Cyber-Versicherungen können Unternehmen nicht länger kaufen und dann vergessen. Da Ransomware, Phishing, Kompromittierung geschäftlicher E-Mails und KI-gestützte Angriffe immer häufiger auftreten, ändern Versicherer ihre Rolle. Sie zahlen nicht nur Ansprüche nach einem Vorfall. Sie entscheiden nun, ob eine Organisation überhaupt sicher genug ist, um sich zu versichern.
Die Lektion der Stadt Hamilton, Ontario, ist klar. Im Februar 2024 erlitt die Stadt einen Ransomware-Angriff, der die Dienste im gesamten Gemeindegebiet lahmlegte. Hamilton weigerte sich, das Lösegeld in Höhe von 18,5 Millionen US-Dollar zu zahlen und stellte wesentliche Dienste innerhalb von 48 Stunden wieder her, einige Systeme blieben jedoch wochenlang betroffen. Ein Jahr später lehnte der Cyber-Versicherer die Klage der Stadt ab, nachdem Ermittler herausgefunden hatten, dass mehrere Abteilungen keine Multi-Faktor-Authentifizierung für Mitarbeiter implementiert hatten, die auf interne Systeme zugreifen.
Dieses Detail war wichtig. In der Police hieß es Berichten zufolge, dass der Versicherungsschutz ungültig werden könne, wenn der Verstoß mit dem Fehlen grundlegender Sicherheitskontrollen, einschließlich MFA, zusammenhänge. Mit anderen Worten: Eine Versicherung ersetzte nicht die Sicherheit. Die Erfahrung der Stadt hat gezeigt, dass der Versicherungsschutz davon abhängt, ob eine Organisation nachweisen kann, dass sie die vom Versicherer geforderten Mindeststandards einhält.
Dies wird zum neuen Modell für Cyberversicherungen. Versicherer gehen vom passiven Underwriting zur aktiven Sicherheitsbewertung über. Sie möchten wissen, ob ein Unternehmen über MFA, Endpunkterkennung und -reaktion, Protokollierung, Patch-Fristen, getestete Backups, Segmentierung, Mitarbeiterschulung und Verfahren zur Reaktion auf Vorfälle verfügt. Ein Unternehmen, das diese Kontrollen nicht nachweisen kann, kann mit höheren Prämien, einer geringeren Deckung oder einer völligen Ablehnung rechnen.
Der Zeitpunkt ist kein Zufall. Cyberangriffe lassen sich immer leichter starten und schwerer eindämmen. Generative KI hat die Fähigkeitshürde für Angreifer gesenkt, Phishing-E-Mails überzeugender gemacht und größere Angriffe ermöglicht. Die Kompromittierung geschäftlicher E-Mails ist nach wie vor eine der häufigsten Schadensursachen, da sie sich gegen Menschen und nicht nur gegen Systeme richtet. Selbst Organisationen mit starken Perimeter-Tools können immer noch gefährdet sein, wenn Mitarbeiter ausgetrickst werden, Identitäten zu sehr vertraut werden oder Kontrollen inkonsistent angewendet werden.
Deshalb sind von Versicherern durchgeführte Audits jetzt wichtig. Sie zwingen Unternehmen dazu, Cybersicherheit als messbare Geschäftsanforderung zu betrachten. Sicherheitsteams müssen Kontrollen dokumentieren, nachweisen, dass Systeme überwacht werden, Übungen durchführen, Beweise für Verlängerungen aufbewahren und nachweisen, dass das Risiko reduziert wird. Das kann frustrierend sein, schafft aber auch Disziplin. Für viele Organisationen, insbesondere kleine und mittlere Unternehmen, können Versicherungsanforderungen der Auslöser dafür sein, dass grundlegende Kontrollen endlich finanziert und umgesetzt werden.
Firewalls bleiben wichtig, aber sie reichen nicht aus. Eine Firewall kann den Datenverkehr überwachen, verdächtige Zugriffe blockieren und die Gefährdung am Netzwerkrand verringern. Aber es kann das Risiko nicht beseitigen. Fehlkonfigurationen, gestohlene Zugangsdaten, Zero-Day-Schwachstellen, Angriffe auf die Lieferkette, Insider-Bedrohungen und menschliches Versagen können immer noch zu Verstößen führen. Selbst starke technische Abwehrmaßnahmen können den rechtlichen, finanziellen, betrieblichen und Reputationsschaden, der nach einem erfolgreichen Angriff entsteht, nicht automatisch abdecken.
Hier hat eine Cyberversicherung immer noch ihren Wert. Wenn eine Richtlinie reagiert, kann sie forensische Untersuchungen, Rechtsberatung, Unterstützung bei der Öffentlichkeitsarbeit, Lösegeldverhandlungen, Wiederherstellungsdienste und Verluste durch Betriebsunterbrechungen finanzieren. Versicherer bieten möglicherweise auch Zugang zu geprüften Partnern für die Reaktion auf Vorfälle, die viele Unternehmen in einer Krise nur schwer schnell finden könnten. Bei einem schwerwiegenden Verstoß kann diese Koordination Ausfallzeiten reduzieren und den Gesamtschaden begrenzen.
Unternehmen sollten jedoch nicht davon ausgehen, dass jede Forderung beglichen wird. Anspruchsablehnungen erfolgen häufig aufgrund falscher Angaben, Ausschlüssen, nicht offengelegter Risiken oder der Nichterfüllung der Versicherungsbedingungen. Wenn eine Organisation angibt, überall über MFA zu verfügen, dies aber nicht getan hat, oder behauptet, Backups getestet zu haben, die nie validiert wurden, kann der Versicherer den Anspruch anfechten. Die Police ist nicht mehr nur ein Finanzdokument. Es handelt sich um einen Sicherheitsvertrag.
Das allgemeinere Ergebnis ist, dass Versicherungsunternehmen zu informellen Regulierungsbehörden für Cybersicherheit werden. Sie legen durch Underwriting und Verlängerungen Mindeststandards fest, insbesondere für Unternehmen, denen ausgereifte Sicherheitsprogramme fehlen. Dies wird sich wahrscheinlich fortsetzen, da KI-gesteuerte Bedrohungen weiter zunehmen und Versicherer versuchen, ihr eigenes Risiko zu kontrollieren.
Cyber-Versicherungen sind immer noch wichtig. Aber es sollte als Teil einer Risikostrategie betrachtet werden und nicht als Ersatz für Sicherheit. Die Unternehmen, die am besten von einer Versicherung profitieren können, sind diejenigen, die nachweisen können, dass sie die Grundlagen beherrschen: Identitäten schützen, Systeme überwachen, schnell Patches installieren, Mitarbeiter schulen, kritische Daten sichern und ihre Reaktionspläne testen, bevor es Angreifer tun.
