Viele Versicherungsnehmer haben eine recht unklare Vorstellungen darüber, was eine IT-Versicherung leistet und was nicht. In vielen Fällen setzen sie auf eine IT-Versicherung, obwohl ihre spezielle Situation eine Cyber-Versicherung erfordert. Das offenbart der Hiscox IT-Versicherungsindex 2019.
Mit der Digitalisierung der Geschäftswelt steigt die Gefahr von Datenverlust. Besonders IT- oder Finanzdienstleistern stellt sich die Frage, ob ihre Daten und Hardware ausreichend gegen Schäden sowie Angriffe versichert sind.
barameefotolia/stock.adobe.com
Welche Risiken sollte eine IT-Versicherung decken? Laut aktuellem Hiscox IT-Versicherungsindex 2019 erwarten 78 Prozent der Kunden Schadenersatz, wenn ihr geistiges Eigentum verletzt wird. Auf Versicherungsschutz bei einem externen Cyber-Angriff setzen 72 Prozent. Und 84 Prozent erwarten Schutz bei einem Betriebsausfall durch einen Cyber-Angriff. Doch in ihren Annahmen steckt ein gefährlicher Irrtum: Dies kann nur eine spezielle Cyber-Versicherung abdecken.
Cyber-Komponente heute unerlässlich
Marc Thamm, Underwriting Manager Technology, Media & Communications bei Hiscox, erkennt in der Fehleinschätzung vieler Kunden eine wichtige Aufgabe der Versicherungswirtschaft in diesem Kontext: "Versicherer müssen noch viel Aufklärungsarbeit leisten, was eine IT-Versicherung von einer Cyber-Police abgrenzt und welche Schäden in welchem Versicherungsschutz gedeckt sind. In der Kundenwahrnehmung ist die Grenze zwischen klassischen IT-Haftpflichtschäden und Cyber-Schäden – ob selbst verursacht oder durch Dritte – fließend. Für einen vollumfänglichen Schutz ist der Abschluss einer ergänzenden Cyber-Komponente heute unerlässlich und Versicherer sollten verstärkt integrierte Angebote entwickeln."
Es gibt sehr unterschiedliche Gründe, weswegen IT-Dienstleistungsunternehmen auf Versicherungsschutz setzen. Ein Großteil der Kunden, das sind 90 Prozent, wollen sich gegen Schadenersatzansprüche absichern. Eine ähnlich hohe Zahl, 81 Prozent, möchte sich vor finanziellen Verlusten bei Schäden schützen. Interessant: 55 Prozent beruhigt ein Versicherungsschutz einfach.
Abschlüsse von IT-Versicherungen steigen
Der IT-Versicherungsindex untersucht die Bekanntheit, das Interesse an, die Nutzung sowie die beigemessene Relevanz von IT-Versicherungen für IT-Dienstleister. Der Versicherungsindex stieg im Vergleich zur Vorjahresbefragung um 3,5 Punkte auf 75,7 (Mittelwert auf einer Skala von 0 "keine Relevanz" bis 100 "maximale Relevanz"). Speziell unter den großen IT-Dienstleistern (200 bis 499 Mitarbeiter) hat die Bedeutung von IT-Versicherungen deutlich zugenommen. Der IT-Versicherungsindex stieg hier im Jahresvergleich um 8,7 Punkte auf 84,5.
Nach Aussage von Hiscox lässt die Studie auch erkennen, dass die Abschlusszahlen von IT-Versicherungen angestiegen sind. So besaßen im vergangenen Jahr 77 Prozent eine IT-Berufshaftpflicht, 2019 besitzen bereits 82 Prozent der Befragten eine solche Versicherung. Über eine IT-Betriebshaftpflicht verfügen hingegen nur 75 Prozent der IT-Dienstleister. Mit einer Versicherung von Elektronik- und Büroinhalt schützen 56 Prozent ihr Unternehmen, und 20 Prozent haben eine Versicherung gegen Cyber- und Datenrisiken.
Tiber-DE soll gegen Attacken auf das Deutsche Finanzsystem rüsten
Auch das Bundesministerium der Finanzen (BMF) und die Deutsche Bundesbank sehen die Gefahr für ihren Sektor, Opfer von Cyber-Angriffen zu werden immer deutlicher und reagieren. So haben sie gemeinschaftlich beschlossen, ein neues Programm aufzusetzen. Es heißt "Tiber-DE" und soll die Widerstandsfähigkeit des gesamten Finanzsystems gegen Cyber-Angriffe stärken.
Das Finanzsystem ist aufgrund seiner essenziellen Bedeutung für Gesellschaft und Realwirtschaft, seines hohen Vernetzungsgrades und des starken Einsatzes von Informationstechnologie Cyber-Risiken in besonderer Weise ausgesetzt. "Cyber-Risiken sind eine sich stetig wandelnde Bedrohung für den Finanzsektor. Wir brauchen deshalb innovative Verfahren wie Tiber, um die Gefahren effektiv zu bekämpfen", begründet Burkhard Balz, Vorstandsmitglied der Deutschen Bundesbank, diesen Schritt seines Unternehmens.
Mit Tiber-DE setzt die Bundesbank das von den Zentralbanken des ESZB ausgearbeitete "Rahmenwerk für bedrohungsgeleitete ethische Penetrationstests" (Tiber-EU, Threat-Intelligence Based Ethical Red Teaming) für Deutschland um. Der Rahmen für Tiber-DE wurde gemeinsam mit der Bundesagentur für Finanzdienstleistungsaufsicht (Bafin) und dem Bundesamt für Sicherheit in der Informationstechnik (BSI) ausgearbeitet.
Präventive Hackerangriffe gegen den Ernstfall
Künftig ermöglicht Tiber-DE Banken, Versicherern, Finanzmarktinfrastrukturen und deren wichtigsten Dienstleistern, ihre eigene Cyber-Abwehr auf den Prüfstand zu stellen. Das Procedere: Unter der Koordination der Deutschen Bundesbank werden ethische Hacker von interessierten Unternehmen beauftragt, die Sicherheitsmechanismen des Auftraggebers zu überwinden und in seine Informationssysteme einzudringen. Die Unternehmen können im Anschluss die Schwachstellen schließen und Präventivmaßnahmen gegen tatsächliche Hackerangriffe ergreifen.
Diese so genannten Tiber-Tests werden auch in anderen EU-Mitgliedsstaaten eingesetzt und grenzüberschreitend anerkannt. In Deutschland ist die Teilnahme an Tiber-Tests bislang noch freiwillig; Banken, Versicherer, Finanzmarktinfrastrukturen und deren wichtigste Dienstleister sollten aber schon aus Eigeninteresse einen Tiber-Test durchführen, um ihre Cyber-Abwehr auszubauen. Springer-Autor Stafano Marmonti rät Unternehmen und Organisationen in "Sicherheitsverstöße nicht unter den Teppich kehren" (Seite 47), sich offen über Art und Ausmaß von Cyber-Angriffen auszutauschen:
Es ist höchste Zeit, dass alle zusammenarbeiten und in Sachen Cyber-Sicherheit radikal umdenken sowie effektiver kommunizieren. Wenn in einer Organisation ein Sicherheitsverstoß auftritt, sollte dies schnellstens kundgetan werden. Nicht, weil es eine gesetzliche Pflicht ist, sondern weil dies das Richtige ist. Neue Vorschriften für den Austausch von Informationen hinsichtlich des Ausmaßes und der Art von Verstößen sind vonnöten. Wenn Cyber-Sicherheit über die äußere Schicht des Netzwerks hinausgeht, ist für alle Organisationen eine höhere Sicherheit gewährleistet."