Cyber(-risk)-Versicherungen: IT-Security ist das Abwägen von Kosten und Nutzen. Wo beginnst du?

Heute mal ein etwas anderes Thema. Ein Thema von enormer Bedeutung für den CIO im Allgemeinen und alle Verantwortlichen in Unternehmen im Besonderen. Es geht um das Thema Cybersicherheit bzw. -security. Und dies in einem engen Zusammenhang mit Ransomware mit Advanced Threat Protection und all den weiteren Themen im Security-Umfeld, die einem graue Haare wachsen lassen.

In anderen Worten: IT-Security und Cyber-Sicherheit sowie die damit verbundenen Herausforderungen sind ein rasch wachsendes Risiko für Unternehmen. Und das Risiko resultiert aus der zunehmenden Digitalisierung der Geschäftsprozesse, der immer unbedingteren Vernetzungen im Kontext von IoT sowie der zunehmenden Raffinesse und Perfektion bei Datenbetrug, Datendiebstahl und Cyber-Attacken. Wie hoch die Kosten bei solchen Angriffen oder Datenpannen sind, kann man etwa anhand der „Cost of Data Breach“-Studie 2017 des Ponemon Instituts in Zusammenarbeit mit IBM erfahren.

Einhundertprozentige Sicherheit der IT wird es nicht geben

Fakt ist, egal welche Schutzmaßnahmen getroffen werden: Eine einhundertprozentige Sicherheit wird es nicht geben. Warum? Weil einerseits das Wissen asymmetrisch verteilt ist und andererseits die Motivation und Mittel unendlich sind. Wie bitte – Geht das auch in anderen Worten? Klar: Auf der einen Seite sind die Verletzbarkeiten – die Angriffsvektoren – zu nennen. Also die Angriffsflächen. Sie sind nahezu unendlich. Und die Fragilität der digitalen Systeme, seien es Netzwerke, Geräte, Services oder beteiligte Menschen, kombiniert mit dem ständigen Drang zur Erneuerung, sorgt für permanent neue Risiken. Auf der anderen Seite sind die Bedrohungen bzw. Bedrohungsmotive. Hier sind primär Spionage, Terrorismus, Kriminalität, Hacktivism sowie Aktivitäten von Regierungen zu nennen. Diese Motive sind mit Mitteln und Motivation ausgestattet, die unendlich sind (Das IBM X-Force Team analysiert zum Beispiel diese Bedrohungen regelmäßig und stellen dazu Lösungsansätze bereit). Also: Die Breite an Bedrohungen in Kombination mit der Masse an Verletzbarkeit führt dazu, dass es keine allumfassende Sicherheit der Unternehmens-IT geben kann.

Vom Grenznutzen der Investitionen in IT-Sicherheit

Wird der beschriebene Sachverhalt aus den dargelegten oder weiteren, nicht erwähnten Gründen als richtig eingestuft, wird klar, dass der Nutzen von Investitionen in IT-Sicherheit mit jedem weiteren investierten Euro abnimmt. Zur Erklärung einen kurzen Exkurs: Das ist wie mit dem Wanderer, der auf die Alm steigt: Nach der langen Wanderung und mit großem Durst dort angekommen, hat das erste Bier einen sehr hohen Nutzen. Es löscht den ersten Durst und versöhnt mit den Anstrengungen. Hat der Wanderer noch immer Durst, trinkt er ein weiteres Bier, das den Durst weiter stillt. Mit dem siebten oder neunten getrunkenen Bier sinkt der Nutzen des Durststillens allerdings gegen null und bei nicht trinkfesten Wanderern tritt unter Umständen ein negativer Effekt ein: ihnen wird schlecht. Kurz: Das war die Geschichte vom Grenznutzen; und negativen Effekten.

Was soll die lange Rede? Der Versuch, Sicherheitsreserven im Unternehmen durch weitere Investitionen oder die Optimierung von Prozessen zu erzielen, lässt sich nur bis an eine gewisse Grenze treiben. Danach treten negative Effekte ein; exemplarisch schlechte Usability oder ungeeignete Performance der Systeme (=negativer Effekt).

Aus diesem und weiteren Gründen ist es wichtig, die richtigen, nämlich zukunftsfähigen Security-Systeme einzuführen; im Einklang mit den Anforderungen des Tagesgeschäfts.

