Während der Markt für Cyber-Versicherungen boomt, fordert die Aufsichtsbehörde bessere Daten

Cyber Security News

In einem am 20. Mai veröffentlichten Bericht untersuchte das Government Accountability Office, wie sich der Markt für private Cybersecurity-Versicherungen in den letzten fünf Jahren entwickelt hatRich Baich ist Global Chief Information Security Officer beim Versicherungsriesen AIG. (Foto: Spencer Platt/Getty Images)

Eine Bundesaufsichtsbehörde hat herausgefunden, dass der Markt für Cybersecurity-Versicherungen in den letzten Jahren zwar geboomt hat, dass aber steigende Prämien und die Schwierigkeiten einiger Versicherer, die Kosten und Verluste, die aus Cybervorfällen resultieren, zu quantifizieren, weiterhin zu den größten Hindernissen für eine weitere Verbreitung gehören.

In einem am 20. Mai veröffentlichten Bericht untersuchte das Government Accountability Office, wie sich der private Markt für Cybersecurity-Versicherungen in den letzten fünf Jahren entwickelt hat, wie er in verschiedenen Branchen zunehmend genutzt wird und wie sich der Markt als Reaktion auf die jahrelangen verheerenden und teuren Cyberangriffe verändert.

Daten von mindestens einem Versicherungsmakler verfolgten eine annähernde Verdoppelung der Kunden, die sich für eine cyberspezifische Versicherung entschieden, von 26 % im Jahr 2016 auf 47 % im Jahr 2020. Insgesamt scheinen Versicherungsunternehmen auf die gestiegene Nachfrage von Kunden nach cyberspezifischen Versicherungen zu reagieren, und eine Umfrage ergab, dass die beiden Dinge, die den Kauf einer Cyberversicherung am ehesten anregen, sind, wenn ein Unternehmen einen Cyberangriff erlebt und wenn sie von anderen Unternehmen hören, die von einem Cyberangriff betroffen sind.

Kleine und mittlere Unternehmen hinken tendenziell hinter größeren Unternehmen hinterher, was nach Ansicht der Prüfer auf eine allgemeine Unterschätzung von Cyber-Risiken, Schwierigkeiten beim Verständnis der Nuancen des Versicherungsschutzes, Bedenken hinsichtlich der Kosten und die vorherrschende Einstellung zurückzuführen ist, dass ihr derzeitiger Versicherungsschutz ausreicht, um ihre Bedürfnisse abzudecken. Andere Datenquellen wiesen darauf hin, dass die Art der Branche und die Art und Weise, wie ein Unternehmen seine Daten nutzt, ebenfalls Einfluss auf die Kosten und die Erschwinglichkeit des Versicherungsschutzes haben.

Es überrascht nicht, dass das Bildungs- und Gesundheitswesen (zwei Sektoren, die in den letzten Jahren von Ransomware-Akteuren heimgesucht wurden) zwischen 2016 und 2020 die höchsten Raten bei der Inanspruchnahme von Cyber-Versicherungen verzeichneten, während das Gastgewerbe und der Einzelhandel – zwei Sektoren, die im Zuge der Coronavirus-Pandemie gezwungen waren, einige der drastischsten Änderungen an ihren IT-Abläufen vorzunehmen – das schnellste Wachstum verzeichneten. Die Zahlen deuten darauf hin, dass die Branchen, die von einigen der schlimmsten Cyberangriffe der Pandemie am stärksten betroffen waren, den Wert einer Versicherung speziell für Cyberbedrohungen am ehesten erkennen.

“Ich glaube, die Unternehmen erkennen endlich, dass sie nicht einem Risiko ausgesetzt sind, nur weil sie ein kleines Familienunternehmen oder eine Firma mit ein paar Millionen Dollar Umsatz sind”, sagte Catherine Lyle, Leiterin der Schadenabteilung beim Cyber-Versicherer Coalition, in einem Interview. “Und wir haben all das gesehen, ich habe alles gesehen, von Ein- bis Zwei-Personen-Unternehmen bis hin zu Unternehmen mit tausend Mitarbeitern, die betroffen sind.”

Es gibt jedoch immer mehr Anzeichen dafür, dass die zunehmenden finanziellen Verluste durch jahrelange Auszahlungen an Ransomware-Akteure oder Unternehmen nach einer Datenverletzung die Taschen der Versicherer belasten und sie dazu veranlassen, ihre Deckungsmodelle neu zu bewerten. Trotz des Aufwärtstrends bei Unternehmen, die sich für eine Cyber-Versicherung entscheiden, kamen die Prüfer zu dem Schluss, dass “der Appetit und die Kapazität der Versicherer für die Zeichnung von Cyber-Risiken in letzter Zeit abgenommen hat, insbesondere in bestimmten Hochrisiko-Branchen wie dem Gesundheits- und Bildungswesen sowie bei öffentlichen Einrichtungen.”

