Übersicht: Was Cyberversicherungen fordern

Für Cyberversicherungen ist das IT-Sicherheitsrisiko und das damit verbundene Schadenspotenzial die Geschäftsgrundlage. Ehe ihr Unternehmen eine Police erhält, wird es geprüft.

Der Gesamtverband der Versicherer (GdV) hat dazu einen Musterfragebogen zur Risikoerfassung produziert. Dieses Leitpapier, an dem sich Anbieter orientieren, adressiert wesentliche Punkte der Informationssicherheit, wie z.B.  

• Die Vergabe individueller Zugriffsrechte 
• Die Beschränkung von Administrationsrechten 
• Der Schutz von Servern und Mobilgeräten 
• Datensicherung 
• Patches und Updates 
• Mitarbeiterschulungen 
• Notfallpläne

Wie die kurze Liste zeigt, decken die Prüfungen durch die Cyber-Versicherer ebenso technische wie organisatorische Themen ab. Und gleichzeitig verdeutlicht die Praxis der Vorab-Prüfungen, dass die Vergabe von Versicherungspolicen für IT-Risiken bereits an ein Mindestmaß an etablierten Maßnahmen für IT-Sicherheit im Unternehmen geknüpft ist.

Wir haben den Musterfragebogen um andere Quellen ergänzt und zur IT-Security-Checkliste ausgebaut, die Sie sich jederzeit herunterladen können. Die Checkliste geht über das hinaus, was die meisten Versicherer abfragen werden - verdeutlicht aber den ganzheitlichen Ansatz, der für einen wirksamen Schutz der Unternehmens-IT aus unserer Erfahrung mit Unternehmen aus kritischen Branchen wie dem Bank- und Versicherungswesen heraus zu empfehlen ist für alle Unternehmen mit komplexer IT, die das Thema ernsthaft angehen möchten.

Neben der unternehmensindividuellen Prüfung über Fragebögen haben einige Anbieter von Cyberpolicen auch Belohnungssysteme installiert. So können kleine und mittelständische Unternehmen beispielsweise 10 Prozent Rabatt auf den Versicherungstarif erhalten (gesehen z.B. bei: Exali Cyber Versicherung; Stand April 2023), wenn die bereits etablierten Prozesse eine Zertifizierung durch Dritte erhalten haben. 

In diesem Feld hoch angesehen ist der ISO27001 Standard für Informationssicherheit, der die Planung, Implementierung und Überwachung von Sicherheitsmaßnahmen umfasst. Zu den Kernthemen gehören Risikomanagement, Zugangskontrolle, physische Sicherheit und die Kontinuität des Geschäftsbetriebs. Alle Maßnahmen sollen darauf abzielen, die Vertraulichkeit, Integrität und Verfügbarkeit von Daten bzw. Informationen sicherzustellen.

Die sich stetig ändernden Strategien der Angreifer und die Komplexität der Aufgabe, IT-Systeme wirksam zu schützen, machen ein Zusammenspiel der Akteure nötig. Als IT-Dienstleister mit Fokus auf Unternehmen in risikobehafteten Umfeldern gehen wir IT Security ganzheitlich an. Unser primäres Ziel ist es, unterbrechungsfreie Geschäftsabläufe zu unterstützen und die Resilienz unserer Kundenunternehmen zu maximieren.

Nicht nur die Angriffsmuster variieren, sondern auch die IT-Technologien und Plattformen entwickeln sich stetig. Zur Realität gehören heute Hybrid Cloud Ansätze, in denen Unternehmen die perfekte Balance zwischen Kosten, Effizienz und Sicherheit suchen. matrix technology hilft seinen Kunden dabei, die richtigen Plattformen je nach Schutzbedarf der Systeme und Daten auszuwählen und übergreifende Sicherheitslösungen zu etablieren.

Unsere Analyse der Debatten auf den Versicherungsmärkten hat ergeben, dass es auch für die Cyberversicherer eine Herausforderung ist, der Dynamik in stabilen Tarifmodellen und haltbaren Klauseln gerecht zu werden. Als IT-Dienstleister machen wir uns dafür stark, dass Unternehmen zuerst das Steuer in Form von gemanagten Informationsrisiken in der Hand halten, ehe eine Versicherungspolice zum Tragen kommt. Versicherbar ist aus dieser Haltung heraus vor allem das deutlich minimierte Restrisiko, dass trotz aller Vorkehrungen noch weiterbesteht.