Cyberangriffe bedrohen Schweizer Versicherungsbranche massiv

Natürlich ist das Thema IT-Sicherheit delikat: Keine Firma, keine Versicherungsgesellschaft möchte sich hierzu in die Karten blicken lassen. «Besten Dank für Ihr Verständnis, dass wir aus sicherheitstechnischen Überlegungen keine konkreten Details zu unserer IT- und Sicherheitsarchitektur offenlegen», beschied etwa eine Gesellschaft auf Anfrage, obwohl sich ein Teil der Fragen, die HZ Insurance gestellt hatte, um die Governance und Zuständigkeiten drehen – und diese Informationen stehen bei vielen Versicherungsgesellschaften in den einschlägigen Berichten und Dokumentationen im Netz.

Die Digitalisierung in der Schweizer Versicherungsbranche bringt nicht nur neue Chancen wie den Verkauf von Cyber-Policen an Private und Unternehmenskunden, sondern auch erhebliche Risiken. Cyberangriffe, von klassischen Ransomware-Vorfällen bis hin zu KI-gestützten Angriffsmethoden, stellen Unternehmen vor die Herausforderung, ihre IT-Sicherheit strategisch, operativ und kommunikativ zu optimieren.

Das Bild ist gespalten: Denn es gibt einige Versicherer, bei dieser Umfrage mit zwölf Teilnehmern quer durch alle Varianten von Geschäftsmodellen, die detailliert und selbstbewusst Auskunft geben zu vierzehn zentralen Themen, darunter Governance auf Verwaltungsratsebene, Budgettransparenz, Vorfallsmanagement, Mitarbeiterschulung, Penetrationstests und Stakeholder-Kommunikation. Sie berichten über Reaktionszeiten, Schulungsquoten, die eingesetzten Technologien und auch vereinzelt über Sicherheitsvorfälle. Diesen bemerkenswerten Best Practices stehen auffällige Schweigezonen gegenüber. Die beantworteten Fragen wurden um wichtige Elemente ergänzt, wenn diese fehlten und wenn sich diese mit vertretbarem Aufwand auffinden liessen.  Die Versicherungsgesellschaften wurden hier anonymisiert (V1 bis V12). Es gibt bei der Darstellung und Diskussion der Resultate keine bestimmte Reihenfolge – aus dieser Reihung lässt sich also nicht ableiten, welche Gesellschaft dahintersteckt. Wie gewohnt bei diesen Umfragen verrät HZ Insurance in alphabetischer Reihung lediglich die drei Gesellschaften, die am besten abgeschnitten haben: Swiss Life, Swiss Re und die Vaudoise.

Trennung von Transparenz und Sicherheitsreife

Die Ergänzungen einiger Antworten um weitere Informationen waren nicht die einzigen Anpassungen, die hier vorgenommen worden sind. Auch das ursprünglich angedachte einfache dreistufige Bewertungsschema (Häklein: vorhanden/beantwortet; ~ = teilweise/unklar; Kreuzchen: nicht vorhanden/keine Angabe) zeigte methodische Grenzen, da es die Qualitätsunterschiede zwischen den Unternehmen nicht ausreichend abbildet. So erhielten sehr schnelle Incident-Response-Zeiten oder umfangreiche Penetrationstest-Prozesse lediglich ein Häklein, obwohl sie überdurchschnittliche IT-Sicherheitsleistungen darstellen. Um das zu adressieren, wurden hier die qualitativen Differenzierungen innerhalb der «Häklein-Kategorie» ergänzt, damit Unterschiede beim Umfang, der Detailtiefe und den Metriken sichtbar bleiben. Zudem wurde hier Transparenz der einzelnen Gesellschaften und die Sicherheitsreife getrennt, um zu vermeiden, dass ein hoher tatsächlicher Reifegrad fälschlicherweise als mangelnde Offenheit interpretiert wird oder umgekehrt. Schliesslich wurden hier auch die Prioritäten der Kategorien berücksichtigt, da nicht alle Themen gleich risikorelevant sind. Beispielsweise sind Penetrationstests und Incident-Response entscheidend, während Cyber-Versicherung oder Stakeholder-Kommunikation eher sekundär einzustufen sind. Damit entsteht hier ein differenziertes Bild, das die Transparenz, Reifegrad und die kommunikative Qualität sauber abbildet.

