Pfefferminzia
Anmelden
 
Gastbeitrag

Schnelle Risikoanalyse hilft Cyber-Policen auf die Sprünge

Die Gefahren durch Internetkriminalität nehmen zu, dennoch stockt das Geschäft mit Cyber-Policen. Mit ein Grund dafür ist die für Versicherungen aufwendige und für Kunden oft als intransparent empfundene Risikoeinschätzung. Automatisierte Rating-Tools können dieses Problem lösen, schreiben Matthias Müller und Sebastian Scholz von der Beratungsfirma PPI in ihrem Gastbeitrag.
© Bitcom, Center for Strategic and International Studies
Die Grafik zeigt: Cyber-Attacken sind eine Gefahr für die Wirtschaft.

Datendiebstahl, Sabotage oder Industriespionage – die Bedrohung aus dem Internet nimmt zu: Jedes zweite Unternehmen in Deutschland war zwischen 2015 und 2017 schon einmal Opfer eines Cyber-Angriffs. Das ermittelte eine gemeinsame Studie des Branchenverbands Bitkom und des Bundesamts für Verfassungsschutz. Systemausfälle und Betriebsunterbrechungen, Schadenersatzansprüche von Kunden und Kosten für Spezialanwälte können eine solche Attacke richtig teuer werden lassen.

Mehr zum Thema

Versicherungschefs fürchten sich vor Cyber-Attacken

Die Versicherungsbranche fürchtet die möglichen negativen Folgen der Digitalisierung. 53 Prozent der Verantwortlichen geben an,…

Gottvertrauen als wirksamer Schutz gegen Cyberkriminelle?

>> Hier finden Sie den Podcast: Ihr Browser unterstützt die direkte Wiedergabe leider nicht. Hier…

Makler wünschen sich mehr Einfachheit

Kleine und mittelständische Unternehmen (KMU) bilden das wirtschaftliche Rückgrat Deutschlands. Laut Bundeswirtschaftsministerium sind 99,6 Prozent…

Cyber-Versicherungen haben somit im gewerblichen Bereich großes Potenzial, doch noch ist der Markt für Policen überschaubar und das Prämienvolumen gering: Erst ein Drittel der deutschen Unternehmen hat überhaupt eine Versicherung gegen Cyber-Attacken abgeschlossen. Gerade kleine und mittlere Unternehmen (KMU) verlassen sich allzu oft auf ihren technischen Basisschutz und hoffen, mit Back-ups, Virenscannern und Firewalls schon auf der sicheren Seite zu sein.

Risikoeinschätzung mit Hürden

Ein Grund für die Zurückhaltung im Geschäft mit Cyber-Policen ist die für die Versicherungen anspruchsvolle und von Kunden oft als intransparent empfundene Risikoeinschätzung. Für Versicherer ist es sehr aufwendig, das Schadenrisiko objektiv zu beurteilen. Es gibt bislang nur wenig verlässliche Schadendaten als Kalkulationsgrundlage für Aktuare. Zugleich muss die Police individuell auf die Bedürfnisse und die Situation des jeweiligen Unternehmens angepasst sein. Alles zusammen treibt die Kosten für eine Risikoeinschätzung nach oben.

Derzeit nutzen Versicherer – gerade für die Risikoanalyse von KMU – umfangreiche Fragebögen. Diese können jedoch nur eine Basiseinschätzung liefern, da sie vor allem die Selbstwahrnehmung des Unternehmens wiedergeben und zudem fehleranfällig sind: Unvollständige oder unklare Angaben der Kunden, Verständnisprobleme und Rückfragen erhöhen Kosten, Dauer und Aufwand. Oft werden die Fragebögen kombiniert mit Risikodialogen, um den Stand der IT-Sicherheit im Unternehmen bewerten zu können.

IT-Audits oft zu zeit- und kostenintensiv

Viele Versicherer führen zudem Risikodialoge mit potenziellen Kunden, um so die notwendigen Informationen zur Bedeutung von IT-Anwendungen und über den Status der IT-Sicherheit im Unternehmen zu erhalten.

Ein weiteres Instrument sind IT-Audits. Diese bieten den Versicherungen zwar viel Risikotransparenz, sind jedoch zeit-, personal- und kostenintensiv. Für kleine Betriebe und Mittelständler mit Jahresumsätzen unter 10 Millionen Euro ist ein solches Verfahren schlicht nicht rentabel.

Digitalisierung als des Problems Lösung

Fragebogen, Dialog, Audit – die bisherigen Prozedere sind für KMU oft unzureichend: Gerade mittelständische Unternehmen sind mitunter zu groß, als dass ein simpler Fragebogen zur Risikoanalyse genügen könnte – aber wiederum nicht groß genug für ein ausführliches Audit. Versicherer brauchen somit eine effektive Möglichkeit, um IT-Risiken eines Unternehmens zeitnah und präzise bewerten zu können.