Was soll das?

Du wirst jetzt sagen, das sei interessant, nütze dir aber in deinem Alltag nichts. Ja, das kannst du so sehen, musst du aber nicht. Denn es handelt sich um eine entscheidende Erkenntnis, die du als CIO mit dem Team oder mit Kollegen der Unternehmensführung diskutieren kannst; und musst!

Die Erkenntnis, dass es keine einhundertprozentige Sicherheit gibt, dass deine Investitionen mit zunehmender Höhe weniger Nutzen bringen, ist Gold wert. Hinzu kommt das Wissen, dass die Gefahr dennoch vorhanden ist. Also nur wegen deiner Aktivitäten wird sich die Gefahr nicht verringern – das Risiko nicht gegen null laufen. In anderen Worten: Während der Nutzen von Investitionen in IT-Security (im weitesten Sinne) mit ihrer Zunahme, also zusätzlichen Ausgaben, gegen null läuft, strebt das Risiko eindeutig nicht gegen null, sondern verharrt bei 10, 20 oder 30 Prozent.

Diese Erkenntnisse führen dazu, dass du in andere Bereiche investieren musst.

Die Antwort: Risktransfer – das Risiko verlagern

Ein Risiko, das du nicht beherrschen kannst, lagerst du aus; an einen, der es kann oder der es sozialisiert. Bitte anders erklären! Okay hier ein Beispiel: Da du nicht weißt, ob du morgen einen Unfall hast, durch den du einen Schaden oder sogar eine Berufsunfähigkeit davonträgst, schließt du eine Unfall-, Berufsunfähigkeits- oder meinetwegen auch eine Dread-Disease-Versicherung ab. Du verlagerst also das Risiko.

Genauso muss auch deine Strategie im Bereich IT-Security aussehen: Du verlagerst das Risiko, das du nicht managen kannst – bzw. zu einem bestimmten Zeitpunkt nicht managen kannst. Du schließt also eine Versicherung gegen Bedrohungen und Verletzbarkeiten ab.

Cyber(-risk)-Versicherungen

Der Markt für Cyber-Versicherungen ist relativ jung. Nach ersten Analysen von Avispador sind derzeit weltweit zwischen 60 und 70 Versicherer bzw. Syndikate im Cyber-Versicherungsmarkt tätig; mit teils deutlich abweichenden Versicherungswerken. Da sind die üblichen Verdächtigen wie Ergo, Axa, Zurich, Swiss Re, AIG & Co. Aber natürlich zunehmend auch R+V, die Sparkassenversicherung oder die Munich Re.

Unser Research lässt momentan noch keine Rückschlüsse auf das Volumen bzw. die Anzahl der abgeschlossenen Verträge zu. Wir gehen aber davon aus, dass exemplarisch das Neugeschäft in Deutschland bei kleinen mittelständischen und mittelständischen Unternehmen im Jahr/pro Jahr in einem niedrigen dreistelligen Rahmen liegen wird (= Anzahl an Neuverträgen). Was nach meiner Ansicht an drei Faktoren liegt: Erstens am Nichtwissen über die Optionen, zweitens an den langen Zyklen von Prüfung über Planung bis zum Abschluss und drittens an der mangelnden strategischen Würdigung.

Kurzabriss Cyber(-risk)-Versicherungen

Klassische Versicherungen, wie exemplarisch die Bertriebshaftpflicht, decken Cyber-Kriminalität häufig nicht oder nicht ausreichend ab. Cyberrisk-Versicherungen bieten in diesem Umfeld einen ganzheitlicheren Schutz. So deckt in der Regel eine Betriebshaftpflichtversicherung Ansprüche bei Verletzungen geistigen Eigentums oder bei Persönlichkeitsrechtsverletzung resultierend aus Cyber-Angriffen nicht oder nicht umfänglich ab. Ähnliches ist bei D&O- oder Rechtsschutzversicherungen zu erkennen: Diese decken Ordnungsgelder oder Strafen oft nur in Teilen oder bei erweiterten Deckungskonzepten ab. Für Schäden aus Erpressung bzw. Bedrohung, der Wiederherstellung von Daten, Kosten der Betriebsunterbrechung und, und, und fehlen in den Unternehmen oft die Versicherungen – bzw. die Risiken sind nicht abgedeckt.

