Firmen kaufen eher eine Cyberversicherung, wenn sie bereits eine Cyberattacke erlitten haben.
Eine Studie des Instituts für Versicherungswirtschaft der Universität St. Gallen untersucht die Gründe, warum Versicherungsabschlüsse und der Einsatz eines geeigneten Risikomanagements in den Unternehmen immer noch eine Herausforderung darstellen.
Martin Eling, Lehrstuhlinhaber am Institut für Versicherungswirtschaft in St. Gallen, hat das Problem auf vier Punkte gebracht:
- Die Komplexität der Versicherungsprodukte verursacht eine grundsätzliche Verunsicherung beim Kunden. Zusätzlich kommt hinzu, dass eine Dynamik der Risiken fortwährend besteht und somit ein weiterer Unsicherheitsfaktor wächst.
- Trotz Screening, Fragenkataloge, Zertifikate und anderen Selektionsmitteln kommt es immer noch zu Asymmetrien in der Informationspolitik der Versicherer. Deshalb schließen Unternehmen, die eine Cyberattacke erlitten, eher eine Cyberversicherung ab als solche die bisher unbeschadet im Internet agieren. „Aus Schaden wird man klug“, diese uralte Weisheit gilt leider auch in diesem Versicherungssegment.
- Die Schadensregulierung bei Vermögensschäden stellt ein weiteres Problem dar. Bis zu 50 Millionen Dollar können versichert werden aber dies nur, wenn keine grobe Fahrlässigkeit oder kein Terrorakt zugrunde liegt.
- Die Risiken sind bei Cyberschäden voneinander nicht unabhängig und somit kann ein Ausgleich im Kollektiv nur bedingt funktionieren.
Aus diesem Grund rät Martin Eling zu sieben Leitlinien für ein erfolgreiches Cyber-Risikomanagement.
Hier einige Auszüge. (Detallierter Bericht:IVW St. Gallen)
- Im Unternehmen muss eine Person für den Sektor Security verantwortlich sein.
- Klare Szenarien bei Datenverlust oder Cyberschäden aufstellen
- Risikodialog mit allen Mitrabeitern
- Risikodialog mit Geschäftspartnern und ev. auch Kunden
- Zertifizierungsstandards erfüllen
- Monitoring betreffend der sich fortlaufend ändernden Cyber-Gefahrenquellen
- Risikotransfer durch Abschluss einer Versicherung.