Einen möglichen Ausweg bietet die Digitalisierung. Sie macht ein vollautomatisiertes Echtzeit-Rating möglich, mit dem Versicherungen Cyber-Risiken von KMU schnell und zuverlässig einschätzen können – ohne dabei den Vertriebs- oder Antragsprozess in die Länge zu ziehen.

Wo setzt diese Methode auf? Die Grundlage für ein Online-Rating ist die Domain des potenziellen Kunden. Hier knüpft die Software an, sodass Versicherungen die mögliche Gefährdung für das Unternehmen direkt während des Antragsprozesses testen können. Das ist ganz einfach und dauert nur wenige Minuten: Das browserbasierte Ratingtool prüft und bewertet transparent, nachvollziehbar und fundiert die Risiken.

Ins Analyse-Ergebnis fließen auch Vorgaben von Branchenstandards wie BSI- oder VDS-Richtlinien und technische Empfehlungen ein. Der Trick dabei: Das digitale Analysetool untersucht aus Angreifer-Perspektive die IT-Infrastruktur. Vollautomatisch werden etwa Netzwerk-Traffic, Routing-Bereiche oder Server-Konfigurationen gecheckt. Dabei dringt die Software nicht in das System ein und erzeugt auch keine Rechenlast.

Sicherheitslücken werden sofort aufgedeckt

Im Ergebnis erhält der Underwriter eine Aufstellung mit allen Sicherheitslücken, zum Beispiel offene Ports, sichtbare Zugänge oder Mailverschlüsselungsverfahren. Die Analyse gibt auch eine Einschätzung zur Fähigkeit des Systems, sogenannten Distributed-Denial-of-Service (DDoS)-Angriffen zu widerstehen. Der Underwriter kann aufgrund der Daten die Risiken für jeweilige Versicherungspolice marktgerecht und individuell zeichnen.

Für die Versicherungen und die Kunden ergeben sich daraus Vorteile: Die Assekuranz kann die Konditionen der Cyber-Police anhand des Scorings nachvollziehbar darlegen. Gleichzeitig erhält das zu versichernde Unternehmen wertvolle Informationen über seine Sicherheitslücken, kann nachbessern und das Schadenrisiko verringern.

Regelmäßige Überprüfung der IT-Angreifbarkeit für Bestandskunden

Damit kann das Analyse-Tool durchaus auch für Bestandskunden genutzt werden – zum Beispiel als zusätzlicher Service. Versicherungen können bei und nach Abschluss einer Police regelmäßige Monitorings der IT-Angreifbarkeit und Cyber-Reports für Unternehmen anbieten. Das bedeutet hohen Nutzwert für den Kunden und ist zugleich vorteilhaft für die Combined Ratio.

Seit dem ersten Quartal 2018 nutzt etwa die Gothaer Allgemeine Versicherung ein vollautomatisiertes Echtzeit-Rating nach ausführlichen Pilottests im Livebetrieb. Die Kölner setzen dabei eine Software namens Cysmo ein. „Cyber-Risiken sind immer noch Neuland für die Versicherungswirtschaft. Wer hierbei in der Lage ist, die realen Risiken richtig zu erfassen und zu bewerten, verschafft sich die Basis für den Aufbau eines ertragreichen Portfolios“, sagt Frank Huy, Leiter Financial Lines bei der Gothaer. Die Software könne Versicherer bei diesem Prozess der Analyse und Bewertung von Cyber-Risiken unterstützen.

Über die Autoren

Matthias Müller ist beim Hamburger Softwarehaus PPI Mitglied der Geschäftsleitung für den Bereich Versicherungen. Sebastian Scholz ist bei PPI Senior-Manager im Bereich Consulting Versicherung unter anderem für das Geschäftsfeld Cyber verantwortlich.

PPI hat die Software Cysmo entwickelt. Hier gibt es weitere Informationen dazu. Wer Interesse an einem Whitepaper zum Thema „Cyber-Risiken effizient bewerten – Wie Versicherungen die Kalkulationsbasis zur Risikoermittlung verbessern“ hat, kann dieses hier kostenlos herunterladen.

Autor

Teilen:
Nicht verpassen!

Pfefferminzia.pro

Eine Plattform, die liefert: aktuelle Informationen, praktische Services und einen einzigartigen Content-Creator für Ihre Kundenkommunikation. Alles, was Ihren Vertriebsalltag leichter macht. Mit nur einem Login.

Jetzt anmelden

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Pfefferminzia
Pfefferminzia