Externe Daten-Backups, starke Passwörter, Zwei-Faktor-Authentifizierung, Awareness-Trainings… – die gängigen Maßnahmen zur Cyber-Prävention sind mittlerweile weitflächig bekannt. Zusätzlichen Schutz und Risikominimierung versprechen Cyber-Versicherungen.

Analog zu den altbekannten Polizzen ermöglichen diese, verschiedene Schäden durch Cyberangriffe zu adressieren. Dem noch jungen Markt in diesem Bereich wird ein deutliches Potential zugeschrieben, besonders wegen der Zunahme an Ransomware-Vorfällen bei kleinen und mittleren Unternehmen. Das bekannte Rückversicherungsunternehmen Munich Re geht davon aus, dass der globale Cyber-Versicherungsmarkt bis zum Jahr 2025 einen Wert von rund 20 Mrd. USD erreichen könnte. Die aktuellen Bedrohungen durch Ransomware werden als stark steigend eingeschätzt, da IT-Systeme zunehmend mit kritischen Infrastruktur- und Betriebstechniksystemen zusammenwachsen. [1]

Cyber-Versicherungen als Treiber von Ransomware-Angriffen?

Das Royal United Services Institute (RUSI) aus Großbritannien hat in einer Studie die Wechselwirkungen zwischen Cyber-Versicherungen, Cyber-Angriffen und Cyber-Sicherheitspraktiken bei Unternehmen erhoben. Eine These lautete, dass Lösegeldzahlungen an Cyber-Kriminelle die Grundlage für eine Weiterentwicklung der Ransomware-Operationen bildeten und den Angreifenden ermöglichten, ihre Fähigkeiten zu verbessern und zu erweitern. Die zunehmenden Verluste und Schadenssummen durch Ransomware-Angriffe haben auch deutlich gemacht, dass die derzeitige Realität auch für die Versicherer langfristig kaum tragbar ist. [2]

Mehr Anreize für Cybersicherheit – aber wie?

In der Theorie sollten Unternehmen, die Cyberversicherungen abschließen, auch intern die nötigen Standards und Vorkehrungen umgesetzt haben. Vergleichbar ist dies z.B. mit einer Feuerversicherung, die voraussetzt, dass alle nötigen Vorkehrungen wie Brandabschnitte, Feuermelder und Feuerlöscher getroffen und beibehalten werden. Von dieser Annahme aus wäre die Versicherungsbranche in einer guten Position, um Best Practices wie z.B. ISO27001 oder NIST voranzutreiben und deren Umsetzung bei Unternehmen zu fördern. Dies wäre auch im Interesse der Versicherungsträger, die finanziell motiviert sind, Ansprüche und Verluste zu reduzieren. Die Ergebnisse der Studie weisen jedoch darauf hin, dass Zertifizierungen nach bestimmten Standards routinemäßig meist keine Voraussetzung für die Versicherung sind. Wie genau bestehende IT-Sicherheitsstandards in die Bewertung einfließen, war sehr uneinheitlich.

Fazit: Versicherungen führen nicht automatisch zu Erhöhung der IT-Security

Die Möglichkeiten, positiv und nachhaltig auf die IT-Betriebssicherheit der KundInnen einzuwirken, wird zu wenig ausgenutzt, so ein Resultat der Studie. Weitere klare Worte finden sich zur Verbesserung der Sicherheitssituation: „Bislang haben Cyberversicherungen die Erwartungen nicht erfüllt, die in sie als Instrument zur Verbesserung der Cybersicherheitspraktiken von Unternehmen gesetzt wurden“, so das Institut. Eine Warnung geht auf den ursprünglichen Kritikpunkt ein: „Cyber-Versicherer erleichtern möglicherweise ungewollt das Verhalten von Cyberkriminellen, indem sie zum Wachstum von gezielten Ransomware-Angriffen beitragen.“ [3]

Damit bestätigt sich indirekt ein Vorbehalt gegenüber dem unkontrollierten Einsatz. Nichtsdestotrotz darf der ursprüngliche Zweck nicht missverstanden werden: Der Hauptzweck der Cyberversicherung besteht nicht darin, die Cybersicherheit zu verbessern, sondern das verbleibende Restrisiko für das versicherte Unternehmen zu übernehmen.