Cyberversicherungen am Limit

Unternehmen, die ihre Cyberpolice zum Jahreswechsel erneuern wollten, mussten tief in die Tasche greifen. Eine deutliche Erhöhung von Prämien bei gleichzeitiger Verdopplung der Selbstbehalte und Reduzierung der Limiten ist Realität. Viele Versicherer haben ihre Zeichnungspolitik in diesem Jahr schon mehrfach verschärft. Der Transfer von Cyber-Risiken wird zur Herausforderung.

Veröffentlicht am 14.01.2022 von Max Keller, Lead Funk RiskLab

Die Schadensituation spitzt sich währenddessen immer dramatischer zu. Meist handelt es sich dabei um Ransomware-Attacken, die immer professioneller werden. Das Geschäftsmodell «Ransomware-as-a-Service» entwickelt sich stetig weiter: Zum einen verschlüsseln die Angreifenden aktive Systeme und falls möglich Backups. Zum anderen stehlen sie vertrauliche Daten oder schützenswerte Personendaten, um zusätzlich Druck ausüben zu können. Diese als Double-Extortion bekannt gewordene Vorgehensweise entwickelt sich nun nach und nach zu einer Triple-Extortion weiter, welche einen DDoS-Angriff umfasst, um das angegriffene Unternehmen letztendlich doch in die Knie zu zwingen und zur Zahlung des Lösegeldes zu bewegen. Die individuelle Lösegeld-Forderung wird dabei an die finanziellen Möglichkeiten des angegriffenen Unternehmens angepasst, lässt sich erfahrungsgemäss jedoch runterhandeln.

Cyber-Security Anforderungen für den Versicherungsschutz

Als Antwort auf die deutliche Schadenzunahme formulieren Versicherer inzwischen konkrete Vorgaben an die Cyber-Security. Diese müssen Unternehmen zwingend erfüllen, wenn sie eine seriöse Cyber-Police abschliessen wollen. Die wesentlichen Anforderungen an Unternehmen sind:

  1. Transparenz über alle Assets (vor allem IT-Systeme und verarbeitete Daten)
  2. Multi-Faktor-Authentifizierung für jeglichen Fernzugriff (z.B. aus dem Homeoffice) auf IT-Systeme sowie für System- und Domain-Administratoren
  3. Starke Passwörter (Länge- und Komplexitätsanforderungen)
  4. Mindestens jährliche Sensibilisierung der Mitarbeitenden auf Informationssicherheit und Cyber-Risiken, kombiniert mit einem simulierten Phishing-Angriff
  5. Strikte Netzwerksegmentierung von Operational Technology und/oder Legacy Systemen, Standorten (geografisch), Organisationseinheiten (z.B. Verwaltung und Produktion) und Netzwerkkomponenten (z.B. Drahtlosnetzwerke)
  6. Kontinuierliches und reaktionsfähiges Patchmanagement (Installation kritischer Patches muss innerhalb von 72 Stunden gewährleistet werden)
  7. Solide Backup-Strategie zumindest nach der 3-2-1-Regel sowie einem offline oder stand-alone Cloud-Backup (für Ransomware-Vorfälle)
  8. Dokumentierter und jährlich geübter Disaster Recovery Plan (inklusive Backup-Recoveries)
  9. Für grosse und international ausgerichtete Unternehmen: Einheitliche Cyber-Security-Standards bei allen Tochtergesellschaften

Leistungskürzungen bei Ransomware

Eine weitere Entwicklung beim Transfer von Cyber-Risiken ist, dass viele Versicherer den Deckungsumfang insbesondere im Bereich «Schäden durch oder im Zusammenhang mit Ransomware», massiv einschränken. Dies lässt sich auf die hohe Frequenz von Ransomware-Vorfällen zurückführen. Über 90% der bekannten Schadenfälle (Erfahrungen mit Funk-Kunden/Medienberichte/ aktuelle Studien) stehen im Zusammenhang mit einer Ransomware. Folglich bieten einige Versicherer überhaupt keine Deckungen für Ransomware an. Andere beschränken ihre Leistungen auf max. 50% von der Versicherungssumme oder beteiligen den Versicherungsnehmer zusätzlich an solchen Vorfällen. Somit stünde bei 90% der Schadenfälle gar nicht die eigentliche Versicherungssumme zur Verfügung, sondern lediglich das vereinbarte Sublimit.

Gerade in dieser harten Marktphase sind die Cyber-Zusatzdienstleistungen von Funk und die daraus abgeleiteten Massnahmen besonders wichtig und haben direkten Einfluss auf die Zeichnungsbereitschaft und zum Teil auch die Prämiengestaltung der Versicherer. Sie können auch ein wesentlicher Bestandteil für den Entschädigungserfolg im Schadenfall sein.

