Komplexere Cyber-Bedrohungen erfordern individuellen Schutz

Ein Beitrag von Thilo Schönleber, LL.M., Head of Cyber bei MRH Trowe.

Risikolage und Risikoentwicklung

Im Jahr 2023 gab es eine signifikante Zunahme komplexer Cyber-Risiken. Etwa jedes fünfte Unternehmen in Deutschland wurde Opfer eines Cyber-Angriffs. Im Durchschnitt erfolgt ein initialer Angriff (Intrusion) bereits elf Monate vor der eigentlichen Cyber-Attacke. Diese Entwicklung ist vor allem auf die fortschreitende Digitalisierung und Vernetzung zurückzuführen. Besonders hervorzuheben sind hier Ransomware-Angriffe und Datenschutzverletzungen, die in Häufigkeit und Schwere zugenommen haben. Die Corona-Pandemie hat diese Entwicklung beschleunigt, da die Tele- und Heimarbeit durch die Nutzung privater Netzwerke und Geräte nach wie vor ein hohes Sicherheitsrisiko darstellt. Diese Trends haben zu einer erheblichen Steigerung der Schadenkosten geführt.

Geopolitische Spannungen und der wirtschaftliche Abschwung haben die Cybersicherheitslandschaft weiter beeinflusst. Unternehmen wurden zunehmend zur Zielscheibe von Cyberkriminalität, was den Bedarf an effektiven Cyberversicherungen weiter verstärkte.

Marktreaktionen und Innovationen

Der Markt reagierte auf diese Entwicklungen mit neuen Anbietern und der Einführung neuer Produkte und Dienstleistungen, die auf spezifische Bedürfnisse und neue Risiken zugeschnitten sind. Diese Anpassungen waren notwendig, um den sich ständig verändernden Bedrohungslagen gerecht zu werden. Heutzutage gehen Unternehmen davon aus, dass Cyber-Angriffe unvermeidlich sind. Deshalb sollten sie frühzeitig Vorkehrungen treffen, um auf mögliche Schadenfälle vorbereitet zu sein.

Das Jahr 2023 war zudem geprägt von technologischen Innovationen und strengeren Datenschutz- und Cybersicherheitsvorschriften. Die überarbeitete EU-Richtlinie für Network and Information Security (NIS 2) markiert eine Zeitenwende in der Bekämpfung von Cyber-Angriffen. Die aktualisierte Richtlinie nimmt nun auch kleine und mittlere Unternehmen (KMU) in die Pflicht, um die Cybersicherheit in Unternehmen europaweit zu stärken und die allgemeine Bedrohungslage zu reduzieren. Dabei rückt sie die Geschäftsführer und CEOs von Unternehmen in den Mittelpunkt, denn sie müssen der IT-Sicherheit künftig eine deutlich höhere Priorität einräumen, um eine persönliche Haftung zu vermeiden.
Mit Blick auf den Risikoschutz durch Cyberversicherungen ergeben sich daraus verschiedene Konsequenzen, um den wachsenden und komplexeren Cyber-Risiken Rechnung zu tragen.

1. Erweiterte Deckungen: Angesichts der steigenden Komplexität von Cyber-Risiken wird es notwendig sein, die Deckungsbereiche zu erweitern. Dies umfasst nicht nur die traditionellen Risiken wie Datenverlust oder Betriebsunterbrechungen, sondern auch neuere Risiken wie Cloud-Ausfälle, IoT-bezogene Risiken oder KI-bezogene Vorfälle.
2. Spezialisierte Produkte: Für Branchen mit besonders hohen Risiken, wie Finanzdienstleistungen, Gesundheitswesen und Energieversorgung, werden zunehmend spezialisierte Versicherungsprodukte entwickelt. Diese berücksichtigen die spezifischen Bedrohungsszenarien und Anforderungen dieser Branchen.
3. Flexible Policen: Anpassbare und modulare Versicherungspolicen, die es Unternehmen ermöglichen, Deckungen nach ihrem spezifischen Bedarf zu wählen und anzupassen, gewinnen an Bedeutung.

Aktuelle Einschätzung

Der Cyberversicherungsmarkt befindet sich in einer Phase intensiver Dynamik und steht vor großen Herausforderungen. Die digitale Transformation hat zu einem exponentiellen Anstieg der Cyber-Risiken geführt. Unternehmen aller Größen und Branchen sehen sich mit fortschrittlichen und vielfältigen Cyber-Angriffen konfrontiert. Besonders Ransomware-Angriffe haben eine besorgniserregende Häufigkeit und Raffinesse erreicht. Die Integration von IoT-Geräten und die Abhängigkeit von Cloud-Diensten führen zu neuen Angriffsvektoren und erhöhen die Anfälligkeit für Sicherheitsverletzungen. Die Weiterentwicklung der KI-Technologie erleichtert den Cyberkriminellen die Entwicklung komplexer Angriffswerkzeuge. Dies kann die Erkennung und Abwehr von Cyber-Angriffen erheblich erschweren. Diese Entwicklung stellt sowohl die Unternehmen als auch die Cyberversicherer vor die Herausforderung, die Risiken kontinuierlich neu zu bewerten und ihre Angebote entsprechend anzupassen.

In einer Welt, in der Cyberrisiken zunehmend komplex und dynamisch sind, ist es entscheidend, nicht nur auf eine angemessene Cyberversicherung zu setzen, sondern auch in ein effektives internes Risikomanagement zu investieren. Cybersicherheitsstrategien müssen kontinuierlich überprüft und angepasst werden, um sich vor den sich wandelnden Bedrohungen zu schützen. Viele KMU werden aufgrund ihrer begrenzten Ressourcen Schwierigkeiten haben, die Anforderungen der NIS 2-Richtlinie zu erfassen und umzusetzen. Ein Risiko-Assessment zur Cyberversicherung in Verbindung mit einem NIS 2 Compliance-Assessment kann hier helfen.