Governance: Einige Versicherungen machen Sicherheit zur Chefsache

Zehn von zwölf Versicherern kommunizieren eine VR-seitige Governance-Struktur für Cyber-Risiken. Die meisten benennen ein spezialisiertes Gremium – Revisionsausschuss, Prüfungs- und Risikoausschuss oder den Gesamtverwaltungsrat –, das sich mehrmals jährlich explizit mit IT-Sicherheit befasst. Das ist eine solide Ausgangslage und entspricht den wachsenden regulatorischen Erwartungen. Doch die Qualität dieser Governance variiert erheblich. Einige Unternehmen nennen konkrete Gremien, Vorsitzende und Sitzungsfrequenzen; andere begnügen sich mit der pauschalen Aussage, der Verwaltungsrat beschäftige sich «regelmässig» mit dem Thema.

Bei V4 tagt der Prüfungs- und Risikoausschuss vierteljährlich, es gibt eine Plenarberichterstattung nach jeder Sitzung. Bei V7 hat der zuständige Revisionsausschuss mindestens vier Sitzungen pro Jahr. Und bei V9 tagen der Gesamtverwaltungsrat sowie der Prüfungsausschuss je zweimal jährlich, der VR-Ausschuss Technologie & Nachhaltigkeit quartalsweise. Erwähnenswert ist auch V5, wo das Board-Risk-Committee mit einem Three-Lines-of-Defence-Modell arbeitet, hier gibt es eine jährliche Resilienz-Neubewertung.

IT-Budget: Das grosse Geheimnis

Eine Frage ergab bei allen zwölf Versicherern dieselbe Antwort: Kein einziges Unternehmen kommuniziert, wie viel Prozent seines IT-Budgets es für Sicherheit aufwendet. Einige bestätigen wenigstens, dass die Mittel in den letzten Jahren gestiegen seien; der Rest hält sich bedeckt.

Das ist branchenüblich und sicherheitstechnisch nachvollziehbar. V4 und V7 bestätigen immerhin einen steigenden Budgettrend.

Bedrohungen: Ransomware führt die Liste an

Bei der Frage nach den grössten Bedrohungsszenarien herrscht ungewohnte Einigkeit: Ransomware steht bei fast allen Befragten an erster Stelle. Doch die interessantesten Antworten stammen von jenen Versicherern, die über das Offensichtliche hinausdenken: Künstliche Intelligenz, so der Tenor mehrerer fortschrittlicher Häuser wie V7, V8 und V9 , verändert nicht das Was des Angriffs, sondern das Wie: Phishing-Mails werden überzeugender, Social-Engineering-Attacken skalierbarer, Zero-Day-Exploits schneller ausgenutzt. Mindestens ein Versicherer nennt bereits Quantencomputing als aufziehendes Risiko am Horizont. V6 berichtet von einem konkreten Anstieg der DDoS-Attacken. V4 und V8 nennen explizit weitere Risiken, die von den Lieferketten kommen.

Technologien und Penetrationstests: Solide Grundlagen

Bei den eingesetzten Schutztechnologien zeigt sich die Branche solide aufgestellt: Multi-Faktor-Authentifizierung, Datenverschlüsselung und Zero-Trust-Architektur sind bei den meisten auskunftswilligen Versicherern im Einsatz.

Neun von zwölf Unternehmen führen regelmässig Penetrationstests durch; die fortschrittlichsten wie V7 rotieren dabei bewusst die externen Testpartner, um immer frische Angriffsperspektiven zu gewinnen. V8 nennt häufige unterjährige Tests (manuell plus automatisiert), externe Spezialisten, spezifische Tests vor neuen Services. V2 und V6 nennen häufige Vulnerability Scans und Penetrationstests, die Ergebnisse werden bewertet und Verbesserungsmöglichkeiten werden adressiert.

Cloud-Nutzung ist die Norm, nicht die Ausnahme. Besonders überzeugend ist der Ansatz jener Versicherer, die ihren Cloud-Dienstleistern vertragliche Sicherheitsanforderungen mit Nachweisverpflichtung auferlegen – also nicht bloss auf Selbstdeklaration der Anbieter vertrauen.

