29. September 2022 Allgemein
Nur mehr Vorzeigekunden in der Sparte Cyber?
Steigende Mindestanforderungen in der Sparte Cyber sorgen für Probleme beim Abschluss von Cyberversicherungen.
Mehr Informationen +
Ein kürzlich veröffentlichter Artikel im Versicherungsmonitor (im Volltext kostenpflichtig) zeigt, wie sehr sich die Sparte Cyber in den letzten beiden Jahren verändert hat. Aufgrund steigender Schadens- und Kostenquoten zeichnen inzwischen nicht nur die AGCS, sondern zahlreiche weitere Versicherungsunternehmen die Sparte Cyber nur mehr, wenn die Antragssteller gewisse Kriterien erfüllen. In diesem Artikel möchten wir auf den Bereich Mindestanforderungen in der Cyber-Versicherung näher eingehen.
Mindestkriterien beim Versicherungs-Abschluss
Die jeweiligen Mindestkriterien des Versicherers müssen beim Versicherungsabschluss erfüllt werden – diese Mindestanforderungen dürfen zwischenzeitlich auch wirklich als solche bezeichnet werden, da diese von den Cyber-Anbietern auch rigoros durchgesetzt werden. Der Spielraum, welcher bis vor kurzem noch gewährt wurde, ist bei den meisten Anbietern nun nicht mehr vorhanden. Früher gewährte Fristen für die Umsetzung einzelner Maßnahmen waren in den letzten Jahren möglich, spielen aktuell aber keine Rolle mehr – auch weil die Nachverfolgung dieser Fristen praktisch kaum möglich ist.
Die Mindestkriterien der Versicherer unterscheiden sich jeweils, können jedoch grob in technische und organisatorische Anforderungen unterteilt werden:
Technische Anforderungen
Im Rahmen der Technik werden Anforderungen an das IT-System des Versicherungsnehmers formuliert – diese Anforderungen werden meist in den folgenden Bereichen gestellt:
- Qualität der Backuplösung (separiert, getestet)
- Vorhandene und qualitativ hochwertige Anti-Viren-Lösungen und End-Point-Protection
- Passwortsicherheit und Multi-Faktor-Authentifizierung
- Härtung von Admin-Accounts zur Verwaltung der IT
- Segmentierung von kritischen Netzwerkabschnitten (IT-OT)
Organisatorische Anforderungen
Ein nicht zu unterschätzender Teil der Anforderungen bezieht sich auf die Unternehmensorganisation und dort ablaufende Entscheidungs- und Managementprozesse – hier wird anhand der Mindestanforderungen festgelegt, dass IT-Sicherheit fix in der Führungsebene verankert sein muss und auch Prozesse, die die IT-Sicherheit gewährleisten sollen, vorhanden sind:
- Weiterbildungsangebot zu IT-Sicherheit
- Reaktionspläne für Sicherheitsvorfälle
- Patchmanagement
- externe Audits, Penetrationstests
- 4-Augen-Prinzip im Zahlungsverkehr
- schriftliche Anweisungen an die Mitarbeiter zu IT-Security-Themen
Die obigen Aufzählungen sind selbstverständlich nicht als vollständig anzusehen, geben aber einen Einblick, in welche Richtung die Anforderungen gehen. Auch variieren diese natürlich je nach Versicherer und Unternehmensgröße, was es auch gerade im Bereich der Anbietersuche sehr umständlich macht, da aktuell fast jeder Marktteilnehmer auf den eigenen Risikofragebogen besteht – über unsere Bestrebungen dahingehend etwas zu ändern, können Sie in diesem Artikel etwas lesen.
Nachholbedarf bei IT-Security
Auswertungen haben gezeigt, dass gerade im Bereich der KMUs großer Nachholbedarf hinsichtlich IT-Sicherheit besteht, im Besonderen in den Bereichen Netzwerksegmentierung, Patch-Management und Reaktionspläne für Cybervorfälle. Auch die Verankerung von IT-Security als feste Aufgabe im Management hat sich bei dem Großteil der Unternehmen bisher noch nicht durchgesetzt.
Dieser Nachholbedarf führt dazu, dass Kunden nicht oder nicht in dem Umfang wie gewünscht versichert werden können und es ist auch davon auszugehen, dass dieser Trend sich über die nächsten Jahre weiter verschärfen wird.
Ransomware als Kosten- und Prämientreiber
Hinzu kommt, dass auch die Prämien in der Cyberversicherung stark ansteigen – nicht nur Neukunden – auch gut aufgestellte Bestandskunden sind von diesen Preissteigerungen betroffen.