Daten aus mehreren Quellen deuten darauf hin, dass der Rückgang auf “steigende Verluste durch Cyberangriffe, die Bedrohung durch zukünftige Angriffe und die allgemeinen Bedingungen auf dem Versicherungsmarkt” zurückzuführen ist, heißt es in dem Bericht. Diese Zurückhaltung könnte hinter dem in den letzten Jahren beobachteten erheblichen Anstieg der Cyber-Versicherungsprämien stecken, wobei viele Pläne in der zweiten Hälfte des Jahres 2020 um 10-30% in die Höhe schießen. Lyle sagte, dass die gleiche Eile der Unternehmen, einen Teil ihrer finanziellen Risiken rund um die Cybersicherheit auf Versicherungen zu verlagern, wahrscheinlich auch zu diesen Erhöhungen beigetragen hat.

“Das erhöht dann natürlich den Preis, so bekommt man eine Verhärtung des Marktes”, sagte Lyle. “Innerhalb der Coalition senken wir nicht die Deckungslimits… wir konzentrieren uns auf ein besseres Underwriting. [and] und nutzen unsere technologischen Möglichkeiten, um dem Kunden bessere Produkte anzubieten.”

Der Bericht kam zu dem Schluss, dass einige Versicherer möglicherweise Schwierigkeiten haben, eine cyberspezifische Deckung zu entwickeln, weil ihnen genügend historische Daten fehlen, um die Kosten der von ihnen angebotenen Pläne genau abzuschätzen. Benjamin Wright, ein Anwalt, der am SANS Institute Datensicherheit und Ermittlungsrecht lehrt, stellte die These auf, dass die NotPetya-Ransomware-Angriffe von 2017 so verheerend für den Versicherungsmarkt waren – sie verursachten Schäden in Höhe von mehr als 2,7 Milliarden US-Dollar -, dass sie eine breitere Neubewertung des Cyberrisikos in der Branche auslösten.

John Pescatore, Direktor für aufkommende Sicherheitstrends am SANS Institute, sagte letzte Woche, dass dieser Mangel an Daten dazu führt, dass die Marktkosten für Cyberversicherungen empfindlicher sind und als Reaktion auf kurzfristige Bedingungen oder Entwicklungen Schwankungen unterliegen.

“Wenn Sie jemals in ein Restaurant gegangen sind und Lust auf ein schönes Hummeressen hatten, haben Sie wahrscheinlich gesehen, dass auf der Speisekarte ‘Marktpreis’ steht, denn wer weiß schon, wie viele Hummer sie an diesem Tag oder zu dieser Zeit im Monat oder im Jahr gefangen haben? Die Preisgestaltung ist wirklich variabel, was Hummer auf einer täglichen Basis kosten, es kann wild schwanken”, sagte Pescatore während eines Panels der RSA Conference 2021 zum Thema Cyber-Versicherung am 18. Mai. “Das ist sozusagen der Fall. [today] für Cyber-Versicherung, es ist im Wesentlichen der Marktpreis.”

In der Tat glauben die GAO-Analysten, dass die Bundesregierung sogar verpflichtet sein könnte, einen Teil der finanziellen Verluste der Versicherer zu decken. Zum Beispiel verlangt das Terrorismus-Risiko-Versicherungsprogramm (TRIP) im Finanzministerium, dass die Regierung einen Teil der Verluste privater Versicherer im Falle eines “zertifizierten Terroraktes” übernimmt. Die Prüfer sagten, dass sie planen, in einem zukünftigen Bericht zu untersuchen, inwieweit das TRIP und der Terrorism Risk Insurance Act von 2002 so strukturiert sind, dass sie Cyberangriffe oder Cyberterrorismus berücksichtigen.

“Verluste aus Cyberangriffen könnten unter TRIP erstattet werden, wenn die Angriffe bestimmte Zertifizierungskriterien erfüllen, die durch das Programm festgelegt sind”, schrieben die Autoren.

Lyle wehrte sich gegen einige der Ergebnisse des GAO und sagte, dass einige der Schlussfolgerungen eher für, wie sie es nannte, “traditionelle” Versicherungsträger im Allgemeinen geeignet scheinen, als für cybersicherheitsspezifische Versicherer wie Coalition. Wright merkte an, dass solche Unternehmen oft Zusatzleistungen wie Incident Response oder Ransomware-Verhandlungsdienste anbieten, die auf die Cybersicherheitswelt zugeschnitten sind.

Zum Beispiel auf den Mangel an historischen Daten über Kosten im Zusammenhang mit Cyberangriffen sagte Lyle, dass, während solche Daten typischerweise die Grundlage für die Versicherungskosten in anderen Bereichen sind, Cyber-Versicherer sich weniger darauf verlassen und in der Lage sind, auf unterschiedliche Weise Einblicke in die spezifischen Cybersecurity-Risiken eines Kunden zu erhalten. Coalition nutzt die internetfähigen IT-Assets des Unternehmens und setzt andere interne Technologie-Tools ein, um Informationen über die Hygiene und andere digitale Schwachstellen eines Unternehmens zu sammeln. Oft werden diese Informationen genutzt, um spezifischere Sätze oder Formulierungen in Bezug auf den Versicherungsschutz zu entwickeln.

“Wenn man sich die Zusammenstellung dieser Produkte ansieht, denke ich, dass man die Sache aus verschiedenen Perspektiven betrachten und sich verändern muss”, so Lyle. “Bei Cyber muss man die Art und Weise ändern, wie man Underwriting betreibt und wie man über das Produkt selbst denkt.”

Einige Teile dieses Artikels stammen aus:
www.scmagazine.com