Das Internet of Things (IoT) eröffnet nicht nur Industrieunternehmen ganz neue Möglichkeiten: Auch Versicherungen können profitieren, denn die Risiken von vernetzten Produkten können durch Betreiber und (kleinere) Hersteller oft nicht getragen werden und wollen aus diesem Grund versichert sein. Bei der Einschätzung der Cyber-Risiken für ihre potenziellen Kunden darf jedoch nicht nur die Datensicherheit im Fokus stehen – in den Versicherungsleistungen muss auch die Sicherheit vernetzter Geräte berücksichtigt werden. Letztere zu beurteilen, ist nicht trivial. Wie Versicherer am besten vorgehen, erfahren Sie in diesem Blog.

In regelmässigen Abständen werden Cyber-Attacken auf Schweizer Unternehmen publik: Cyber-Kriminelle legen die IT-Infrastruktur lahm, sodass das betroffene Unternehmen während mehrerer Tage keine Waren ausliefern kann, Hacker stehlen Daten und fordern Lösegeld – dies sind zwei reale Beispiele aus der jüngeren Vergangenheit. Cyber-Kriminalität ist zur grössten Bedrohung für Unternehmen geworden, wie eine aktuelle Studie von Allianz zeigt.

Dabei steht die Digitalisierung der Wirtschaft noch in den Anfängen und gerade in der Industrie liegt viel potenzielles Wirtschaftswachstum noch brach: Der Weg zur Smart Factory, in welcher vernetzte, intelligente Maschinen selbstständig produzieren, Prozesse optimieren und dabei über die Grenzen des Unternehmens hinaus entlang der Supply Chain kommunizieren, ist bei den meisten Industriefirmen indes noch lang. Das bedeutet allerdings auch, dass das Potenzial für Cyber-Kriminelle längst nicht ausgeschöpft ist und auf dem Weg zur Digitalisierung zunimmt.

Denn je mehr Produkte und Geräte durch das IoT vernetzt sind, desto zahlreicher die Schnittstellen und damit auch weitere mögliche Angriffspunkte. Folglich steigt das Bedürfnis von Unternehmen – ob aus der herstellenden Industrie oder Betreiber, welche mit IoT-Geräten ausgerüstet sind –, sich gegen Cyber-Risiken abzusichern. Dadurch entsteht für Versicherungen ein neues Geschäftsfeld.

IoT Security – massgebend für die Risikokalkulation

Allerdings: Bisher fokussieren Versicherer bei der Beurteilung der Restrisiken ihrer Kunden stark auf die Datensicherheit, um den passenden Versicherungsschutz festzulegen. Wie gut Unternehmensdaten gegen Cyber-Risiken geschützt sind, ist für die Berechnung der Schadenswahrscheinlichkeit mit Eintrittswahrscheinlichkeit und Schadensausmass zentral. Das ist zwar nach wie vor richtig und wichtig, reicht aber in einem IoT-Ökosystem nicht mehr aus.

Als Beispiel für diese zu enge Sichtweise kann die Übernahme eines IoT-Gerätes durch Cyber-Kriminelle in ein Distributed Denial of Service (DDoS)-Botnetz aufgeführt werden. Diese Übernahme beeinträchtigt sowohl die Wertschöpfung des eigenen Unternehmens als auch diejenige von mit diesem IoT-Gerät angegriffenen Unternehmen (in anderen Ländern). In diesem einfachen Szenario spielt die Datensicherheit eine untergeordnete Rolle, jedoch kann die mangelnde IoT-Gerätesicherheit die involvierten Versicherungen von Hersteller und Betreiberfirma mit komplexen Schadensersatzforderungen konfrontieren.