Argumentiert wird dies mit der starken Zunahme an Schadensfällen, insbesondere im Bereich Ransomware, welche ca. 80% der Schäden ausmachen. Während die Anzahl der Schäden von 2020 auf 2021 um das 4-fache zugenommen haben, stieg die Schadenssumme gar um das Siebenfache. Das erklärt auch den Anstieg der Schaden- und Kostenquote aller deutschen Cyberversicherer von 64% im Jahr 2020 auf 124% im Jahr 2021. AGCS stellt bei diesen Zahlen sogar einen Fortbestand der Sparte in Frage, wenn dieser Trend nicht gestoppt wird.
Die verschärfte Schadenssituation führt auch dazu, dass die vom Versicherungsnehmer beim Abschluss bzw. in der Verlängerung getätigten Antworten auf Risikofragen eingehend auf Ihren Wahrheitsgehalt geprüft werden. Da die Aufarbeitung eines Cyber-Schadensfalls fast immer durch IT-Forensiker erfolgt, werden fehlerhafte Angaben im Fragebogen jedenfalls offenkundig und sofern schadenskausal, steht auch die Versicherungsleistung auf dem Spiel.
Fazit
Gerade in der aktuellen Situation ist es für Unternehmen, die Cyberversicherungsschutz suchen, empfehlenswert, sich an spezialisierte Anbieter zu wenden. Der Markt ist aktuell undurchschaubar und ändert sich laufend. Auch gibt es vereinzelt noch Anbieter, die der Anforderungsspirale noch nicht vollumfänglich folgen – hier steht noch das Interesse an Neugeschäft im Vordergrund. Es ist jedoch auch hier abzusehen, dass die Anforderungen über kurz oder lang zunehmen werden. Als Bestandskunde ist man allerdings gegenüber Neukunden jedenfalls im Vorteil und profitiert in der Vertragsverlängerung meist von günstigeren Konditionen.
Gerne beraten wir auch Ihre Kunden in Bezug auf einen umfassenden Cyber-Schutz.
Mindestanforderungen
In der Sparte Cyber werden über Fragebögen oder technische Obliegenheiten dem Kunden technische und organisatorische Mindestanforderungen abverlangt. Wenn diese Anforderungen nicht erfüllt sind, kommt entweder kein Versicherungsvertrag zustande oder, im Falle der Nichterfüllung von technischen Obliegenheiten, führt es im Schadensfall zu Problemen. Diese Probleme im Schadensfall entstehen natürlich auch, wenn im Risikofragebogen unrichtige Antworten gegeben wurden (vorvertragliche Anzeigepflichtverletzung).
TEILEN SIE DEN ARTIKEL
Unsere Produkte
D&O
Für Unternehmen, Stiftungen, Vereine, einzelne Personen & D&O mit Strafrechtschutz
CYBER
Für Dienstleister & Gewerbe, Versicherungs-Vermitttler, Produktions-Unternehmen etc.
SPEZIAL STRAF-RECHTSSCHUTZ
Strafrechtsschutz, Manager-Rechtsschutz, Steuerberater & Wirtschaftsprüfer
CRIME
Finanzinstitutionen,
Kommerzielle Kunden
VERMÖGENSSCHADEN-HAFTPFLICHT
Finanzinstitute, Private Equity, Werbung & Medien etc.
Lesen Sie hier weiter
News
Ein perfekter Angriff: Wie ich fast mein GMail-Konto verloren hätte
Die Zeit, in der man Cyberkriminelle an schlechter Grammatik oder offensichtlichen technischen Fehlern erkennen konnte, ist vorbei. Die neue Generation von KI-gestützten Angriffen ist raffiniert, überzeugend und hochprofessionell.
WEITERLESEN
News
Der EU AI Act: Regulierung für Künstliche Intelligenz
Am 1. August 2024 trat der "AI Act" der Europäischen Union in Kraft.
WEITERLESEN
News
Fehleinschätzungen zu NIS2: Wie Unternehmen die Richtlinie unterschätzen!
Über die EU-Richtlinie NIS2 wurde in den letzten Monaten viel berichtet. Sie stellt viele Unternehmen vor große Herausforderungen und zahlreiche Fehleinschätzungen und Missverständnisse erschweren die effektive Umsetzung.
WEITERLESEN← ZURÜCK ZUR ÜBERSICHT
INFINCO FINANCIAL
LINES BROKERS