Zusatzleistungen des Brokers besonders gefragt

Der Informationsbedarf der Versicherer ist inzwischen immens und kann nur durch umfangreiche und aktuelle Risikoinformationen gedeckt werden. Der neu entwickelte und gut strukturierte Fragenkatalog von Funk hilft Unternehmen die gewünschten Informationen mit angemessenem Aufwand zu beantworten und gleichzeitig einen Überblick über die sicherheitsrelevanten Cyber-Security-Themen zu erhalten. Dadurch kann Funk eine Schwachstellen bzw. Gap-Analyse erstellen und die Sinnhaftigkeit zusätzlicher Sicherheitsmassnahmen gemeinsam mit dem Kunden beurteilen.

Umgang mit Cyber-Restrisiken

Dennoch schützen auch hohe Investitionen in die Cyber-Security letztlich nicht zu 100% vor einem erfolgreichen Angriff. Darum ist es zentral, dass sich ein Unternehmen im Rahmen des Risikomanagements konkret mit dem Cyber-Worst-Case-Szenario auseinandersetzt. Hier unterstützt Funk mit dem Cyber Risk Calculator und dem Cyber-Risikodialog. Als Resultat erhalten Unternehmen so wichtige Entscheidungsgrundlagen, ob das unternehmensspezifische finanzielle Risiko selbst getragen werden kann oder ob gegebenenfalls ein Transfer des Risikos in eine Versicherungslösung notwendig wäre. Zudem kann im Krisenfall gegenüber den Aktionären nachvollziehbar dargelegt werden, dass die komplexen Cyber-Risiken sorgfältig abgearbeitet wurden. Schliesslich steht bei einem Cyber-Vorfall nicht nur die Reputation des Unternehmens, sondern auch die Reputation der Unternehmensleitung auf dem Spiel.

Das schwächste Glied

«Einer klickt immer» - leider ein running Gag in der Cyber-Security-Branche. Das schwächste Glied in jedem Cyberabwehrdispositiv ist der Mensch. Das einfachste Einfalltor für Cyberkriminelle ist und bleibt die Unwissenheit, Nachlässigkeit oder Neugier des Anwenders. Der durch die Covid-19-Pandemie befeuerte Trend zum Homeoffice bringt neue Schwachstellen in die IT-Systeme der Unternehmen und erschwert die regelmässige Sensibilisierung der Mitarbeitenden hinsichtlich des ordnungsgemässen Umganges mit Informationen und der modernen Gefahren des Internets.

Mit Funk CyberAware können Unternehmen ihre Mitarbeitenden nachhaltig und kontinuierlich auf Informationssicherheitsthemen sensibilisieren und das mit minimiertem internen Aufwand. Die Experten von Funk stellen verschiedene Lösungen bereit, die Mitarbeitende für die digitale private und berufliche Welt fit machen und auch fit halten. Von grundlegenden Informationen bezüglich Passwortsicherheit bis hin zur koordinierten Phishing-Angriffssimulation mit anschliessender Schulung, Funk Cyber-Aware deckt die ganze Bandbreite ab.

Für jedes Unternehmen stehen standardisierte Trainingseinheiten breit, deren Administration und Koordination durch Funk sichergestellt wird. Der Wissensstand der Mitarbeitenden kann dabei getrackt und in Reports aufbereitet werden. Damit lassen sich Stärken und Schwächen der Belegschaft ermitteln und im Folgeschritt gezielt angehen - und dies mit minimalem Aufwand seitens des Arbeitgebers.

Leistungsstarke Cyberversicherungen nur noch mit Cyber-Trainingsnachweis

Die eingangs erwähnten technischen Hürden für eine professionelle Cyberpolice und die Leistungsreduktion bei Ransomware-Attacken haben die Anforderungen an die Cyberfitness von Unternehmen ernorm erhöht. Zusätzlich erwarten Versicherer im Minimum jährliche Mitarbeiterschulungen (siehe Anforderungen oben). Funk CyberAware ist somit nicht nur eine sinnvolle und direkte Investition in die Cyber-Sicherheit des Unternehmens, sondern unterstützt Unternehmen aktiv auf dem Weg zum Abschluss oder der Aufrechterhaltung einer leistungsstarken Versicherungslösung.

Max Keller, Lead Funk RiskLab

«Die Phishing-Attacken zeigen meist ernüchternde Resultate. Unternehmen sollten jetzt handeln.»