Warum CISOs Cyber-Versicherer zu ihren Partnern machen müssen

In der aktuellen Bedrohungslandschaft ist die Beziehung zwischen Cyber-Versicherung Anbieter und potenzielle (oder sogar aktuelle) Versicherungsnehmer ist oft bestenfalls angespannt. Unternehmen könnten den langwierigen und aufwändigen Prozess, gepaart mit steigenden Prämien, so wahrnehmen, als würden Versicherungsunternehmen davon profitieren. Allerdings haben die Versicherungsunternehmen Schwierigkeiten, die stark steigenden Schadenquoten auszugleichen, die vor ein paar Jahren besonders stark ausgeprägt waren. 

Obwohl diese Trennung problematisch ist, ist es keine Überraschung, dass wir immer noch versuchen, die Dinge herauszufinden. Cyber-Versicherung ist im Vergleich zu anderen Versicherungssegmenten noch im Entstehen begriffen. Die erste Cyber-Police wurde erst 1997 von AIG abgeschlossen. Im Gegensatz dazu sind Lebens- und Sachversicherungen weit über 250 Jahre und Autoversicherungen über 125 Jahre alt. Es ist normal, dass es in einem Prozess, der relativ neu ist und sich im Vergleich zu Bereichen wie der Lebens- oder Sachversicherung in einem unverständlichen Tempo entwickelt, einige Wachstumsschwierigkeiten gibt. Die gute Nachricht ist, dass wir nicht mehr weit davon entfernt sind, sowohl für Anbieter als auch für Versicherungsnehmer eine komfortable Position zu finden. Der Schlüssel liegt darin, sich daran zu erinnern, dass wir alle gemeinsam in dieser Situation stecken. Tatsächlich besteht einer der größten Fehler, den Chef-Informationssicherheitsbeauftragte (CISOs) machen können, darin, ihre Versicherungsanbieter nicht als Partner zu behandeln. 

Wie wir hier 

Es ist nützlich, einen kurzen Überblick über die Entwicklung der Branche zu haben, damit wir die aktuellen Herausforderungen einschätzen können. Anfangs beruhten die Prämien für Cyberversicherungen fast ausschließlich auf dem Bauchgefühl, aber das war auf lange Sicht offensichtlich unhaltbar. Daher wurde ein makroökonomisches System entwickelt, bei dem die Schadenserwartungen auf den Gesamtmarktverlusten eines Versichertenpools basierten.

Das Problem bei diesem Ansatz besteht jedoch darin, dass die Schadensfälle schnell die Prognosen übertrafen und die Versicherer feststellten, dass sich das Verlustrisiko auf eine Untergruppe der Versicherungsnehmer konzentrierte. Darüber hinaus machten sich Versicherer Sorgen über systematische Risiken oder Korrelationsrisiken, bei denen ein Verlust bei einer Police die Wahrscheinlichkeit von Ansprüchen gegen andere Policen erhöhte. Für die Versicherer gerieten die Dinge schnell außer Kontrolle. 

Die nächste Entwicklung, die uns zu unserer aktuellen Situation bringt, ist der Underwriting-Prozess selbst. Um die Verluste durch auf Makroansichten basierende Policen zu mindern, sind Versicherungsanträge deutlich komplexer geworden und erfordern ausführliche Gespräche, Interviews und Besuche vor Ort mit dem Ziel, eine maßgeschneiderte Police zu erstellen. Organisationen müssen häufig bestimmte Schwellenwertbedingungen erfüllen, wie z. B. die Nutzung von Multifaktor-Authentifizierung sowie Endpunkterkennungs- und -reaktionsfunktionen, und müssen einen „Outside-In“-Scan ihrer Umgebung bestehen, der von einem neutralen Dritten durchgeführt wird.

