von außen bestimmt, ohne dass analysierte Unternehmen selbst aktiv werden müssen. Dazu werden Daten von verwundbaren oder kompromittierten Systemen, unsicheren Konfigurationen und Datenlecks von Unternehmen gesammelt.
Neben technologischen Faktoren werden auch wirtschaftliche und Verhaltensfaktoren aus mehreren Quellen zugezogen, um so ein ganzheitliches Risikoprofil zu erstellen. Diese Analyse ähnelt dem Vorgehen von bösartigen Angreifern, welche im ersten Schritt, der "Reconnaissance", Informationen über verwundbare Opfer sammeln. Anders als bei einem Angriff werden die Systeme der Unternehmen lediglich gescannt ohne dass man in die Systeme eindringt. Anbieter für diese Services sind zum Beispiel BitSight, Cyence, Security Scorecard und eine Reihe von Start-ups.

Das Fazit

Die Versicherungswirtschaft hat erste Ansätze und strukturierte Vorgehen für KMU-Cyber-Risikoanalysen entwickelt. Die beschriebenen Vorgehen haben Vor- und Nachteile, manche sind aussagekräftiger als andere und die Marktteilnehmer stehen am Anfang der Entwicklung. Die sich ständig ändernde Bedrohungslage, neue Erfahrungen aus der Bearbeitung von Cyber-Schadenfällen und der technologische Fortschritt werden einen Einfluss auf Weiterentwicklung von Risikoanalyse-Methoden haben.
Cyber-Versicherer sollten die Versicherungsprämien von den Ergebnissen objektiver Risikoanalysen und den Schutzmaßnahmen der Versicherungsnehmer abhängig machen. So kann die Versicherungsbranche eine wichtige Rolle spielen, den generellen Cyber-Reifegrad der Wirtschaft zu erhöhen und die Cyber-Resilienz von Unternehmen zu verbessern.
Autor: Thomas Schnitzer ist Senior Cyber Risk Analyst bei der Swiss Re (Quelle: Swiss Re)
Swiss Re · Cyber · KMU · Thomas Schnitzer