Im zweiten Video-Interview aus der Zusammenarbeit von thebroker und The INGAGE INSTITUTE befragt, dessen CEO und Mitbegründer Philippe Séjalon den Head Cyber Specialty Manuel Pachlatko bei Aon Schweiz über Cyber-Risiken und deren Entwicklung.
Manuel Pachlatko ist der Meinung, dass Cyber-Risiken auch heute versichert werden können. In dieser Zeit des schnellen Wandels werden auch die Cyber-Versicherungen komplexer. Den Zahlen zufolge betrug das Prämienvolumen dieser Versicherungen 2019 nur halb so viel wie heute. Sie stiegen von 6 Milliarden auf über 12 Milliarden US-Dollar. Gemäss Studien ist davon auszugehen, dass sich das Prämienvolumen bis 2025 noch einmal verdoppeln und dann bis 2030 auf über 50 Milliarden US Dollar ansteigen wird.
Grenze der Versicherbarkeit
Es gibt immer eine Grenze der Versicherbarkeit. Es müssen jedoch Lösungen für den Umgang mit nicht versicherbaren Teil-Risiken gefunden werden. Neben Ausfällen kritischer Infrastrukturen ist auch ein weit verbreiteter Cloud-Ausfall ein besorgniserregendes Risiko: Zum Beispiel der Ausfall von Amazon-Web-Service oder Microsofts Cloud-Plattform Azure, da 70 – 80 Prozent der westlichen Welt direkt oder indirekt mit diesen Produkten arbeiten.
Ein schwerwiegender Fall wären Programmierfehler in Software, da diese schwere und weitreichende Schäden in der Gesamtwirtschaft verursachen können. Fragt man jedoch Unternehmen, sind Ransomware-Angriffe, also Erpressungstrojaner, immer noch am beunruhigendsten. Sie bedeuten, dass Unternehmen mit bis zu existenziellen Schäden rechnen müssen. Bis zu 80 Prozent der Gesamtschäden in der Cyber-Versicherungsbranche sind auf kriminelle Handlungen, meist Ransomware, zurückzuführen.
Kein Lösegeld bezahlen
Es ist niemals empfehlenswert, ein Lösegeld zu zahlen, da dies die Kriminellen finanziert. Kriminelle sind sehr kreativ, wenn es darum geht, Daten zu exfiltrieren und Unternehmen zu erpressen, indem sie damit drohen, sensible Daten im Dark Web zu veröffentlichen und zu verkaufen. Der Druck auf Unternehmen wurde im Jahr 2023 noch verstärkt, als sich Kriminelle direkt an die Behörden wandten, um quasi das Gesetz gegen Unternehmen einzusetzen.
Nötige Ressourcen fehlen
Die meisten Firmen sind sich bewusst, dass Cyberrisiken zu ihren Hauptrisiken gehören, jedoch haben nicht alle die nötigen Ressourcen, um das Risiko zu quantifizieren und die Hauptrisikovektoren zu identifizieren. Der Schweizer Versicherungsmarkt lehnt 20 – 30 Prozent aller Anfragen ab und unterstreicht damit, dass die Nachfrage höher ist als das Angebot. Gemäss Aon muss eine gewisse Risikoqualität erfüllt sein, um das Restrisiko auf den Versicherungsmarkt übertragen zu können.
Wie eruiert Aon die Cyber-Risiken?
Zunächst wird ein ausführlicher Risikodialog mit dem Kunden geführt und die Risikoqualität durch eine Selbstbeurteilung ermittelt. Der Kunde wird gefragt, ob er sich seiner grössten Risiken bewusst ist, sei es ein Cloud-Ausfall, Ransomware-Angriffe, Haftungsrisiken oder etwas anderes. Das Ziel ist es, den Schwerpunkt auf diese Risiken zu legen. Es hilft, dass ein Versicherungsmakler über eine Fülle von Vergleichsdaten verfügt, die den Kunden als Orientierungshilfe dienen können. In einem weiteren Schritt können die Vorkehrungen auch effektiv getestet werden, zum Beispiel durch Penetrationstests oder Tabletop-Übungen.
