27. August 2021

Versicherungen gegen Cyberrisiken – das sollten Unternehmen dazu wissen

Cyberrisiken sind ein stark wachsendes Geschäftsfeld für Versicherungen. Hackerangriffe führen aber auch zu hohen Schadenfällen. Was bedeutet dies nun?

Cybercrime ist in aller Munde. Unternehmen und Versicherungen beissen sich am Thema die Zähne aus. Die Schadensfälle nehmen zu, und die Prämien steigen. Die Einhaltung von Vorgaben zum Thema Cybersicherheit kann aber auch zu besseren Konditionen bei Versicherungen führen.

Wie reagiert der Markt darauf? Was müssen Unternehmen wissen, bevor sie eine Versicherung gegen Cyberrisiken abschliessen? Und lohnt sich das überhaupt? In einem Webinar sind wir diesen Fragen auf den Grund gegangen. Hier die wichtigsten Punkte im Überblick:

Alle Unternehmen sind Cyberrisiken ausgesetzt – auch KMU
Cyberattacken auf Unternehmen nehmen stark zu. Letztes Jahr gab es doppelt so viele wie 2019. Die Arbeit im Home Office und das Internet der Dinge machen Firmen zusätzlich verwundbar.

«Alle Unternehmen sind heute dieser Gefahr ausgesetzt – auch KMU», sagt
Christian Dünner, Mitgründer und Chief Operating Officer bei esurance. 

 

Die Kosten pro Cyberattacke steigen rasant
«Erpressungsgelder einfordern ist schon fast ein neuer Wirtschaftszweig geworden», so Dünner. Die Kosten pro Cyberattacke steigen rasant. Firmen mit 50 bis 249 Mitarbeiter zahlten 2018 noch rund 10’000 Schweizer Franken pro Fall. 2019 waren es bereits 100’000 Franken. «Alle können von solchen Angriffen betroffen sein – es trifft aber nicht alle», sagt Dünner.

Cyberattacken treffen oft auch die Kunden
Cyberangriffe können sich wie ein Lauffeuer verbreiten und auch die Kunden der angegriffenen Unternehmen treffen. Da heute viele IT-Systeme in der Cloud laufen, gibt es oft eine Kettenreaktion. Das führt bei IT Unternehmen laut Dünner oft zu unkalkulierbaren Verlusten. Die Kosten seien für die Beteiligten nur schwer abschätzbar, und die Firmen würden die Risiken oft unterschätzen.

Versicherungen schauen bei Cybersecurity sehr genau hin
Für Unternehmen kann es sinnvoll sein, sich gegen Cyberangriffe zu versichern. Das sei für Firmen zwar aufwändig, aber auch eine grosse Chance, sagt Dünner. Denn wer sich versichere, müsse auch seine Prozesse und Sicherheitsstandards hinterfragen. Die Versicherungen würden diese nämlich genau prüfen, um das Risiko besser einschätzen zu können.

Die Bedrohungslage ist nicht immer genau messbar

«Der Markt für Cybercrime ist grösser als der für Drogen», sagt Arié Malz, Co-Präsident von Information Security Society Switzerland (ISSS), dem Partnerverband von swissICT im Bereich Cybersecurity.

Laut Malz sind Cyberrisiken auch für Versicherungen komplex, da die Bedrohungslage oft nicht richtig messbar sei. Es herrsche noch kein Konsens darüber, wie man die Risiken genau erfassen soll. Und es gebe verhältnismässig wenig Erfahrungswerte.

Auch Cloud-Partner müssen auf Cybersicherheit überprüft werden
«Grundsätzlich ist es gut, wenn Firmen mit einer kleinen IT-Security-Abteilung möglichst viel outsourcen», sagt Malz. Unternehmen sollten ihre Partner und Cloud-Dienstleister aber sehr genau analysieren, bevor sie Kooperationen eingehen. Für die drei Dienste «Infrastructure as a Service» (IaaS), «Platform as a Service» (PaaS) und «Software as a Service» (SaaS) gebe es nämlich unterschiedliche Anforderungen bezüglich Cybersicherheit. Selbst bei SaaS funktioniere Cyber-Security nur in einer hybriden Zusammenarbeit von Dienstleister und Kunden. Die Verantwortung für Cyber-Sicherheit kann nicht ausgelagert werden.

