IT-Security & Cyber-Risk-Versicherung
Unternehmen gegen Hacker versichern
"Cyber-Versicherung kein Freifahrtschein"
Cyber-Risk-Versicherungen werden von verschiedenen IT-Sicherheitsexperten nicht nur positiv gesehen. Kritiker befürchten, dass sich Unternehmen zu sehr auf ihren Versicherungsschutz verlassen und IT-Sicherheitslücken nicht durch optimierte oder zusätzliche Security-Maßnahmen schließen, sondern einfach auf die Cyber Risk Insurance vertrauen. Mit diesem Verhalten wollen nicht nur Security-Verantwortliche aufräumen, indem sie erklären, dass eine Cyber-Versicherungspolice kein IT-Sicherheitskonzept darstellt.
Auch Versicherungsgesellschaften sehen ihre Produkte nicht als Security-Maßnahmen, sondern als Ergänzung der weiterhin zwingend erforderlichen IT-Security. "Eine Cyber-Versicherung ist selbstverständlich kein Freifahrtschein für den unbesorgten Umgang mit Daten. So sollten Versicherungsnehmer wöchentlich alle Daten sichern und das Backup prüfen. Darüber hinaus sollte eingesetzte Software regelmäßig aktualisiert werden. Auch eine aktuelle, professionelle Antivirensoftware ist unverzichtbar", so Dirk Kalinowski, Experte für IT- und Cyberversicherungen bei AXA.
Ein Blick in die Versicherungsbedingungen zeigt in der Regel schnell, dass Unternehmen als Versicherungsnehmer gewisse Pflichten in der IT-Sicherheit haben, um in den Genuss der Versicherungsleistungen zu kommen. Oftmals sind Security Reviews im Vorfeld des Versicherungsvertrages vorgesehen. Zudem kann der Nachweis vorhandener Security-Maßnahmen die Höhe der Versicherungsprämie senken.
Notwendiges Zusammenspiel zwischen Security, Risikomanagement und Cyber-Versicherung:
Gemeinsame Identifizierung der IT-Risiken, die durch Security-Maßnahmen angegangen werden können, und der Restrisiken, die versichert werden sollen
Prüfung der tatsächlichen Security-Situation (Security Risk Review)
Abgleich der vorhandenen Security mit den Pflichten des Versicherungsnehmers
Ergänzung fehlender Security-Maßnahmen, ggf. durch Security Services, die der Versicherer im Versicherungspaket mit anbietet
Prüfung, ob die Versicherungsprämie durch zusätzliche Security reduziert werden kann
Abgleich, welche IT-Risiken tatsächlich im Versicherungsumfang enthalten sind
Prüfung, wie die bestehende Versicherung angepasst werden kann, wenn neue Gefahren auftreten
Prüfung, wie die bestehende Versicherung angepasst werden kann, wenn neue Security-Lösungen eingesetzt werden