Wie teuer ist eine Cyber-Versicherung?
Ein umfassender und «State-of-the-Art»-Versicherungsschutz beginnt bei rund 1’000 Franken für ein KMU und kann bis zu 10 Millionen Franken für ein Grossunternehmen betragen. Der Versicherungsschutz besteht aus drei Teilen: Krisenmanagement, Eigen- und Fremdschäden. Durch das Krisenmanagement erhält der Kunde Zugang zu technischen Experten, wie z.B. Forensikern, die dabei helfen herauszufinden, wie der Angriff geschehen konnte. Da vor allem kleinere Unternehmen in der Regel keine eigene juristische Fachabteilung haben, sollte neben der Hilfe bei der Kommunikation auch die rechtliche Unterstützung hervorgehoben werden.
Erst wenige KMUs versichert
Nur 5 – 7 Prozent der KMU in der Schweiz sind gegen Cyberangriffe versichert, was besorgniserregend wenig ist, wenn man bedenkt, dass 98 Prozent aller betroffenen Unternehmen KMU sind. Deshalb sollten sich KMU unbedingt mit dem Transfer von Cyberrisiken befassen. Versicherer können die Cyberversicherungsfähigkeit von KMU relativ unkompliziert feststellen, da die Komplexität ihrer IT-Infrastruktur geringer und meist homogener ist. Die heute allgegenwärtigen Themen wie KI, das Internet der Dinge, das Metaverse oder Blockchain spielen noch eine untergeordnete Rolle – aber das kann sich schnell ändern.
Die Rolle der künstlichen Intelligenz (KI) bei Cyber-Risiken
Es gibt immer zwei Seiten der Medaille. Künstliche Intelligenz erkennt Angriffsmuster schneller und ist lernfähig. KI sollte menschliche Fähigkeiten so autonom wie möglich mit Hilfe von Technologie imitieren – und Entscheidungen treffen. All das hilft auch bei der Sicherheit – Anomalien werden schneller erkannt und können automatisch behoben oder Angreifer isoliert werden. Die Kehrseite ist allerdings, dass auch Angreifer diese Methoden nutzen können. Und da das Know-how in diesem Bereich noch sehr begrenzt ist, besteht die Gefahr, dass die Angreifer möglicherweise schon weiter sind. Es ist wichtig, die Muster der Angreifer zu kennen, und in vielen Unternehmen ist das Wissen über die eigenen Risiken leider immer noch nicht da, wo es sein sollte, sodass sie nicht genau wissen, wo KI überhaupt im Einsatz ist und was es zu schützen gibt.
Manuel Pachlatko kennt Hacker
Aon wird regelmässig zu Cyber-Veranstaltungen eingeladen oder organisiert diese selbst, auf denen auch Life Hacks vorgeführt werden. Es ist mittlerweile üblich, dass Unternehmen sogenannte White-Hat-Hacker beschäftigen, die genau wissen, wie unethische Hacker denken und operieren. Letztendlich ist der Beruf des Hackers ein Beruf wie jeder andere. Dieses Wissen ist sehr gefragt und kann zum Glück auch zum Vorteil der guten Seite eingesetzt werden.
Binci Heeb
Sehen und lesen Sie auch: Video #1: Markus Lehmann: SIBA-Präsident und Senior Broker Consultant
Video #2: Manuel Pachlatko, Head Cyber Specialty at Aon
In the second video interview from thebroker’s collaboration with The INGAGE INSTITUTE, its CEO and co-founder Philippe Séjalon asked Aon Switzerland’s Head Cyber Specialty Manuel Pachlatko about cyber risks and their development.
Manuel Pachlatko is of the opinion that cyber risks can still be insured today. In this time of rapid change, cyber insurance is also becoming more complex. According to the figures, the premium volume of these insurance policies in 2019 was only half of what it is today. They rose from 6 billion to over 12 billion US dollars. According to studies, it can be assumed that the premium volume will double again by 2025 and then rise to over 50 billion by 2030.
