Der Weg gehe zwar in die richtige Richtung, doch kämpfe die Cyberversicherung insgesamt noch damit, von der Theorie in die Praxis überzugehen, wenn es um Anreize für Cybersicherheit geht. Dies schreiben die Autoren eines Papers des britischen Think Tanks RUSI, in dem sie untersuchen, ob und inwiefern Cyberversicherungen ein Teil der Lösung sein könnten.

Grundsätzlich, so ein Fazit, könnten Cyberversicherungen durchaus auch dazu beitragen, Cyberrisiken zu verkleinern in Unternehmen. Aber es würden sowohl Zuckerbrot (finanzielle Anreise) als auch Peitsche (Security-Verpflichtungen) fehlen, um die Security-Praktiken in den Unternehmen zu verbessern. Die zunehmenden Schäden hätten aber nun deutlich gemacht, dass die derzeitige Realität für die Versicherer nicht nachhaltig sei, heisst es weiter.

Der Think Tank schlägt in der Publikation "Cyber Insurance and the Cyber Security Challenge" eine Reihe von Massnahmen vor, um dies zu ändern.

Die Versicherungs-Anbieter müssten viel mehr Daten sammeln, tauschen und analysieren können – vergleichbar mit Wetter- und Unwetterdaten. Vorstellbar wäre hier eine engere Zusammenarbeit mit Threat-Intelligence-Spezialisten oder den nationalen Cybersecurity-Zentren.

In diesem Zusammenhang sei auch die Regulierung ein Thema, führen die Autoren aus. Man könnte beispielsweise die Versicherungsanbieter dazu verpflichten, gewisse Daten über Vorfälle und Trends zu teilen.

Diese externen Daten über die allgemeine Bedrohungslage könnten schliesslich mit internen Daten eines Unternehmens kombiniert werden. In der Publikation wird hier eine Parallele zu Autoversicherern gezogen, die eine "Black Box" im Auto der Kunden verbauen, um deren Fahrdaten zu erfassen.

Ein solcher "Black-Box"-Ansatz würde erfordern, dass die Versicherer mit Partnern zusammenarbeiten, heisst es weiter. Eine Art Black Box des Versicherers in der eigenen Firma zu installieren, scheint aber für viele Versicherungskunden nicht in Frage zu kommen. In Interviews mit den Unternehmen sei mangelndes Vertrauen in Hard- und Software ein grosses Thema gewesen, gerade mit Blick auf Supply-Chain-Angriffe. Alternativ könnten Versicherer Partnerschaften mit IT-Dienstleistern anstreben, etwa mit Managed Security Service Providern oder Cloud Providern.

Ein Problem sehen die Autoren auch dabei, was die Frage der minimalen Security-Standards angeht. Ein Versicherer könne einerseits kaum einen völlig neuen Satz von Anforderungen und Best Practices aufstellen, wenn er Kunden gewinnen wolle. Andererseits besteht auf Kundenseite die Gefahr, dass im Schadensfall nicht – oder weniger – bezahlt wird, wenn eine Massnahme nicht ordentlich umgesetzt war. Gerade für kleinere Firmen stelle dies eine grosse Herausforderung da. Ein regulierter Satz an Standards sei somit nötig, finden die Autoren.

Die drängendste Herausforderung sehen die Autoren in Ransomware-Angriffen. Cyber-Versicherer sind dem Paper zufolge stark in die Kritik geraten, weil sie Lösegeldzahlungen an Cyber-Kriminelle unterstützen. Dies schaffe weitere Anreize für Cyberkriminelle.

Wachsende Verluste durch Ransomware-Angriffe hätten aber auch deutlich gemacht, dass die derzeitige Realität auch für Versicherer nicht tragbar sei. Axa hat kürzlich beispielsweise erklärt, dass ihre in Frankreich abgeschlossenen Cyber-Versicherungspolicen Lösegeldzahlungen nicht mehr abdecken.

Statt Kunden im Falle einer Lösegeldforderung zu unterstützen, müssten die Versicherungsanbieter Anreize schaffen, die die Security-Massnahmen der Unternehmen erhöhen, schliessen die Autoren.

Ein Problem sei, dass es manchmal billiger sein kann, die Erpresser zu bezahlen, als die IT-Infrastruktur selbst wieder herzustellen. Ein kleinerer finanzieller Schaden liege auch im Interesse der Versicherer.

Dass in vielen Fällen Lösegeld bezahlt wird, obwohl die Behörden davon abraten, habe nicht nur den Akt der Zahlung normalisiert, sondern mache das Business umso interessanter für die Kriminellen. Eine mögliche Lösung sehen die Autoren in einem Verbot von Ransomware-Zahlungen und raten den Behörden dessen Machbarkeit zu überprüfen.

Das Paper "Cyber Insurance and the Cyber Security Challenge" ist Teil eines 12-monatigen Forschungsprojekts von RUSI und der University of Kent (PDF). Während sich gewisse Aspekte auf die UK beziehen, sind viele allgemein gültig. Weitere Informationen zum Projekt gibt es online.