Cybersicherheit heisst für jedes Unternehmen etwas anderes
Grosse Unternehmen können sich an mächtigen Frameworks wie NIST, ISF IRAM2  oder  dem ISO 27000 orientieren. Firmen aus der KMU-Welt dagegen fehlen mehrheitlich das nötige Wissen und die Ressourcen, um diese anzuwenden, führt Malz weiter aus. Unternehmen hätten beim Thema Cybercrime unterschiedliche Bedürfnisse und Anforderungen. Darum müsse jedes spezifische Massnahmen ergreifen, um der individuellen Bedrohungslage gerecht zu werden. So sei es möglich, das Restrisiko zu erkennen und gemäss der eigenen Risikoakzeptanz zu senken. Dafür brauche es aber ein Tool, das ausgerichtet am Geschäftsmodell des einzelnen Unternehmens organisatorische und technische Massnahmen empfiehlt und priorisiert.

Unternehmen müssen alle Stakeholder miteinbeziehen
Da Cyberrisiken nur schwer quantifizierbar sind, gehen die Vorstellungen oft auseinander. Das ist problematisch. Laut Malz braucht es bei allen Stakeholdern ein gemeinsames Verständnis, was Cybersicherheit bedeute. «Was alle angeht, können nur alle lösen.» Ein solches Tool, gemeinsam entwickelt, würde wesentlich dazu beitragen, eine best practice zu definieren und in die breite Wirtschaft zu tragen. Man müsse miteinander reden und Erfahrungen austauschen, um die Herausforderungen zu meistern. ISSS habe sich darum mit swissICT, Asut und Swico zusammengetan, um das Thema anzupacken.

Bild:  Adobe Stock

Disclaimer: Dieser Artikel erscheint im Rahmen der Partnerschaft mit esurance, einem Mitglied von swissICT. Gemeinsam mit esurance und dem Label swiss made software bietet swissICT seit April 2020 branchenspezifische und kostengünstige Versicherungslösungen an. Alle Informationen rund um dieses Angebot finden Sie unter www.swissict.ch/esurance

Autor:in

Vanessa Manser

Account Managerin esurance AG
Mitgliederservice esurance Ansprechpersonen

Weitere Infos

ICT-Versicherungen von esurance

Gemeinsam mit esurance und dem Label swiss made software bietet swissICT seit April 2020 branchenspezifische und kostengünstige Versicherungslösungen an.

Mehr Infos

Information Security Society Switzerland (ISSS)

Das Thema Security deckt swissICT mit der strategischen Partnerschaft mit ISSS (Information Security Society Switzerland) ab, dem führenden Schweizer Fachverband für ICT-Sicherheit, dem heute mehr als 1100 Security Professionals und Interessierte aus Wirtschaft, Verwaltung und Wissenschaft angehören. Mit einem Klick auf den folgenden Button gelangen Sie auf die Website von ISSS.

Zur Website

Ähnliche Artikel

Wer bezahlt den Schaden? Und wenn ja, wieviel?

17. Mai 2021:

Carmen De la Cruz und Roland Mathys von der swissICT Rechtskommission sowie Christian Dünner von esurance fassten im Webinar Ende April wichtige To-Do’s für Firmen zusammen, die sich gegen Cyberrisiken absichern wollen.

Zum Artikel

esurance knackt die Marke von 100 ICT-Kunden

23. Februar 2021:

Im Schnitt sparten ICT-Unternehmen 10 bis 19 Prozent über das gesamte Versicherungsportfolio gesehen. IT-Haftpflicht ist das «Killer-Produkt».

Zum Artikel

Privat: «Versicherungen werden auch im ICT-Umfeld nach wie vor verkauft – und nicht gekauft»

21. Januar 2021:

Andri Mengiardi, CEO von esurance, zieht im Interview Bilanz über acht Monate «ICT-Versicherungen» mit swissICT und swiss made software und gibt interessante
Insights ins Start-up-Leben.

Zum Artikel

Mit Ihrem Besuch auf unserer Website stimmen Sie unserer Datenschutzerklärung und der Verwendung von Cookies zu. Dies erlaubt uns unsere Services weiter für Sie zu verbessern. Datenschutzerklärung

OK