Welche Risiken sollte eine IT-Versicherung decken? 78 Prozent der Kunden erwarten Schadenersatz, wenn ihr geistiges Eigentum verletzt wird, 72 Prozent setzen auf Versicherungsschutz bei einem externen Cyber Angriff. Und 84 Prozent erwarten Schutz bei einem Betriebsausfall durch einen Cyber-Angriff. Doch dies ist ein gefährlicher Irrtum: Dies kann nur eine spezielle Cyber-Versicherung abdecken. Dies verdeutlicht der aktuelle "Hiscox IT-Versicherungsindex 2019".
Viele Versicherungsnehmer haben immer noch recht unklare Vorstellungen darüber, was eine IT-Versicherung leistet und was nicht. Das offenbart der Hiscox IT-Versicherungsindex 2019. In vielen Fällen setzen sie auf eine IT-Versicherung, obwohl sie für ihre spezielle Situation und ihre besondere Gefährdungslage eine Cyber-Versicherung besitzen müssten.
Ergänzenden Cyber-Komponente heute unerlässlich
Marc Thamm, Underwriting Manager Technology, Media & Communications bei Hiscox, kommentiert die Fehleinschätzung vieler Kunden und die Aufgabe der Versicherungswirtschaft in diesem Kontext folgendermaßen:
„Versicherer müssen noch viel Aufklärungsarbeit leisten, was eine IT-Versicherung von einer Cyber-Police abgrenzt und welche Schäden in welchem Versicherungsschutz gedeckt sind. In der Kundenwahrnehmung ist die Grenze zwischen klassischen IT-Haftpflichtschäden und Cyber-Schäden – ob selbst verursacht oder durch Dritte – fließend. Für einen vollumfänglichen Schutz ist der Abschluss einer ergänzenden Cyber-Komponente heute unerlässlich und Versicherer sollten verstärkt integrierte Angebote entwickeln “.
Es gibt sehr unterschiedliche Gründe, weswegen IT-Dienstleister auf Versicherungsschutz setzen. Ein Großteil der Kunden, das sind 90 Prozent, wollen sich gegen Schadenersatzansprüche absichern. Eine ähnlich hohe Zahl, 81 Prozent, möchte sich vor finanziellen Verlusten bei Schäden schützen. Interessant: 55 Prozent beruhigt ein Versicherungsschutz einfach.
Was der IT-Versichungsindex leistet und untersucht
Der IT-Versicherungsindex untersucht die Bekanntheit, das Interesse an, die Nutzung sowie die beigemessene Relevanz von IT-Versicherungen für IT-Dienstleister. Der Versicherungsindex stieg im Vergleich zur Vorjahresbefragung um 3,5 Punkte auf 75,7 (Mittelwert auf einer Skala von 0 „keine Relevanz“ bis 100 „maximale Relevanz“). Speziell unter den großen IT-Dienstleistern (200 bis 499 Mitarbeiter) hat die Bedeutung von IT-Versicherungen deutlich zugenommen. Der IT-Versicherungsindex stieg hier im Jahresvergleich um 8,7 Punkte auf 84,5.
Nach Aussage von Hiscox lässt die Studie auch erkennen, dass die Abschlusszahlen von IT-Versicherungen angestiegen sind. So besaßen im vergangenen Jahr 77 Prozent eine IT-Berufshaftpflicht, 2019 besitzen bereits 82 Prozent der Befragten eine solche Versicherung. Über eine IT-Betriebshaftpflicht verfügen hingegen nur 75 Prozent der IT-Dienstleister. 56 Prozent schützen ihr Unternehmen mit einer Versicherung von Elektronik- und Büroinhalt und 20 Prozent haben eine Versicherung gegen Cyber- und Datenrisiken.
Deutsches Finanzsystem mit Tiber-DE widerstandsfähiger machen
Auch das Bundesministerium der Finanzen (BMF) und die Deutsche Bundesbank sehen die Gefahr für ihre Branche und ihren Sektor, Opfer von Cyber-Angriffen zu werden immer deutlicher und reagieren. So haben sie gemeinschaftlich beschlossen ein neues Programm aufzusetzen. Dieses heißt„Tiber-DE“. Dieses soll die Widerstandsfähigkeit des gesamten Finanzsystems gegen Cyber-Angriffe stärken.
Das Finanzsystem ist aufgrund seiner essenziellen Bedeutung für Gesellschaft und Realwirtschaft, seines hohen Vernetzungsgrades und des starken Einsatzes von Informationstechnologie Cyber-Risiken in besonderer Weise ausgesetzt.
Innovative Verfahren nötig, um System zu schützen
„Cyber-Risiken sind eine sich stetig wandelnde Bedrohung für den Finanzsektor. Wir brauchen deshalb innovative Verfahren wie Tiber, um die Gefahren effektiv zu bekämpfen“, begründet Burkhard Balz, Vorstandsmitglied der Deutschen Bundesbank, diesen Schritt seines Unternehmens.
Mit Tiber-DE setzt die Bundesbank das von den Zentralbanken des ESZB ausgearbeitete „Rahmenwerk für bedrohungsgeleitete ethische Penetrationstests“ (Tiber-EU, Threat-Intelligence Based Ethical Red Teaming) für Deutschland um. Der Rahmen für Tiber-DE wurde gemeinsam mit der Bundesagentur für Finanzdienstleistungsaufsicht (Bafin) und dem Bundesamt für Sicherheit in der Informationstechnik (BSI) ausgearbeitet.
Präventivmaßnahmen gegen tatsächliche Hackerangriffe ergreifen
Mit Tiber-DE können Banken, Versicherer, Finanzmarktinfrastrukturen und deren wichtigste Dienstleister künftig ihre eigene Cyber-Abwehr auf den Prüfstand stellen. Das Procedere: Unter der Koordination der Deutschen Bundesbank werden ethische Hacker von interessierten Unternehmen beauftragt, die Sicherheitsmechanismen des Auftraggebers zu überwinden und in seine Informationssysteme einzudringen. Die Unternehmen können im Anschluss die Schwachstellen schließen und Präventivmaßnahmen gegen tatsächliche Hackerangriffe ergreifen.
Diese so genannten Tiber-Tests werden auch in anderen EU-Mitgliedsstaaten eingesetzt und grenzüberschreitend anerkannt. In Deutschland ist die Teilnahme an Tiber-Tests bislang noch freiwillig; Banken, Versicherer, Finanzmarktinfrastrukturen und deren wichtigste Dienstleister sollten aber schon aus Eigeninteresse einen Tiber-Test durchführen, um ihre Cyber-Abwehr auszubauen.
Quellen: Bundesministerium der Finanzen, Hiscox
Autor(en): Meris Neininger