Rund die Hälfte aller deutschen Unternehmen wurde letztes Jahr Ziel von Cyberattacken, wie eine Umfrage aus 2022 ergab. Das wirkt sich auch auf Versicherer aus: Der Gesamtverband der Versicherer (GDV) zeigt, dass Cyberversicherer regelmäßig in die Verlustzone rutschen. Einige Versicherer mussten sich daher bereits aus dem Cyber-Versicherungsmarkt zurückziehen.
René Schoenauer, Director Product Marketing EMEA bei Guidewire Software, plädiert für ein besseres Verständnis von Cyberrisiken auf höchster Unternehmensebene
Um sich vor Verlusten zu schützen, benötigen Versicherer geeignete IT-Lösungen, mit denen sie Cybersecurity-Risiken adäquat modellieren können. Gleichzeitig bedarf es auf Unternehmensseite einer ausgeprägten Cybersecurity-Expertise im Senior Management und in den Vorständen, um eine wirksame Cybersecurity-Strategie zu entwickeln.
Cyberkriminelle verschaffen sich Vorsprung
Häufig gelangen Angreifer über gefälschte E-Mails und Websites an Identifikations- und Bankdaten. Dieser „Phishing“ genannte Vorgang betrifft Versicherungsunternehmen gleich in doppelter Weise: Zum einen als potenzielle Opfer von Cyberattacken – 2022 gab es in Deutschland 17,7 Million Cybercrime-Opfer – und zum anderen als Branche, die die finanziellen und betrieblichen Schäden dieser Angriffe absichert.
Insgesamt zählten die Cyberversicherer laut GDV im Jahr 2021 knapp 3.700 Schäden durch Hackerangriffe auf die deutsche Wirtschaft und leisteten rund 137 Millionen Euro – fast dreimal so viel wie 2020.
Hier zeichnet sich eine gefährliche Entwicklung ab: Während die Cyberangriffe immer ausgefeilter werden und häufiger auftreten, verläuft die Weiterentwicklung der IT-Sicherheit in Unternehmen schleppend. In vielen Unternehmen, vor allem im Mittelstand, sind gefährliche Sicherheitslücken vorhanden.
Vorstände überschätzen oftmals die Qualität ihrer Sicherheitssysteme. Cyberrisiko- und Sicherheitsfragen bearbeiten daher oft nur die Prüfungs- und Risikounterausschüsse der Vorstände. In der Folge muss der Vorstand das Security-Fachwissen aus externen Quellen beziehen, meist durch regelmäßige Berichte der „Chief Information Security Officer“ (CISO).
Doch es gibt auch Positivbeispiele: Führende Kredit-, Finanz- und Versicherungsunternehmen bilden ihre Vorstände gezielt weiter, berufen Cybersecurity-Fachwissen in ihre Reihen und bedienen sich moderner Analysemodelle und Softwarelösungen, um Cyberrisiken möglichst realitätsnah zu bewerten und immer genauere Cyberrisikoprognosen in ihre Analysen mit einzubeziehen. Neben statischen und historischen Daten verarbeiten sie auch Verhaltensdaten, wodurch die Risikobewertung deutlich besser wird.
IT-Sicherheit steigert Unternehmensbewertung
Auch Kreditgeber wissen, dass Cyberangriffe meist dann ihre schädliche Wirkung entfalten, wenn das attackierte Unternehmen in einem grundlegenden, spezifischen Bereich der Cybersicherheit versagt hat: Denn für den Großteil der finanziellen Verluste sind (temporäre) Betriebsausfälle und die daraus folgenden Wiederherstellungskosten verantwortlich.
Deshalb achten Kreditagenturen bei der Bewertung des Kreditrisikos besonders darauf, ob und wie Unternehmensdaten gesichert sind, und wie Reaktionsszenarien aussehen. Unternehmen mit einer durchdachten Cybersicherheitsplanung stellen sich folgende Fragen und verschaffen sich mit ihrer Beantwortung einen großen Kreditvorteil:
- Kann der Vorstand seine treuhänderische Pflicht erfüllen?
- Kann der Vorstand Cyberrisiken angemessen verstehen und berücksichtigen?
- Entspricht der aktuelle Sicherheitszustand dem, was sich Vorstandsmitglieder für Ihr Unternehmen wünschen?
Um diesen Weg erfolgreich zu gehen, die richtigen Fragen zu stellen und die Antworten in eine wirksame Cybersecurity-Strategie einzubinden, bedarf es der nötigen Sicherheitsexpertise in Vorständen. Denn je technologieabhängiger Unternehmen werden, desto mehr Cyberattacken drohen und umso stärker müssen sich Vorstands- und Aufsichtsratsmitglieder gezielt weiterbilden.
Für Versicherer bedeutet das zudem, Cyberrisiken besser zu modellieren und mithilfe ausgereifter IT-Lösungen genauer zu prognostizieren. Dies sichert den Geschäftsbetrieb und stiftet Vertrauen bei Stakeholdern wie Aktionären. Cyberversicherungen können zwar die finanziellen Folgen eines erfolgreichen Angriffs abmildern, doch die Unternehmen sind in der Pflicht, Prävention zu betreiben und ihre IT-Systeme optimal abzusichern.