zurück zur Übersicht

Cyber Versicherungen gegen Cyber Angriffe häufig wirkungslos

Cyber Versicherungen als Rettungsring – macht das Sinn?Versicherungen sind eine praktische. ja notwendige Sache. Wenn Hochwasser die Geschäftsräume unbenutzbar macht oder ein Feuer die Produktionsanlagen lahmlegt kann eine gute Versicherung darüber entscheiden, ob ein Unternehmen fortbesteht oder nicht.

Allerdings würde niemand auf die Idee kommen, man könnte aufhören Deiche zu bauen, weil es ja Versicherungen gegen Überschwemmungen gibt. Ebenso wenig würde ein Tankstellenbetreiber sagen „Lasst uns ein Grillfest bei der Zapfsäule zwei abhalten, schließlich sind wir versichert!“

Bei Versicherungen gegen Cyberangriffe scheint diese Mentalität hingegen teilweise zu bestehen. Dabei sind die Folgen eines Angriffs selbst für die Experten der Versicherungen schwer zu beziffern. Nach einer Modellberechnung des britischen Unternehmens Lloyds of London könnte ein großer und global ausgerichteter Cyberangriff Schäden in enormer Höhe verursachen. Diese wären eventuell gleichzusetzen mit den Schäden des Hurrikan Sandy im Jahr 2012 in den U.S.A.

Risikomodellierung anhand eines hypothetischen Cloud Anbieters

In ihrem Modell erstellten Llodys, gemeinsam mit der Riskomodellierungsfirma Cyence, einen hypothetischen Cyberangriff auf Basis einer „Logic Bomb“ auf zwei Firmen. Eines war im angenommenen Fall ein weltweit agierender Cloud Dienstleister, das andere ein multinationales Unternehmen, welches weltweit Rechnersysteme im Einsatz hat. Es wurden dabei die potentiell entstehenden wirtschaftlichen Verluste untersucht. Als Grundlage der Schadensberechnung dienten die durch Cyence modellierten ökonomischen Kosten (Betriebsunterbrechungen und Computerreparaturen) der Ransomware-Attacke durch „Wanna-Cry“ (8 Milliarden Dollar, Auswirkung auf 100 Länder) und die des „NotPetya“ Angriffs, welche mit 850 Millionen Dollar beziffert wird.

Realistische Schadenseinschätzung schwierig

Doch wie sehen die möglichen wirtschaftlichen Verluste, die durch eine solchen Angriff verursacht werden könnten, tatsächlich aus? In ihrer Berechnung gehen Lloyds von 4,6 Milliarden bis zu 53 Milliarden Dollar aus. Durch Folgeschäden könnte die Summe auf bis zu 121 Milliarden Dollar ansteigen – eine enorme Spannweite.

Wie lässt sich diese Spannweite in der Berechnung erklären? Die Versicherer haben ein großes Problem. Fluten, Stürme und Großbrände sowie deren Auswirkung kennen wir seit Jahrhunderten. Organisierte Cyberangriffe dieser Größenordnung gibt es hingegen erst seit relativ kurzer Zeit. Aufgrund des Mangels an historischen Daten, die die Versicherer als Referenzen für ihre Policen hernehmen könnten, fehlt ihnen schlicht eine ausreichende Datengrundlage. Auf Nachfrage der Nachrichtenagentur Reuters zum Report, erklärte Inga Beale (Lloyd London Chief Executive):

„Because cyber is virtual, it is such a difficult task to understand how it will accumulate in a big event“.

Besser in echte Security investieren

Hier zeigt sich ein Problem von Cyber-Versicherungen: Die bisher durch die Versicherer erhobenen Daten scheinen nicht aussagekräftig genug zu sein, um valide Zahlen für das gezeichnete Szenario zu liefern. Die Antwort auf dieses Problem kann daher nur so lauten: Sinnvolle und passende Investitionen in echte IT-Security Maßnahmen können in keinem Fall durch eine Versicherung ersetzt werden. Präventiver Schutz der kritisch exponierten Endgeräte (Endpoints) ist weiterhin dringend erforderlich (besonders im Industriellen Umfeld gibt es innovationen in der Endpoint-Defence). Dieser Schutz ist in jedem Fall nachhaltiger (und dabei eventuell sogar günstiger) als eine Versicherung. Die kann im Schadensfall zwar möglicherweise den Bankrott des Unternehmens abwenden. Doch da sich die Frequenz der massiven Angriffe eher noch erhöht bleibt die berechtigte Frage: Wie oft? Und zu welchem Preis, wenn sich die Versicherungen für mögliche Milliardenschäden absichern – und dieses Risiko an die Versicherungsnehmer weitergeben?

Und selbst im Falle eines erfolgreichen Angriffs müssen in erster Linie direkte Maßnahmen zur Mitigierung getroffen werden um bspw. eine stillstehende Produktion wieder zum Leben zu erwecken. Eine Versicherungspolice nutzt da wenig.

 


Quellen:

http://www.lloyds.com/~/media/files/news-and-insight/risk-insight/2017/cyence/emerging-risk-report-2017—counting-the-cost.pdf

http://www.reuters.com/article/us-cyber-lloyds-report-idUSKBN1A20AB

Schreibe einen Kommentar