Sicherheitsvorfälle und Datenkompromittierungen: Einige machen es gut

Nur die Versicherungen V4, V7, V8, V10 und V11 machen konkrete Angaben zu Vorfällen oder deren Fehlen. Die grosse Mehrheit schweigt. Dabei gäbe es viel Positives zu berichten: V7: Kein erfolgreicher Angriff auf Kundendaten, ein Drittanbieter-Vorfall wurde proaktiv per Briefpost kommuniziert. Oder V4: Keine erheblichen Vorfälle, man wurde aber mehrfach von Partnerunternehmen über Drittanbieter-Vorfälle informiert, es waren keine Kundendaten betroffen. Eine Versicherungsgesellschaft weist einen Vorfall bei einem ausländischen Subunternehmen aus. Die Gesellschaft V7 setzt hier den Massstab für proaktive Vorfallskommunikation: Diese Haltung schafft Vertrauen und sollte Branchenstandard werden.

V7 ist auch der einzige Versicherer mit einer konkreten Reaktionszeitangabe. Hier sind es 15 Minuten Reaktionszeit bei schwerwiegenden Vorfällen (24/7-Monitoring). V4 hat ein 24/7-Monitoring. Innerhalb 24 Stunden sind externe Ressourcen via Partner mobilisierbar. V5 arbeitet mit Cross-funktionalen Simulationsübungen, mit 24/7-Kontaktlinien und einer Whistleblowing-Hotline.

Technologien: Breites Spektrum bei den Mitteln

V7 ist darüber hinaus der einzige Versicherer, der den Zeitpunkt des letzten BCP-Tests konkret nennt. V10 und V5 zeichnen sich durch mehrstufige Teststrukturen aus: V10 unternimmt jährlich mehrere Gruppen- und Länderstufen-Tests, V5 hat jährliche OpRes-Pläne und regelmässig Tests mit Drittparteieinbezug. V4 nennt ein jährliches Testprotokoll; ein aktives Verbesserungsprojekt für BCM läuft.

Auch bei den eingesetzten Schutztechnologien sieht man ein breites Spektrum. Auch hier liefert Versicherung V7 mit MFA, Datenverschlüsselung (Transit plus Ruhezustand), Least-Privilege, Netzwerksegmentierung und Privileged Account Management die konkretesten Angaben. V5 nennt Netzwerksicherheitskontrollen, Zugriffskontrollen, Inventarmanagement, Systemhärtung, DLP und Monitoring. Bei V9 und V10 arbeitet man mit allen genannten Technologien.

Und auch das Cloud-Thema ist sicherheitsrelevant. Praktisch alle Versicherungen nutzen diese Services. V4 nimmt ein Cloud-Risk-Assessment vor, man hat vertragliche Sicherheitsanforderungen mit Nachweisverpflichtung für Dienstleister. V7 arbeitet mit einem Kriterienkatalog nach Industriestandards, man hat ein kontinuierliches Monitoring und regelmässige Audits. Und die Versicherung V5 arbeitet auf der Grundlage von ISO 27001/27002, COBIT und man nennt hier die Nutzung der NIST-Standards sowie ein risikobasiertes Drittanbieter-Risikomanagement.

Schulungen sind die Stärke der Branche

Wenn die Umfrage eine klare Stärke der Schweizer Versicherungsbranche offenbart, dann ist es die Investition in den Faktor Mensch. Elf der zwölf Versicherer führen regelmässige Schulungen und Phishing-Simulationen durch; drei bestätigen eine Schulungsquote von hundert Prozent der Belegschaft. Unangekündigte Tests sind Standard.

Diese Zahl ist bemerkenswert. Branchenvergleichswerte liegen in der Regel zwischen fünf und fünfzehn Prozent. Wer regelmässig und konsequent testet, erzielt offensichtlich Wirkung. V4 beispielsweise kommt mit Phishing-Simulationen alle zwei Monate, die (nicht erwünschte und wegtrainierte) Passwort-Eingaberate liegt unter 2 Prozent.  V7 meldet sinkende Phishing-Klickraten und die Meldungen steigen. Und V5 arbeitet mit einem umfassenden E-Learning-Programm inklusive Cyber Shield sowie mit rollenspezifischen Kursen.

