Cyber-Versicherungen: Modellierung von Cyber-Risiken

Cyber-Versicherungen: Modellierung von Cyber-Risiken

Um einen Einstieg in häufig komplexe Analyseprozesse zu erleichtern, empfiehlt sich eine Analyse der vorhandenen technischen und organisatorischen Informationssicherheitsmaßnahmen sowie der Gefährdungen, welche die Informationssicherheit bedrohen.

von Thomas Pache und Philipp Seebohm

Obwohl die Versicherungsprämien für Cyber-Versicherungen seit Ende 2019 stark gestiegen sind und die Versicherungskapazitäten wesentlich reduziert wurden, wächst der Bedarf an Cyber-Versicherungen bei vielen Unternehmen weiterhin. Insbesondere in dieser „harten“ Marktphase ist eine passgenaue und maßgeschneiderte Versicherungslösung wichtig, um ein adäquates und risikogerechtes Preis-Leistungsverhältnis zu erhalten. Die entscheidende Grundlage hierfür liefert eine qualitative und quantitative Cyber-Risiko-Analyse. Diese ist jedoch nicht nur für den Risikotransfer durch eine Cyber-Versicherung sinnvoll, sondern liefert auch angesichts von steigenden Cyber-Vorfällen und Schäden einen Nachweis zur ordentlichen Geschäftsführung.

Um den Einstieg in häufig komplexe Analyseprozesse zu erleichtern, empfiehlt sich eine Analyse der vorhandenen technischen und organisatorischen Informationssicherheitsmaßnahmen sowie der Gefährdungen, welche die Informationssicherheit bedrohen. Für viele Unternehmen ist in dieser Analysephase besonders interessant, welche Informationssicherheitsmaßnahmen vergleichbare Unternehmen implementiert haben und welchen Gefährdungen vergleichbare Unternehmen als kritisch eingestuft haben. Um Unternehmen hierbei zu unterstützen, hat Aon Cyber Solutions mit CyQU ein webbasiertes Analysetool entwickelt, welches die implementiertentechnischen und organisatorischen Maßnahmen eines Unternehmens unter Beachtung gängiger Sicherheitsstandards  wie ISO 27001 und des NIST Cyber-Security Frameworks bewertet. Parallel dazu wird ein Benchmark zu vergleichbaren Unternehmen berechnet. Sobald die implementierten Informationssicherheitsmaßnahmen bewertet wurden, kann ein fachkundiger Versicherungsmakler oder Berater potenzielle Hindernisse in der Versicherungsausschreibung benennen. Hierbei lassen sich regelmäßig einfache Maßnahmen identifizieren, welche jedoch wesentlichen Einfluss auf die Versicherungsprämie haben können.

Um das Risikoprofil des Unternehmens weiter zu schärfen, empfiehlt sich in einer zweiten Analysephase die Quantifizierung des versicherbaren und des nicht versicherbaren Informationssicherheitsrisikos. Saisonal bedingte Umsatzschwankungen, Wiederanlaufgeschwindigkeiten in der Wertschöpfungskette oder andere zuvor erkannte Sachverhalte, welche die Auswirkungen eines Cyber-Vorfalls verstärken oder mindern können, werden bei der Quantifizierung berücksichtigt. Dadurch lassen sich konkrete und realistische Schadenszenarien definieren und beziffern.

Bei Betrachtung dieser Szenarien lassen sich nicht nur das versicherbare und das nicht versicherbare Informationssicherheitsrisiko berechnen, darüber hinaus kann der ROSI (Return on Security Investment) von einzelnen zusätzlichen Informationssicherheitsmaßnahmen berechnet werden.

Durch die Quantifizierung des versicherbaren Informationssicherheitsrisikos kann eine Über- und Unterversicherung vermieden und der Einkauf einer risikogerechten Versicherungssumme sichergestellt werden. Identifizierte Risiken, welche sich nicht über eine Cyber-Versicherung absichern lassen, kann mit anderen Versicherungssparten, Absicherungsformen (Risikotransfer über Captives) oder Risikominderung durch Ausweitung von Informationssicherheitsmaßnahmen begegnet werden.

Abschließend lässt sich feststellen, dass auch der Risikotransfer von Cyber-Risiken mittels Versicherungen einen mehrseitigen Ansatz erfordert, um der verschärften Lage in der Informationssicherheit und am Versicherungsmarkt Rechnung zu tragen.

www.aon.de

Thomas Pache, Head of Cyber DACH, Aon Holding Deutschland GmbH
Philipp Seebohm, Head of Sales Cyber DACH, Aon Holding Deutschland GmbH

Das aktuelle Handelsblatt Journal

Mehr erfahren
Tags: ,