Prüfung der Komplexität der Versicherung von Cyberrisiken

Wie gut reduziert Ihre Cyberrisikoversicherung Ihren finanziellen Verlust im Falle eines Cybervorfalls?

In diesem Artikel werden einige Möglichkeiten untersucht, wie mittelständische Unternehmen vom Cyberversicherungsschutz profitieren können. Wir werden prüfen die verschiedenen Schadenereignisse und Schadenarten, die von den meisten Versicherungspolicen für Cyberrisiken abgedeckt werden. Und wir werden uns auch ansehen, wie Unternehmen ihre Cyberversicherungsprämien optimieren können, um von der Deckung zu profitieren und gleichzeitig sicherzustellen, dass ihr Versicherungsschutz in einem angemessenen Verhältnis zu den Verlusten steht, denen Unternehmen am wahrscheinlichsten ausgesetzt sind — hier Quantifizierung von Cyberrisiken (CRQ) kann das Spiel verändern! CRQ-Analyse bewertet die potenziellen finanziellen Auswirkungen einer bestimmten Cyberbedrohung.

Versicherungsschutz für Cyberrisiken

MünchenRe prognostiziert, dass sich die weltweiten Prämien für Cyberversicherungen mehr als verdoppeln werden. Bis 2025 wird diese Zahl voraussichtlich auf steigen 22 Milliarden Dollar.

Die Akzeptanz von Cyberversicherungen nimmt zu, da sich Unternehmen zunehmend darauf verlassen, um ihre finanziellen Risiken und Haftungsrisiken zu mindern. Und da Cyber-Versicherungspolicen kompliziert sind, wird Entscheidungsträgern empfohlen, sich eingehend mit den Arten von Versicherungsschäden zu befassen, um die Aufschlüsselung der Police über den Gesamtdeckungsbetrag hinaus besser zu verstehen.

In enger Zusammenarbeit mit CISOs, CFOs und anderen Entscheidungsträgern haben wir festgestellt, dass Versicherungspolicen für Cyberrisiken auf hohem Niveau unter dem Gesichtspunkt der Gesamtdeckung geprüft werden.

• Ist unser Unternehmen abgesichert, wenn wir eine Versicherung in Höhe von 2 Millionen Euro gegen Cyberrisiken abschließen?

• Bedeutet eine höhere Gesamtabdeckung, dass unser Risikoanteil reduziert wird?

• Ist eine 5-Millionen-Euro-Police besser als eine 2-Millionen-Euro-Police?

Es ist schwierig, diese Fragen zu beantworten, ohne sich eingehender mit der digitalen Wertschöpfungskette des Unternehmens und seiner Cyber-Bedrohungslandschaft zu befassen. Es gibt Zeiten, in denen ein Unternehmen seine Cyberrisikodeckung optimieren kann, indem es den Umfang der Gesamtabdeckung erhöht. Es ist jedoch auch möglich, einfach den Aufbewahrungsbetrag pro Schadensart auszuhandeln.

Genau wie bei anderen Arten von Versicherungsprodukten ist die Cyberrisikoversicherung so konzipiert, dass ein einzelner Vorfall nach der Art des Schadens aufgeschlüsselt wird. Für jede Schadenart gibt es einen Selbstbehalt und einen maximalen Auszahlungsbetrag. Der Einbehalt bezieht sich auf den Teil eines Schadens, für den eine versicherte Partei verantwortlich ist, bevor die Auszahlung der Versicherungspolice beginnt.

Es lohnt sich buchstäblich, das Kleingedruckte zu lesen.

Die in Ihrer Police enthaltenen Informationen geben genau an, welche Vorfälle abgedeckt sind, welche Ausnahmen es gibt, wie sie gemeldet werden, welche Arten von Verlusten abgedeckt sind und wie hoch der Einbehalt ist.

Eine höhere Gesamtabdeckung bedeutet nicht automatisch, dass Sie besser vor finanziellen Verlusten geschützt sind.

