Der digitale Wandel hat für die Finanzdienstleistungsbranche eine völlig neue Dimension von ungenutztem Potenzial in Form von Cyber-Versicherungen eröffnet. Darüber hinaus hat die Corona-Pandemie dem Cyber-Sicherheit-Marktsegment als Folge der Umstellung auf das Homeoffice und eines Anstiegs der Cyber-Attacken einen unerwarteten Impuls verliehen. Für die Versicherungsbranche ergibt sich eine enorme Marktchance. Die Bewältigung des Online-Risikos hat jetzt für Unternehmen weltweit Priorität, unabhängig von deren Größe. Und nachdem der weltweite Markt für Cyber-Versicherungen von 119,9 Mrd. USD im Jahr 2019 bis 2030 auf 433,6 Mrd. USD ansteigen soll1, ist es jetzt an der Zeit, aktiv zu werden.
„Die Bewältigung des Online-Risikos hat jetzt für Unternehmen weltweit Priorität, unabhängig von deren Größe.“
Inzwischen gibt es mehr als eine halbe Milliarde Malware-Varianten, und wir entdecken Tag für Tag mehr als eine halbe Million neuer Instanzen2. Jeff Kilford, Client Compute Director bei Intel, meint dazu: „Dies sind absolut erschreckende Zahlen, über die sich die Unternehmen bzw. IT-Organisationen bewusst sein sollten, um das Ausmaß der Malware-Bedrohung zu kennen. Es gibt eine Reihe neuer Bedrohungen, die dazu anregen werden, darüber nachzudenken, wie diese Unternehmen versichert sind und wie sie sich selbst schützen. Im nächsten Jahr wird es ein anderes Bedrohungsniveau geben, und dann wiederum ein völlig anderes im darauffolgenden Jahr. Wenn man gänzlich ungeschützt ist, hat man absolut keine Chance, damit Schritt zu halten.“
Da der Oktober international als Cyber Security Awareness Month* gilt, ist dies ein guter Zeitpunkt, um sich einigen der wichtigsten Trends in der Welt der Cyber-Versicherungen zu widmen. Laut einem Whitepaper von Intel in Zusammenarbeit mit bedeutenden Branchenexperten und im Auftrag der britischen Versicherungsbranche gibt es fünf Schlüsselfragen:
1. Wie kann der Versicherungssektor Unternehmen von der Wichtigkeit überzeugen, sich vor Cyberkriminalität zu schützen?
Die Cyber-Versicherung hat schon einige Zeit Priorität in großen Unternehmen, kleinere Unternehmen agieren in dieser Hinsicht bisher jedoch zögerlich und benötigen möglicherweise zusätzliche Motivation. Größere Unternehmen bekommen die Auswirkungen von Cyber-Attacken unter Umständen deutlich zu spüren, erholen sich davon aber eher, wenn sie einer soliden Cyber-Resilienz-Strategie folgen. Wenn jedoch kleine Unternehmen von einer Cyber-Attacke betroffen sind, werden sie viel wahrscheinlicher ins Schwanken geraten oder versagen.
Die Stimulierung der Nachfrage nach Cyber-Versicherungen durch Informationskampagnen in der Öffentlichkeit ist unbedingt erforderlich; dasselbe gilt für praxisnahe Beispiele der Folgen einer Cyber-Attacke für kleinere Unternehmen. Die Hervorhebung bereits laufender Sensibilisierungsinitiativen wird entscheidend dafür sein, dass ein größeres Bewusstsein für Cyber-Risiken und mögliche Maßnahmen zur Abwehr entsteht.
2. Was müssen Cyber-Versicherungen beinhalten oder vermeiden, um für Unternehmen attraktiv zu sein?
Für Versicherungsunternehmen ist es wichtig, eine vielseitige Palette von Produkten anzubieten, die Lösungen für alle Arten von Unternehmen und ihre verfügbaren Budgets umfasst. Außerdem ist es sinnvoll, Vertreter bzw. Agenturen entsprechend zu schulen, damit sie genau wissen, was sie verkaufen und welche Produkte am besten für welche Art von Unternehmen geeignet sind. Darüber hinaus würde die Standardisierung der Ausdrucksweise bzw. Bezeichnungen, falls dies seitens der Branche machbar ist, das allgemeine Verständnis der Produkte erleichtern. Konsistenz und Einfachheit sind ein Schlüssel dafür, die Cyber-Versicherung überzeugender und verständlicher zu machen.
