ISMS nach ISO 27001 hilft beim Abschluss von Cyberversicherungen

Im letzten halben Jahr haben wir zahlreiche Gespräche mit unterschiedlich großen mittelständischen Organisationen geführt, die eine Cybersecurity-Versicherung neu abschließen oder bestehende Policen anpassen möchten. Der durchgängige Tenor, den wir überall gehört haben: es wird immer herausfordernder, überhaupt an bezahlbare Policen zu kommen. Versicherungen gegen Cybersecurity-Risiken gelten bei vielen Versicherern mittlerweile als Hochrisiko-Policen. Konsequenterweise ziehen zahlreiche Versicherer die Bedingungen und Voraussetzungen, unter denen überhaupt Risiken in diesem Bereich versicherbar sind, kontinuierlich an.

Aus den genannten Gesprächen haben wir folgende Kern-Herausforderungen abgeleitet:

1. Steigende Prämien und Selbstbehalte: Aufgrund der Zunahme und Schwere von Cyberangriffen steigen die Prämien und Selbstbehalte. Unternehmen müssen daher mit höheren Kosten für den Versicherungsschutz rechnen.
2. Strengere Anforderungen an die Risikomanagementpraktiken: Versicherer stellen immer strengere Anforderungen an die Cybersicherheitspraktiken der Unternehmen. Unter anderem umfasst dies regelmäßige Sicherheitsaudits, die Implementierung von Cybersicherheits-Praktiken gemäß dem aktuellen Stand der Technik sowie den Nachweis einer robusten technischen Sicherheitsinfrastruktur.
3. Anpassung der Policen an neue Bedrohungen: Mit der Entwicklung neuer Cyber-Bedrohungen müssen Unternehmen sicherstellen, dass ihre Versicherungspolicen diese Risiken abdecken. Die Anpassung bestehender Policen, um Schutz gegen neue Arten von Angriffen zu bieten, ist herausfordernd oder gar unmöglich, wenn Organisationen nicht entsprechende Nachweise über Sicherheitspraktiken gemäß dem Stand der Technik liefern können.
4. Bewertung des eigenen Risikoprofils: Unternehmen müssen ihr eigenes Risikoprofil realistisch bewerten, um eine angemessene Deckung sicherzustellen. Dies beinhaltet die Einschätzung der Wahrscheinlichkeit und des potenziellen Schadens von Cyberangriffen. Hier zeigt sich insbesondere, dass zahlreiche Untzernehmen die Risiken unterschätzen – und sich selbst nicht als lohnendes Angriffsziel einschätzen.
5. Verhandlung mit Versicherern: In einem Markt, der durch eine steigende Nachfrage und zunehmende Risiken geprägt ist, werden Verhandlungen mit Versicherern immer anspruchsvoller. Unternehmen müssen eine starke Verhandlungsposition aufbauen, um überhaupt ein Angebot mit angemessenen Konditionen zu erhalten.

Für Unternehmen, die sich gegen Cybersecurity Risiken versichern wollen, stellt sich also die Frage: wie mit den genannten Herausforderungen umgehen? Wir empfehlen, proaktiv schon vor den ersten Gesprächen mit potentiellen Versicherern oder Maklern ein Bewusstsein für die eigenen Risiken zu entwickeln. Das geht am besten mit einem methodischen Ansatz. zur Steuerung der Informationssicherheit. Die internationale Norm ISO 27001 beschreibt hierfür ein Managementsystem und ist gut geeignet, um die genannten Herausforderungen zu adressieren. Mit dem risikobasierten Ansatz lassen sich die oben genannten Punkte proaktiv adressieren – unabhängig davon, ob man sich als Organisation auch für eine formale Zertifizierung entscheidet oder nicht. Ein Zertifikat einer akkreditierten Zertifizierungsstelle dürfte jedoch perspektivisch – so unsere Einschätzung – Voraussetzung dafür werden, dass Cyber-Sicherheitsrisiken versicherbar bleiben.

Steht auch Ihr Unternehmen vor der Herausforderung, eine entsprechende Versicherung abzuschließen? Gerne stehen wir für ein erstes kostenloses Informationsgespräch zum Thema Informationssicherheit zur Verfügung.