Schaden- und Unfallversicherer befinden sich in einer der ungewöhnlichsten Positionen im Bereich der Cybersicherheit. Sie leben davon, Risiken zu bewerten. Sie legen Sicherheitsanforderungen als Bedingungen für den Versicherungsschutz fest und wissen besser als die meisten anderen, was eine Sicherheitsverletzung kostet.

Was jedoch ihre eigene Cyberabwehr angeht, bestehen nach wie vor erhebliche Lücken.

Das ist das zentrale Ergebnis von „Cybersecurity for Insurers: Squaring Safety with Service“, einem neuen Bericht, der vom Insurance Information Institute (Triple-I) in Zusammenarbeit mit Fenix24 veröffentlicht wurde. Die Studie stützt sich auf strukturierte Gespräche mit Führungskräften der Versicherungsbranche und vergleicht deren Praktiken mit den Best Practices und Sicherheitskontrollen, die sie von ihren eigenen Versicherungsnehmern verlangen.

Das Fazit? Die Versicherer haben erhebliche Investitionen in die Cybersicherheit getätigt. Doch „erheblich“ ist nicht gleichbedeutend mit „ausreichend“.

Wo die Lücken liegen

Der Bericht hat Stärken in verschiedenen Bereichen aufgezeigt, aber auch Bereiche, die für Versicherer Risiken bergen könnten.

Wiederherstellungstests sind zu eng gefasst. Die meisten Versicherer setzen unveränderliche Backups ein und geben an, die Wiederherstellungszeitziele für ihre Systeme der höchsten Sicherheitsstufe einzuhalten. Diese Tests werden jedoch in der Regel auf einem einzelnen System unter idealen Bedingungen durchgeführt, nicht im gesamten Netzwerk oder unter dem Druck eines echten Vorfalls. Genau diese Kluft zwischen einem kontrollierten Test und einem echten Ransomware-Vorfall ist es, die Unternehmen zu Fall bringt.

Wie Mark Grazman, CEO von Fenix24, es formulierte: „Die meisten Unternehmen haben ihre Notfallpläne für Naturkatastrophen oder gewöhnliche IT-Ausfälle getestet, nicht jedoch für Ransomware-Angriffe. Um echte Ausfallsicherheit zu gewährleisten, ist es entscheidend zu verstehen, was in einem Ransomware-Szenario tatsächlich geschieht. Es sind nicht nur Backups gefährdet. Angreifer nehmen gezielt die Infrastruktur ins Visier und zerstören sie systematisch, darunter Active Directory, Identitätssysteme, virtuelle Maschinen, Hypervisoren und sogar zentrale Kommunikationskanäle wie E-Mail. Die Planung der Ausfallsicherheit erfordert ein Verständnis der Überlebensfähigkeit von Backups, der Architektur für die Wiederherstellung und der Integrität sowie umfassende Informationen über die IT-Ressourcen, die Priorisierung geschäftskritischer Anwendungen und der damit verbundenen Abhängigkeiten. Ausfallsicherheit ist erreichbar, wenn man weiß, wie man sie aufbaut – und genau darin liegt die Stärke der Erkenntnisse von Fenix24.“

Die Authentifizierung weist nach wie vor Schwachstellen auf. Jeder teilnehmende Versicherer nutzt unternehmensinterne Passwort-Tresore und schreibt strenge Anforderungen an die Passwortkomplexität vor. Alle verlangen eine Multi-Faktor-Authentifizierung für Administratorkonten, doch einige lassen weiterhin eine SMS- und E-Mail-basierte MFA zu. Beides sind Methoden, die Angreifer regelmäßig ausnutzen. Die Tools sind zwar vorhanden, doch die Konfiguration ist nicht streng genug.

Die Patching-Rate ist zu niedrig. Alle Teilnehmer führen Penetrationstests durch, darunter auch Social-Engineering-Szenarien, die sich gegen Helpdesk-Mitarbeiter richten. Nur etwa die Hälfte installiert Sicherheitspatches monatlich, was in einer Umgebung, in der Angreifer neu entdeckte Schwachstellen innerhalb von Stunden oder Tagen nach ihrer Veröffentlichung ausnutzen, nicht ausreicht.

Browsing-Kontrollen bringen Vor- und Nachteile mit sich. Die meisten Versicherer setzen DNS-Filter ein und blockieren Peer-to-Peer-Dateiübertragungen sowie webbasierte E-Mail-Dienste. All dies sind wirksame Kontrollmaßnahmen, doch einige nutzen zudem Split-Tunneling für VPNs, wodurch ein Teil des Internetverkehrs außerhalb der Verschlüsselung geleitet wird. Dies verbessert zwar die Benutzererfahrung, erhöht jedoch gleichzeitig das Risiko von Phishing-, Malware- und Abhörangriffen.

Vorbereitung statt Perfektion

Der Bericht unterstreicht eine Erkenntnis, auf die wir schon seit Jahren hinweisen: Es gibt keine „perfekte“ Sicherheitslösung. Das Streben danach schafft ein falsches Gefühl der Sicherheit. Was widerstandsfähige Organisationen von anfälligen unterscheidet, sind systemische Vorbereitungen, bewährte Wiederherstellungsfähigkeiten und das Engagement der Organisation, sich kontinuierlich zu verbessern.

Versicherer müssen, wie jedes andere Unternehmen auch, ein Gleichgewicht zwischen Sicherheit, Benutzerfreundlichkeit und betrieblicher Leistungsfähigkeit finden. Das ist die Realität. Der Bericht macht jedoch deutlich, dass die Kluft zwischen „wir haben Backups“ und „wir können uns von einem Ransomware-Angriff erholen“ nach wie vor gefährlich groß ist – selbst bei Unternehmen, die genau dieses Risiko für ihre Kunden bewerten.

Der Markt für Cyberversicherungen wächst. Die Bedrohungen nehmen noch schneller zu.

Der Markt für Cyberversicherungen verzeichnete im Jahr 2024 Nettobeiträge in Höhe von 15,3 Milliarden US-Dollar; für 2025 wird ein Anstieg auf 16,3 Milliarden US-Dollar prognostiziert. Ransomware ist nach wie vor eine der Hauptursachen für versicherte Schäden, wobei Betriebsunterbrechungen etwa die Hälfte der durchschnittlichen Kosten in Höhe von 1 Million US-Dollar ausmachen, die mit diesen Vorfällen verbunden sind.

Wenn Versicherer ihre eigenen Systeme nicht schnell wieder in Betrieb nehmen können, können sie die Versicherungsnehmer, die auf sie zählen, nicht bedienen.

Die Erholung ist das entscheidende Unterscheidungsmerkmal

Die Ergebnisse dieses Berichts bestätigen, was Fenix24 tagtäglich an vorderster Front beobachtet. Unternehmen investieren in ihre Abwehrfähigkeit. Sie kaufen die entsprechenden Tools, führen Tests durch und haken die erforderlichen Punkte ab. Doch wenn ein Angreifer durchkommt (und das wird er), stellt sich die Frage: Können Sie sich davon erholen?

Den vollständigen Bericht herunterladen: Cybersicherheit für Versicherer: Sicherheit und Service in Einklang bringen um zu erfahren, wo die Branche steht, wo die Lücken liegen und was nötig ist, um sie zu schließen.