Um allerdings zu verstehen, wie eine Cyber-Versicherung in sich aufgebaut ist, ist es sinnvoll, zunächst einen Blick auf die Grundlagen des Risikomanagements zu werfen.

Anzeige

Das Risikomanagement – und was daraus zu lernen ist

Risikomanagement ist in Gänze ein recht komplexes Thema, zu dem zahlreiche Literatur vorzufinden ist. Ich möchte mich daher vornehmlich auf die Elemente konzentrieren, die für das richtige Verständnis einer Cyber-Versicherung hilfreich sind.

Das Unternehmensrisikomanagement umfasst die Auseinandersetzung mit verschiedenen Aspekten des Risikos, welches für ein bestimmtes Unternehmen besteht; seien es rechtliche, finanzielle, regulatorische oder operationelle Risiken – um nur einige zu nennen. Cyberrisiken fallen dabei häufig in die Kategorie der operationellen Risiken; aber auch andere Kategorien, z.B. rechtliche Risiken, sind betroffen. Man muss sich nur die großen veröffentlichten Datenverstöße in den Nachrichten dieser Tage ansehen, um das entsprechende Risiko zu erkennen.

Ähnlich wie bei andersartigen Risiken, ist es auch bei Cyberrisiken ratsam, diese nicht nur aus einer einmaligen, sondern vielmehr kontinuierlichen Perspektive zu betrachten. Dies führt zu dem bekannten Zyklus der Bestimmung einer aktuellen Risikohaltung durch die Betrachtung

  • a) der Wahrscheinlichkeit von Cyber-Bedrohungen und deren Auswirkungen sowie
  • b) der aktuellen Sicherheitsmaßnahmen.

Je nachdem, wie hoch die interne Risikobereitschaft angesiedelt ist, liegen bestimmte Risiken entsprechend über einem gewissen Grenzwert und müssen durch zusätzliche Kontrollen abgemildert werden. Sobald dieser Zyklus abgeschlossen ist, wird er fortlaufend ausgeübt. Es liegt jedoch in der Natur aller Risiken, dass sie kaum vollständig ausgemerzt werden können. Das heißt, es besteht immer ein Restrisiko. Und hier schließt sich der Kreis, denn: Dieses Restrisiko kann entweder akzeptiert, weiter gemindert oder aber auf einen Cyberversicherer übertragen werden. Einer der Hauptvorteile einer solchen Versicherung, insbesondere der Cyber-Versicherung, besteht darin, dass sich der Return-of-Investment durch immer mehr Kontrollen (sei es in Form von Technologie oder Personen) verringert und der Einsatz von Versicherungen zum Risikotransfer insgesamt zu einer größeren Risikominderung für ein Unternehmen führen kann.

Cyberrisiken unterscheiden sich von anderen versicherbaren Risiken

Weiterhin ist es wichtig zu verstehen, dass Cyberrisiken zwar jede Menge mit anderen, uns bekannten Risiken gemein haben, uns gleichwohl allerdings auch vor Herausforderungen stellen, in denen sie sich deutlich von anderen Risiken unterscheiden. So ist es einerseits schwierig, Cyberrisiken objektiv zu senken. Hierzu ein Beispiel: Startet man den Versuch, die Entstehung oder Ausbreitung von Bränden zu verhindern, kann man ganz bestimmte Dinge tun, um die Ausbruchwahrscheinlichkeit eines Brandes zu begrenzen – die Installation von feuerfesten Materialien, Sprinkleranlagen oder Brandschutztüren beispielsweise. Die Durchführung dieser Maßnahmen senkt in der Folge das Brandrisiko für das damit ausgestattete Gebäude. Werden also anschließend ähnliche Maßnahmen für andere Gebäude ergriffen, verringert sich auch hier die Brandgefahr. Es handelt sich bei der ersten Überlegung also um Sachgegenstände, deren Risiken ganz ohne Probleme objektiv eingeschätzt werden können.

Will man dieses Prinzip nun im Cyberraum anwenden, merkt man schnell: Dieses Konzept funktioniert hier nicht. Warum? Ganz einfach: Die Wahrscheinlichkeit, selbst Opfer eines (gezielten) Angriffs zu werden, hängt von mehreren Faktoren ab. Erstens von der eigenen Verteidigung und zweitens von der Verteidigungsqualität der Anderen, einschließlich der Organisationen, von denen Sie selbst wiederum abhängig sind (Outsourced Service Provider und Supply Chain Exposure). Hat ein Angreifer beispielsweise die Wahl zwischen mehreren Banken, könnte er diejenige wählen, die über die wenigsten oder am leichtesten zu überwindenden Sicherheitskontrollen verfügt. Und sitzen Sie nicht dem Trugschluss auf, dass Ihre Organisation in diesem Fall geschützt ist, nur weil Sie momentan umfassende Sicherheitskontrollen implementiert haben! Es geht darum, darüber nachzudenken, wie andere in Ihrer Peer Group geschützt sind: Sie können also was Cybersicherheit betrifft in eben dieser Peer Group führend sein. Sollten jedoch alle anderen in dieser Gruppe in zusätzliche Sicherheitskontrollen investiert haben, könnten Sie im Umkehrschluss zur einfachsten Zielscheibe werden.

Darüber hinaus – andererseits – stellt das sogenannte Paradigma des Assumed Breach eine einzigartige Wendung in der traditionellen Idee des Risikomanagements dar: Ist ein unerwünschtes Ereignis bereits eingetreten und wir wissen, dass diese Ereignisse regelmäßig auftreten können, besteht die Herausforderung darin, zu bestimmen, wie schädlich das Ereignis ist und wie man darauf zu reagieren hat. Die notwendigen Maßnahmen können von einer simplen Änderung der Firewall bis hin zu dem meist aufwändigen Versuch reichen, einen Datenklau oder eine Betriebsunterbrechung zu verhindern.

Last but not least unterscheiden sich Cybervorfälle besonders auch in ihrer Häufigkeit deutlich von anderen Risiken. Auch hier hilft ein Beispiel zum besseren Verständnis: Ein Gebäude kann in der Regel nur einmal abbrennen; und auch die Wahrscheinlichkeit, von einem Erdbeben oder einer Überschwemmung betroffen zu sein ist je nach Standort etwas deterministisch. Cyberrisiken aber wirken diesem Ansatz fast entgegen, basieren sie doch nicht auf äußeren Einflüssen, sondern sind schlussendlich vom Menschen verursachte Risiken. Aus diesem Grund ist die Suche nach Mustern in der Vergangenheit schlichtweg nur eingeschränkt in der Lage, zukünftige Ereignisse vorherzusagen.

Anzeige

Welches Sicherheitskonstrukt bietet also überhaupt eine passende Lösung für diese schier unzähmbaren Cyberrisiken? Dies wird Thema im zweiten Teil meines Beitrages sein, den Sie morgen beim Versicherungsboten lesen werden.