Die Cyberbedrohung entwickelt sich rasant: Ein deutsches Unternehmen mit einer guten Risikoposition bei Vertragsabschluss kann wenige Tage oder Wochen später äußerst vulnerabel sein.
Daher ist es im besonderen Interesse des Versicherers, über die initiale Vertragsunterzeichnung hinaus die Versicherten kontinuierlich dabei zu unterstützen, ein adäquates Sicherheitsniveau aufrecht zu halten. So können sie das Risiko effektiv kontrollieren. Doch was kann ein Cyberversicherer wirklich schultern?
Die Komplexität dieser Aufgabe steigt insbesondere bei kleinen Unternehmen mit geringer Cyberreife. Sie haben jene Unterstützung am dringendsten nötig, während ihre durchschnittlichen Jahresprämien nur einige tausend Euro ausmachen. Um diesem Dilemma zu entkommen, sehen sich Versicherer häufig mit konkreten Fragen konfrontiert:
Einen Ansatz für den ersten Punkt zu finden, ist relativ simpel. Um den Versicherten im Falle einer Cyberattacke zu helfen, müssen zunächst die Abläufe eines Angriffs betrachtet werden, um für jede Phase einen Präventivschutz einzubetten.
Um bereits im Vorfeld effektiv anzusetzen, bieten Versicherer Unternehmen externe Scans an. Diese prüfen regelmäßig, ob die Kundeninfrastruktur aktuellen Schwachstellen ausgesetzt ist. Zur Minimierung des menschlichen Risikos können Versicherte Zugang zu Schulungsmodulen für ihre Mitarbeiter erhalten oder von Phishing-Simulationskampagnen profitieren, die eine fortlaufende Sensibilisierung gewährleisten. So sind die primären Angriffsvektoren umfassend abgesichert.
Für den Schutz im Falle eines erfolgreichen Angriffs sind ebenfalls vorbeugende Maßnahmen essenziell, um die Bewegungsfreiheit des Angreifers im Netzwerk einzuschränken. Versicherer helfen dabei, interne Konfigurationen zu überprüfen und zu optimieren – insbesondere bezüglich des Active Directory oder der Cloud-Umgebung.
Aber auch wenn der Versicherer all diese Anwendungen zur Verfügung hätte, bleibt immer noch die kniffligste Frage: Wie bringt man Unternehmen dazu, solche Maßnahmen zu ergreifen?
Ein Ansatz liegt auf der Hand: Automatisierte Tools, um technische Schwachstellen durch externe Scans in Echtzeit zu melden. Der konkrete Nutzen für Versicherte ist groß, während sich der Aufwand auf ein Minimum beschränkt, da keine Installationen erforderlich sind.
In nur einem Jahr konnten zum Beispiel wir bei Stoïk so über 10 Prozent unserer Versicherten über neue kritische externe Schwachstellen informieren, die schnell behoben werden konnten.
Der Nutzen weiterer Module ist ebenso unbestritten. Die Effektivität von Phishing-Simulationen ist vielfach belegt, und selbst geringfügige Änderungen in der internen Konfiguration können die Risikolage der Versicherten erheblich verbessern.
Die eigentliche Herausforderung liegt jedoch in der Implementierung: Diese setzt voraus, dass Versicherte bestimmte Zugriffsrechte auf ihre Daten (zum Beispiel Mitarbeiterinformationen, Cloud-Konfigurationen etc.) freigeben. Das lässt den Prozess komplexer werden und erfordert intensivere Überzeugungsarbeit.
Wir selbst haben uns für einen aktiven Ansatz entschieden und stellen unseren Versicherten sämtliche Tools gebündelt über unsere Stoïk-Protect-Plattform kostenfrei zur Verfügung. Um die Nutzungsraten zu steigern, haben wir die Implementierung bewusst nutzerfreundlich gestaltet und auf effiziente Anwendungsbereiche konzentriert.
Aktuell nutzen mehr als die Hälfte unserer Kunden das Phishing-Modul, und über 30 Prozent setzen unsere internen Scantools ein. Diese Zahlen unterstreichen das Interesse unserer Versicherten, sich gegen Cyberrisiken zu schützen – weit über ihre öffentlich zugänglichen Infrastrukturen hinaus.
Muss man Garantien anpassen, wenn erkannte Schwachstellen nicht behoben wurden? Oder sollte man alternativ die Selbstbeteiligung für jene senken, die ihre Ernsthaftigkeit unter Beweis stellen? Zweifellos müssten sich die Praktiken in diese Richtung entwickeln, doch der Markt zeigt sich aktuell noch zu wenig ausgereift, um solche weitreichenden Schritte zu vollziehen.