Aufschlüsselung der Cyberversicherung: Arten von Vorfällen und Verlusten

Cyber-Versicherungspolicen sind nach der Art des Schadens strukturiert. Schauen wir uns an, wie es bei einem Unternehmen mit einer Cyber-Versicherung im Wert von 3 Millionen Euro funktioniert, bei dem eine Malware einen Teil des IT-Systems des Unternehmens nicht mehr verfügbar macht. Der Vorfall wird dem Cyber-Versicherer gemeldet. Der Malware-Angriff führt zu einer Handvoll Schadenarten*, die von der Police abgedeckt werden:

• Betriebsunterbrechung

• Vorfallmanagement

• Rechtskosten

• Kosten für Forensik

Einen Anspruch geltend machen

Das Unternehmen erlitt einen Einkommensverlust von 500.000€, der teilweise darauf zurückzuführen war, dass ein System 48 Stunden lang nicht verfügbar war. Gemäß den Bedingungen des Versicherungsschutzes kann der Versicherungsnehmer nur Verluste aufgrund von Betriebsunterbrechungen geltend machen, die 300.000€ übersteigen — dies ist der Einbehaltungsbetrag. Für diese Schadensart erhält das Unternehmen eine Auszahlung in Höhe von 200.000€. Darin nicht enthalten sind die Kosten für das interne Vorfallmanagement, das ausschließlich in der Verantwortung des Unternehmens lag. Diese Kosten können sich je nach den Umständen der Cyberangriff sowie die Größe des Unternehmens.

Zusätzlich zu den Einkommensverlusten fallen Rechtskosten im Zusammenhang mit der Malware-Angriff, was insgesamt 100.000€ entsprach. Aber auch hier gilt: Aufgrund der Aufbewahrungsklausel der Police können Rechtskosten nur geltend gemacht werden, wenn sie 90.000€ übersteigen. Das bedeutet, dass das Unternehmen 10.000€ als Teil seiner Versicherungsleistungen einziehen kann.

Im Rahmen der Reklamation nahm das Unternehmen die Dienste eines von der Versicherungsgesellschaft empfohlenen Spezialisten für Cyberforensik in Anspruch, um den Ursprung des Angriffs zu untersuchen und zu überprüfen, ob alle erforderlichen Kontrollen vorhanden waren, um das nicht verfügbare System wieder online zu bringen. Der forensische Dienst kostete insgesamt 50.000€, wobei 30.000€ einbehalten wurden.

Zusammenfassend lässt sich sagen, dass der Malware-Angriff zu einem Gesamtschaden von 650.000€ führte, der sich wie folgt aufteilt:

Das Unternehmen war verantwortlich für 420.000€.

Die Versicherungsgesellschaft deckte 230.000€ ab.

Wie Sie in unserem Beispiel oben sehen können, waren die Einbehaltungsbeträge für die beiden Verlustarten unterschiedlich. Dies ist charakteristisch für viele Richtlinien. Und es zeigt, wie wichtig es ist, mit Ihren Verlustarten und etwaigen Einbehaltungen vertraut zu sein. Eine weitere zu berücksichtigende Sache ist, dass die Prämie wahrscheinlich steigen wird, wenn ein Anspruch geltend gemacht wird. Bevor ein Unternehmen einen Anspruch geltend macht, sollte es daher eine Auszahlung gegen die Wahrscheinlichkeit einer Erhöhung des Zinssatzes abwägen.

FAIR-Methodik, Risikoszenarien und Versicherung

Wenn wir das setzen FAIR-Methode Um die wichtigsten Cyberrisikoszenarien für ein Unternehmen mit einem aggregierten Versicherungslimit von 2 Millionen Euro auszuarbeiten und zu analysieren, haben wir festgestellt, dass die obere Verlustspanne pro Vorfall nach Schadensart für alle Schadensarten bei etwa 500.000€ lag.