3. Wie können Anreize und Standards das Interesse von Unternehmen an Cyber-Versicherungen anregen?
Die Gesetzgebung trägt zusammen mit von der Regierung unterstützten Stellen bereits dazu bei, eine Kultur der Cyber-Resilienz bei den Unternehmen zu fördern und die Verbraucher und ihre Daten zu schützen. Wichtig sind auch die Standardisierung in Form einer gemeinsamen Sprache und einer Reihe von Benchmarks sowie Richtlinien für Mindestanforderungen an die IT.
Zertifizierungsprogramme ermöglichen nicht nur den Unternehmen, ihre Cyber-Resilienz zu entwickeln, sondern auch den Versicherungsträgern, nachzuweisen, dass sie über die Fähigkeiten und Prozesse zur Handhabung von Bedrohungen verfügen. Diese Art von Zertifizierung könnte den Unternehmen auch als Qualifikation für Incentives der Versicherer dienen, wie z. B. reduzierte Versicherungsprämien.
4. Welche Erfahrungswerte werden gebraucht, um Versicherer zur Investition in die Cyber-Versicherung zu motivieren?
Da Cyber-Versicherungen noch relativ neu sind, gibt es wenig historische Daten, und die vorhandenen kleinen Datenmengen sind nicht in standardisierter Weise gespeichert. Der fehlende Zugriff auf relevante Daten könnte Versicherungsunternehmen daran hindern, sich das ganze Potenzial des Sektors zu erschließen, weshalb ein Austausch solcher Erfahrungswerte unbedingt erforderlich ist. Die Versicherer müssen weiterhin mit Regulierungsbehörden und Branchenverbänden zusammenarbeiten, um Daten zur Cyber-Sicherheit zu sammeln. Aufgrund der komplexen Struktur von Cyber-Bedrohungen sind Daten unentbehrlich, um zu verstehen, wie Policen zu bewerten sind.
5. Inwiefern kann der Versicherungssektor mit externen Partnern zusammenarbeiten, um seine Rolle innerhalb der globalen Bemühungen um die Reduzierung der Cyberkriminalität hervorzuheben?
Die Zusammenarbeit ist das A und O, sowohl auf nationaler als auch auf globaler Ebene. Um die Geschäftschancen einer Cyber-Versicherung zu nutzen, ist es notwendig, sich auf einen gewissen Grad an Standardisierung zu einigen, der es dann einfacher macht, entsprechende Produkte zu verstehen und zu verkaufen. Der Austausch von Daten und Erfahrungswerten wird auch für die Zukunft dieses Subsektors der Versicherungsbranche wichtig sein, weshalb die Zusammenarbeit mit einer Reihe von Partnern der Branche von entscheidender Bedeutung ist.
Die Versicherungsbranche muss mit Technologiepartnern zusammenarbeiten, um die Bedeutung einer Aufrüstung von IT-Systemen zur Implementierung neuester Sicherheitsfunktionen wie der Intel® Threat Detection Technology (Intel® TDT) zu unterstreichen. Diese Hardware-verstärkten Sicherheitsmechanismen können in die Sicherheitsprodukte von unabhängigen Softwareanbietern integriert werden, um bestehende Funktionen und die Erkennung von Cyber-Bedrohungen zu verbessern.
Weiterhin hat Intel in seiner kommenden 3. Generation der skalierbaren Intel® Xeon® Plattform mit dem Codenamen „Ice Lake“ eine Reihe neuer Sicherheitstechnologien eingeführt. Die neue Funktion Intel® Total Memory Encryption (Intel® TME) hilft dabei, sicherzustellen, dass alle Arbeitsspeicherinhalte, auf die von der CPU zugegriffen wird, verschlüsselt werden, einschließlich sensibler Informationen wie Zugangsdaten der Kunden und Verschlüsselungscodes. Das Ziel ist hier mehr Schutz des Systemspeichers vor Hardware-Attacken.
*Andere Marken oder Produktnamen sind Eigentum der jeweiligen Inhaber.