The limits of insurability
There is always a limit to insurability. However, solutions must be found for dealing with uninsurable tail risks. In addition to critical infrastructure failures, widespread cloud failure is also a worrying risk: for example, the failure of Amazon Web Service or Microsoft’s Azure cloud platform, as 70 – 80 percent of the Western world works directly or indirectly with these products.
A serious case would be programming errors in software, as these can cause serious and far-reaching harm to the economy as a whole. However, if you ask companies, ransomware attacks, i.e. extortion trojans, are still the most worrying. They mean that companies can face up to existential financial losses. Up to 80 percent of total losses in the cyber insurance industry are attributable to criminal acts, mostly ransomware.
Do not pay a ransom
It is never recommended to pay a ransom as this finances the criminals. Criminals are very creative when it comes to exfiltrating data and blackmailing companies by threatening to publish and sell sensitive data on the dark web. The pressure on companies was intensified in 2023 when criminals turned directly to the authorities to use the law against companies.
Lack of necessary resources
Most companies are aware that cyber risks are among their main risks, but not all have the necessary resources to quantify the risk and identify the main risk vectors. The Swiss insurance market rejects 20 – 30 percent of all requests, underlining that demand is higher than supply. According to Aon, a certain risk quality must be met in order to be able to transfer the residual risk to the insurance market.
How does Aon determine cyber risks?
First, a detailed risk dialog is conducted with the client and the risk quality is determined through a self-assessment. The customer is asked whether they are aware of their most significant risks, be it a cloud outage, ransomware attacks, liability risks or something else. The aim is to focus on these risks. It helps that an insurance broker has a vast amount of comparison data to guide clients. As a further step, the safeguards can also be tested effectively, for example through penetration tests or tabletop exercises.
How much does cyber insurance cost?
Comprehensive, state-of-the-art insurance cover starts at around CHF 1,000 for an SME and can go up to CHF 10 million for a multinational company. The insurance coverage consists of three parts: Crisis management, first-party losses and third-party claims. Crisis management gives the customer access to technical experts, such as forensic experts, who help to identify how the attack could have occurred. As smaller companies in particular do not usually have their own specialist legal department, legal support should be emphasized in addition to help with communication.
Only a few SMEs are insured
Only 5 – 7 percent of SMEs in Switzerland are insured against cyber-attacks, which is worryingly low when you consider that 98 percent of all affected companies are SMEs. This is why SMEs should definitely engage in cyber risk transfer. Insurers can determine the cyber insurability of SMEs fairly straightforwardly, as the complexity of their IT infrastructure is reduced and usually more homogeneous. Today’s omnipresent topics such as AI, the Internet of Things, the metaverse or blockchain still play a secondary role – but this can change quickly.
What role does artificial intelligence (AI) play in cyber risks
There are always two sides to the coin. Artificial intelligence recognizes attack patterns faster, is capable of learning, AI should imitate human abilities as autonomously as possible with the help of technology – and make decisions. All of this also helps with security – anomalies are detected more quickly and can be rectified automatically or attackers can be isolated. The downside, however, is that attackers can also use these methods. And since know-how in this area is still very limited, there is a risk that the attackers may already be further along. It is important to know the attackers‘ patterns, and in many companies, knowledge of their own risks is unfortunately still not where it should be, so they don’t know exactly where AI is even in use and what there is to protect.
Manuel Pachlatko knows hackers
Aon is regularly invited to or organizes cyber events where life hacks are also presented. It is now common for companies to employ so-called white-hat hackers who know exactly how unethical hackers think and operate. Ultimately, the profession of hacker is a profession like any other. This knowledge is in high demand and fortunately can also be used to the advantage of the „good side“.
Binci Heeb
Read also in German: Video #1: Markus Lehmann: SIBA-Präsident und Senior Broker Consultant