Policen verkaufen ja – aber selber eine haben?

Die bemerkenswerteste Erkenntnis der Umfrage: Versicherer, die ihren Unternehmenskunden Cyber-Policen verkaufen, kommunizieren am wenigsten über ihren eigenen Versicherungsschutz. Zehn von zwölf Unternehmen machen keinerlei Angaben dazu. Nur ein Versicherer (V7) bestätigt explizit, eine eigene Cyber-Police zu besitzen; ein weiterer erwähnt eine Gruppen-Versicherungsstruktur zur Reduktion des Rest-Risikos. Eines der weltweit führenden Cyber-Versicherungsunternehmen setzt laut Analysten auf eine interne Captive-Struktur.

Auch bei der finanziellen Quantifizierung der Cyber-Risiken gibt es eine grosse Spanne zwischen den auskunftsfreundlichen Unternehmen und dem Rest. V4 ist der einzige Versicherer, der mit ERM-Tools arbeitet und eine Grössenordnung (in der Grössenordnung von mehreren Millionen Franken) nennt. Die Mehrheit quantifiziert intern, publiziert aber nicht. V7 nimmt umfassende interne Risikobewertungen inklusive Quantifizierung vor, publiziert aber keine Zahlen. Weitere erheben Eckdaten, die sie ebenfalls für sich behalten.

Ob man Eckdaten mit interessierten Fachmedien teilt oder mit den eigenen Kunden umfassend kommuniziert, sind zwei unterschiedliche Themen. Die Versicherung V7 bietet das überzeugendste Gesamtkonzept. V5 arbeitet mit ISAE 3000/SOC 2 als Transparenzinstrument und 24/7-Hotline. Neben einem eigenen Cyber-Threat-Intelligence-Report gibt es hier weitere strukturierte Stakeholder-Informationsformate.

Fazit: Proaktive Kommunikation ist ein Differenzierungsmerkmal

Das Gesamtbild dieser Umfrage ist ambivalent. Es gibt in der Schweizer Versicherungsbranche Vorbilder, die zeigen, dass Offenheit und Sicherheit keinen Widerspruch darstellen. Das ist die gute Nachricht. Die Frage ist, ob die anderen bereit sind, von ihnen zu lernen.

Die technische und organisatorische Substanz scheint bei den meisten Versicherern solide zu sein. Pentests, Schulungen, Governance-Strukturen und Incident-Response-Kapazitäten sind vorhanden und werden teilweise weiter ausgebaut. Doch die Bereitschaft, darüber zu sprechen, fehlt oft. Dabei wäre Offenheit kein Sicherheitsrisiko, sondern ein Vertrauensfaktor. Jene Versicherer, die in dieser Umfrage konkrete Antworten geliefert haben – Reaktionszeiten, Schulungsquoten, Phishing-Erkennungsraten –, wirken nicht angreifbarer. Sie wirken kompetenter. Allerdings: Versicherer, die selbst Cyber-Policen vertreiben, kommunizieren am wenigsten über ihren eigenen Versicherungsschutz. Wer Cyber-Schutz verkauft, sollte öffentlich kommunizieren, dass er selbst geschützt ist. Ansonsten riskiert man bei grösseren meldepflichtigen Vorfällen ein Glaubwürdigkeitsdefizit. 

Von einer Versicherung erhielten wir nicht viel mehr als den Satz: «Wir können Ihnen versichern, dass das Thema IT-Sicherheit bei uns hohe Priorität geniess.» Diese Aussage steht stellvertretend für eine (noch) zu weitverbreitete Haltung: Eine Berufung auf Priorität ohne jeden Beleg. In einem Umfeld, in dem Cyber-Attacken weiter zunehmen, KI die Bedrohungslandschaft verändert und die Regulierungsbehörden sowie die Stakeholder mehr Transparenz einfordern, wird diese Haltung schwieriger zu halten sein. Proaktive Kommunikation ist auch hier ein Differenzierungsmerkmal. Maximale Intransparenz schützt nicht per se. Man sendet ein problematisches Signal an Kunden und Öffentlichkeit, und das verträgt sich auch nicht mit den Digitalisierungsvorhaben.