IT-Security & Cyber-Risk-Versicherung

Unternehmen gegen Hacker versichern

"Cyber-Versicherung kein Freifahrtschein"

Cyber-Risk-Versicherungen werden von verschiedenen IT-Sicherheitsexperten nicht nur positiv gesehen. Kritiker befürchten, dass sich Unternehmen zu sehr auf ihren Versicherungsschutz verlassen und IT-Sicherheitslücken nicht durch optimierte oder zusätzliche Security-Maßnahmen schließen, sondern einfach auf die Cyber Risk Insurance vertrauen. Mit diesem Verhalten wollen nicht nur Security-Verantwortliche aufräumen, indem sie erklären, dass eine Cyber-Versicherungspolice kein IT-Sicherheitskonzept darstellt.

Auch Versicherungsgesellschaften sehen ihre Produkte nicht als Security-Maßnahmen, sondern als Ergänzung der weiterhin zwingend erforderlichen IT-Security. "Eine Cyber-Versicherung ist selbstverständlich kein Freifahrtschein für den unbesorgten Umgang mit Daten. So sollten Versicherungsnehmer wöchentlich alle Daten sichern und das Backup prüfen. Darüber hinaus sollte eingesetzte Software regelmäßig aktualisiert werden. Auch eine aktuelle, professionelle Antivirensoftware ist unverzichtbar", so Dirk Kalinowski, Experte für IT- und Cyberversicherungen bei AXA.

Ein Blick in die Versicherungsbedingungen zeigt in der Regel schnell, dass Unternehmen als Versicherungsnehmer gewisse Pflichten in der IT-Sicherheit haben, um in den Genuss der Versicherungsleistungen zu kommen. Oftmals sind Security Reviews im Vorfeld des Versicherungsvertrages vorgesehen. Zudem kann der Nachweis vorhandener Security-Maßnahmen die Höhe der Versicherungsprämie senken.

Unvollständige Security-Maßnahmen, wie sie zum Beispiel eine Bitkom-Studie offenbart hat, müssen durch zusätzliche Security ergänzt werden. Cyber-Risk-Versicherungen schließen solche Lücken nicht, sondern dienen der Absicherung von Restrisiken nach der Optimierung der IT-Security.
Unvollständige Security-Maßnahmen, wie sie zum Beispiel eine Bitkom-Studie offenbart hat, müssen durch zusätzliche Security ergänzt werden. Cyber-Risk-Versicherungen schließen solche Lücken nicht, sondern dienen der Absicherung von Restrisiken nach der Optimierung der IT-Security.
Foto: Bitkom

Notwendiges Zusammenspiel zwischen Security, Risikomanagement und Cyber-Versicherung:

  • Gemeinsame Identifizierung der IT-Risiken, die durch Security-Maßnahmen angegangen werden können, und der Restrisiken, die versichert werden sollen

  • Prüfung der tatsächlichen Security-Situation (Security Risk Review)

  • Abgleich der vorhandenen Security mit den Pflichten des Versicherungsnehmers

  • Ergänzung fehlender Security-Maßnahmen, ggf. durch Security Services, die der Versicherer im Versicherungspaket mit anbietet

  • Prüfung, ob die Versicherungsprämie durch zusätzliche Security reduziert werden kann

  • Abgleich, welche IT-Risiken tatsächlich im Versicherungsumfang enthalten sind

  • Prüfung, wie die bestehende Versicherung angepasst werden kann, wenn neue Gefahren auftreten

  • Prüfung, wie die bestehende Versicherung angepasst werden kann, wenn neue Security-Lösungen eingesetzt werden