Unter Berücksichtigung der Wertschöpfungskette und der digitalen Vermögenswerte des Unternehmens haben wir die Schadenarten der Versicherungspolice bewertet, da sie den FAIR-Schadenarten entsprachen. Dadurch erhielten wir ein tieferes und umfassenderes Verständnis der Versicherungspolice. Wir haben eine Tabelle entwickelt, um die Ausnahmen vom Verlusttyp zu visualisieren, nämlich Ausmaß des Verlustes (siehe FAIR-Taxonomie) für jedes Risikoszenario sowie die maximale Auszahlung für versicherbare Vorfälle. Diese Informationen vermittelten dem CISO ein umfassenderes Verständnis dafür, wie die Cyberversicherung Verluste im Falle eines Cyberschadensereignisses mindern könnte. Und im Fall dieses Unternehmens lag es nicht in ihrem Interesse, die Gesamtdeckung zu erhöhen, sondern die Einbehaltungsbeträge pro Schadenart neu auszuhandeln.

Quantifizierung von Cyberrisiken Bei der Analyse (CRQ) können Parallelen zwischen den FAIR-Schadenarten und den Versicherungsschadenarten in finanzieller und probabilistischer Hinsicht gezogen werden. CRQ-Risikoszenarien geben an, wie oft ein bestimmtes Szenario eintritt (in Jahren oder Monaten) und wie viel das Schadenereignis Sie (in finanzieller Hinsicht) kosten wird.

Zu den häufigsten Cyberrisikoszenarien gehören:

• Ransomware als Folge von Phishing

• Datenschutzverletzung

• Denial-of-Service (DDOS) -Angriff

• Angriff auf die Lieferkette, der zu einem Ausfall führt

Versicherungsschutz, der mit CRQ-Methoden ausgehandelt wurde

Cyberversicherungen sind ein Risikomanagement-Tool innerhalb einer größeren Risikomanagementstrategie. Wenn Unternehmen ihre Cyberrisiken in finanzieller Hinsicht verstehen, können sie treffen Sie vertretbarere Entscheidungen. Budgetentscheidungen werden weniger undurchsichtig, wenn Cyberrisiken sowie die Häufigkeit und Wahrscheinlichkeit jedes Schadenereignisses monetär ausgedrückt werden. Methoden zur Quantifizierung von Cyberrisiken identifizieren wichtige Vermögenswerte in der Wertschöpfungskette eines Unternehmens sowie mehrere der wahrscheinlichsten Risikoszenarien für diese Vermögenswerte. Dieses Modell quantifiziert Risikoszenarien anhand einer Frequenzspanne (d. h. der Wahrscheinlichkeit des Eintritts dieses Risikos) zusammen mit einer Reihe potenzieller Verluste, ausgedrückt in finanzieller Hinsicht.

Mit den Daten aus einer CRQ-Analyse mit einer Reihe von Top-Risikoszenarien ist die Frage, wie viel oder welche Art von Versicherung, einfacher zu beantworten.

Mit diesen quantifizierten Informationen können Risikomanager, CISOs, CFOs, Rechtsteams oder andere Entscheidungsträger die Hebel identifizieren, um den Versicherungsschutz auszuhandeln und den größtmöglichen Nutzen daraus zu ziehen. Aber es endet nicht dort.

Wenn ein Unternehmen immer noch keinen umfassenden Versicherungsschutz hat, gibt es eine zusätzliche Möglichkeit, Verluste abzudecken: firmeneigene Versicherung oder Selbstversicherung.

Versicherungsprodukte ändern sich ständig — genauso wie sich die Cyber-Bedrohungslandschaft verändert. Aus diesem Grund bieten Ihnen die Kenntnis Ihrer aktuellen Cyber-Versicherungspolice und die Kenntnis Ihrer tatsächlichen finanziellen Verluste im Falle eines Cybersicherheitsvorfalls eine solide Grundlage für den Aufbau der Cyber-Resilienz Ihres Unternehmens.

Wenn Sie mehr über die Optimierung Ihrer Cyberversicherung oder über die Quantifizierung von Cyberrisiken erfahren möchten, Laden Sie einen ausführlichen Anwendungsfall herunter Wie wir die wichtigsten wahrscheinlichen Verluste unseres Kunden aufgrund von Cybervorfällen identifiziert haben, hat er erfolgreich die Retentionen reduziert und seinen Plan für das Incident-Management an die Bedingungen seiner Cyber-Versicherungspolice angepasst.