Das Problem besteht darin, dass sich der IT-Bestand während der gesamten Vertragslaufzeit ständig verändert, was es nahezu unmöglich macht, über einen Fragebogen wirklich genaue und differenzierte Informationen zu erhalten – selbst für Organisationen, die versuchen, möglichst genaue und detaillierte Informationen bereitzustellen. Dies hat ein Umfeld geschaffen, in dem es zu erheblicher Preis- und Versicherungsvolatilität kommt, was zu großen Spannungen zwischen Versicherern und Versicherungsnehmern führt. 

Wo wir hin müssen 

Um wirklich Partner zu werden, müssen sich Organisationen und Versicherer zunächst auf ein gemeinsames Ziel einigen: Risikominderung. Dies sollte der einfache Teil sein. Der aktuelle Underwriting-Prozess versucht, das Risiko zu ermitteln, konnte es jedoch nicht zuverlässig für einzelne Organisationen festlegen. Auf der Versichertenseite gestalten CISOs die Haushaltsgespräche mit dem Vorstand regelmäßig unter dem Gesichtspunkt des Risikos, sodass eine einheitliche Terminologie besteht.

Der fehlende Teil besteht darin, eine Möglichkeit zur Risikomessung zu schaffen, mit der beide Seiten zufrieden sind, sodass die Preisgestaltung der Policen darauf basieren kann. Die einzige Möglichkeit, dies zu erreichen, sehe ich in der Weitergabe elektronisch erfasster Kennzahlen innerhalb der Firewall einer antragstellenden Organisation, die die Cyber-Sicherheit untersucht. Im Gegensatz zu manuell ausgefüllten Fragebögen können diese Daten eine zuverlässige Momentaufnahme der Umgebung liefern. Es ist der Unterschied zwischen einem Augenzeugen eines Ereignisses und einer hochauflösenden Aufzeichnung davon – es gibt wirklich keinen Vergleich zwischen den beiden.

Der Grund, warum dieses Thema der Partnerschaft immer wieder auftaucht, ist, dass es für jeden CISO eine große Herausforderung ist, diese Art von privaten Informationen weiterzugeben, insbesondere wenn er befürchtet, dass die von ihm bereitgestellten Informationen gegen ihn verwendet werden, um die Prämien zu erhöhen. Aufgrund der engen Zusammenarbeit mit einer Vielzahl von Versicherern ist dies bei keinem mir bekannten Cyberversicherer die Motivation. Sie versuchen, wie Cybersicherheitsexperten in der gesamten Branche, lediglich, sich in einem sich ständig verändernden Umfeld zurechtzufinden, und diese radikale Transparenz wird den Versicherten zugute kommen.

Sobald die Versicherer über diese Momentaufnahme verfügen, können sie diese prüfen und mit Details zu den wichtigsten Ergebnissen und priorisierten Sanierungsempfehlungen antworten, sodass der Antragsteller diese Anpassungen vornehmen und erneut einreichen kann, um einen besseren Versicherungspreis zu erhalten.

Letztlich sind Versicherungsanbieter und CISOs alle im selben Team, daher ist einer meiner wichtigsten Ratschläge an CISOs: Behandeln Sie Ihre Cyber-Versicherungsträger als Partner. Der Aufbau einer starken Beziehung und die Teilnahme an einem regelmäßigen Dialog werden den Erneuerungs- und Anspruchsprozess verbessern. Denken Sie daran, dass niemand über mehr Daten zu Cybersicherheitsrisiken und -verlusten verfügt als ein Cyber-Versicherungsträger.

• SEO-gestützte Content- und PR-Distribution. Holen Sie sich noch heute Verstärkung.
• PlatoData.Network Vertikale generative KI. Motiviere dich selbst. Hier zugreifen.
• PlatoAiStream. Web3-Intelligenz. Wissen verstärkt. Hier zugreifen.
• PlatoESG. Kohlenstoff, CleanTech, Energie, Umwelt, Solar, Abfallwirtschaft. Hier zugreifen.
• PlatoHealth. Informationen zu Biotechnologie und klinischen Studien. Hier zugreifen.
• Quelle: https://www.darkreading.com/cyber-risk/why-cisos-need-to-make-cyber-insurers-their-partners