Langer Rede kurzer Sinn: Traditionelle Policen, zum Beispiel aus den Bereichen Vermögensschaden und Betriebsausfall, mit Eigentumsdelikten oder Diebstahl, mit materialisierten Schäden mit Verlust und ggf. Vorsatz, Haftpflichtversicherungen, Technik-, Elektronik-, Media-, Telekom- oder Errors & Omissions-Versicherungen (Vermögensschäden aus dem operativen Geschäft etc.) decken „traditionelle“ Risiken ab: wie erwähnt Diebstahl, aber auch Persönlichkeitsrechts- oder Urheberrechtsverletzungen.

Cyberrisk-Versicherungen, exemplarisch eine Datenschutzversicherung (unbeabsichtigte Offenlegung von Daten, Datenschutzverstoß etc.), Risikominderungsversicherung (Strafzahlungen, Meldekosten, Abwehr von Forderungen etc.) oder First-Party-Versicherungen (für/gegen Betriebskostenstörung, Entführungskosten, Erpressungskosten etc.) bedienen konkret die Bedarfe, die durch digitale Bedrohungsszenarien entstehen.

Dabei muss klar sein: Cyberrisk-Versicherungen sind keine „All-Risk-Abdeckung“. Grundsätzlich decken die einzelnen Policen/Versicherungen Eigenschäden, Drittschäden, Service-, Assistance- und weitere Leistungsinhalte ab. Es werden also Schadensersatzansprüche Dritter, Ertragsausfall, anwaltliche Betreuung, Kosten für forensische Untersuchungen, Wiederherstellungskosten, Erpressungskosten, Benachrichtigungskosten, Diebstahl von Werten oder auch Kosten für PR-Beratung regelmäßig gedeckt. Darüber hinaus unterscheiden sich die „traditionellen“ Versicherungen von den Cyber-Policen in der Art und Weise, wie der Versicherungsschutz greift; also welche Grundlage für Schadenerfordernis, Deckung etc. erforderlich sind.

Nochmals anders formuliert: Die sicherlich in deinem Unternehmen vorhandenen Haftpflicht- und Vertrauensschadenversicherungen bieten unter Umständen eine erste Grundlage, um die Risiken/Gefahren aus Cyber-Angriffen zu decken. Auch Sach- und Ertragsausfallversicherungen bieten regelmäßig grundsätzlich Versicherungsschutz gegen „Cyber“-verursachte Sach- und Kostenschäden respektive gegen sachschadengebundene Ertragsausfälle. Allerdings scheitert ein valider, probater, umfassender Versicherungsschutz regelmäßig – wenn nicht sogar meist – an Abgrenzungen des Risikos im Versicherungswerk, an Deckungsauschlüssen und eben der erwähnten Sachschadenerfordernis.

Nun wirst du als CIO, IT-Leiter oder Verantwortlicher für IT-Security kein Versicherungsexperte sein. Musst du auch nicht. Folgende Vorschläge:

  1. Informiere dich bei den Verantwortlichen in deinem Unternehmen über vorhandene Verträge und Leistungen.
  2. Siehe nächster Abschnitt.

Cyber-Versicherungen im Kontext der Security-Strategie

Cyber(-risk)-Versicherungen sind aus meiner Sicht ein zwingender Bestandteil einer Security-Strategie in mittelständischen Unternehmen, Großunternehmen und Konzernen. Aber auch kleine mittelständische Unternehmen, exemplarisch Onlinehändler, profitieren von solchen Formen der Absicherung.

Hierzu gilt es, den optimalen Punkt zwischen gemanagtem und transformiertem Risiko zu finden; quasi den ganz individuellen Security-Break-even-Point für dein Unternehmen. Der Punkt, an dem die Investitionen in Security einen relevanten zusätzlichen Nutzen bringen und die Ausgaben für Versicherungen so hoch oder so niedrig sind, um das Restrisiko abzudecken. Dies ist auch wichtig: Die Kosten für die Versicherungen hängen vom IT-Sicherheitsniveau ab. Also je schwächer/schlechter die IT-Security-Konzepte sind, desto teurer die Versicherung – und umgekehrt. Es ist also ein Abwägen von Kosten und Nutzen auf unterschiedlichen Dimensionen

Zweite Abstraktionsebene:

Ergänzend dazu gilt: Der Security-Break-even liegt (auf einer zweiten Abstraktionsebene) da, wo Investitionen in Security(-Lösungen/-Services) einen relevanten zusätzlichen Nutzen bringen und/oder (gleichzeitig oder ausschließlich) die Kosten für das Hedging des Risikos hierdurch reduziert werden. Im Kontext hierzu: Generell ist Hedging des Risikos als unwirtschaftlich anzusehen, wenn die zusätzlichen (Ver-)Sicherungskosten höher sind als die dem abzusichernden Risiko zugrunde liegende reale Gefahr und/oder die technische Sicherung es wäre.

Dabei gilt: Grundsätzliches Ziel ist es, die Gesamtkosten (Ausgaben) für IT-Security zu optimieren und das reale und abstrakte Risiko zu minimieren. Ausgangspunkt ist dabei entweder ein gegebenes Budget oder ein gewünschtes Sicherheitslevel (respektive Rest-Risiko-Level).

Fazit, Empfehlungen und was bleibt

Wie ist die Lage?

  • Unternehmen, deren Führungsmannschaft, haften (nicht nur) für Sachschäden, die sie anderen zufügen, auch infolge technischen Versagens der IT.
  • Etablierte Security-Konzepte oder Qualitätssicherungsmethoden laufen bei vernetzten IT-Systemen und Cloud-Anwendungen oft ins Leere.
  • Rechtliche Vorgaben für die IT-Sicherheit werden immer vollumfassender: Egal ob Meldepflichten, erweiterte Überwachungen oder branchenspezifsche Standards.
  • Haftung aus Straftaten mit IT-Bezug, beruhend auf Cyberangriffen, exemplarisch durch Spoofing (Datenveränderung (§ 303a StGB) bzw. Fälschung beweiserheblicher Daten (§ 269 StGB)), Phishing oder Pharming sind real.
  • Und
  • Viel
  • Mehr!

Die Sachlage ist klar. Die Rahmenparameter sind es auch. Nun ist Handeln gefragt. Egal ob deine Strategie „Cover my ass“ oder ganzheitlich ist. Cyber(-risk)-Versicherungen sind eine Sache, mit der du dich als CIO beschäftigen musst. Jetzt musst du kein Versicherungsexperte sein – oder werden. Und ich würde mir als IT-Verantwortlicher auch die Nummer mit den Vertragsprüfungen selbst nicht ans Bein binden wollen. Aber ich würde das Element „Versicherung“ in meine Aktivitäten einbinden, und das schnell. Umfassend. Zentral. Durch Kommunikation innerhalb deiner Organisation, exemplarisch an deinen „Vorgesetzten“ verlagerst du dein persönliches Risiko. Beispiel: Wenn du als CIO einem CFO unterstellt bist, dann arbeite zum Beispiel mit einem Risiko-Chart. Drei Topics; diverse Varianten: Investitionen/Ausgaben in IT-Security, pot. Rückstellungen für Schadensfälle (durch nicht ausreichenden Schutz), Ausgaben für Versicherungen. (Anmerkung: Mach es zu seinem Problem),

Klar sollte sein: Eine Cyber-Versicherung bietet keinen Schutz vor Angriffen auf das Unternehmen bzw. die digitalen Systeme – die IT, macht die Folgen aber beherrschbarer. Erleichtert dir dein Leben als IT-Verantwortlicher. Solche Versicherungen sorgen dafür, dass du kurzfristig identifizierte Risiken abdecken kannst; exemplarisch für die Zeit eines Migrations- oder Integrationsprojekts.

Bedingt durch eine sich permanent ändernde Risikolage, also die Kombination aus IT-Ausstattung und Angriffsszenarien, ist eine Cyber-Versicherung ständig an die eigene Istsituation und die digitale Zielsituation des Unternehmens anzupassen; und zwar unter Berücksichtigung des Versicherungsmarktstandards.

(Axel Oppermann)

 

2 Kommentare

Kommentar verfassen