Cyber-Versicherung und Open-Source-Risiken

Die Schäden durch Cyberangriffe sind zwischen 2020 und 2023 von 4 auf 12 Milliarden US-Dollar gestiegen. Versicherer reagieren: Prämien steigen, Anforderungen werden strenger, Deckungsausschlüsse nehmen zu. Für Unternehmen, die ihre Open-Source-Lieferkette nicht im Griff haben, wird es zunehmend schwerer, überhaupt versicherbar zu bleiben.

Was Versicherer heute erwarten

Cyber-Versicherer prüfen vor Vertragsschluss immer genauer, wie ein Unternehmen seine IT-Risiken managt. Zu den typischen Anforderungen im Underwriting-Prozess gehören:

• Nachweisbares Schwachstellenmanagement mit dokumentierten Patch-Zeiten
• Inventarisierung der eingesetzten Software einschließlich Open-Source-Komponenten
• Governance-Strukturen für die Software-Lieferkette
• Incident-Response-Pläne und deren regelmäßige Überprüfung

Die OECD hat in ihren Analysen zum Cyber-Versicherungsmarkt darauf hingewiesen, dass die Versicherbarkeit von Cyberrisiken maßgeblich davon abhängt, ob Unternehmen ihre Risiken aktiv steuern und reduzieren. Wer das nicht nachweisen kann, zahlt mehr - oder bekommt keine Police.

Das blinde Auge: Open-Source-Komponenten

Die meisten Unternehmen haben hunderte Open-Source-Projekte in ihrer Software-Lieferkette. Für diese Projekte gibt es keine Vertragspartner, keine SLAs und keine zugesicherten Reaktionszeiten. Wenn eine kritische Schwachstelle in einer Open-Source-Komponente auftaucht, hängt die Reaktionszeit davon ab, ob ein ehrenamtlicher Maintainer Zeit und Motivation hat.

Aus Sicht eines Versicherers ist das ein unkontrolliertes Risiko. Und unkontrollierte Risiken sind schwer zu versichern.

OTTRIA ersetzt keine Versicherung

Das muss klar sein: OTTRIA ist kein Versicherungsprodukt. Wir übernehmen keine Haftung, wir zahlen keine Schäden und wir ersetzen keine Police.

OTTRIA verbessert die Versicherbarkeit

Was OTTRIA tut, wirkt sich direkt auf die Faktoren aus, die Versicherer bewerten:

• Patch-Zeiten sinken. OTTRIA überwacht alle Open-Source-Komponenten in Ihrer SBOM, erkennt Schwachstellen - auch solche, die nicht als CVE registriert sind - und koordiniert oder erstellt Fixes. Das verkürzt die Zeit zwischen Bekanntwerden und Behebung.
• Risiken werden dokumentiert. Jede erkannte Schwachstelle wird bewertet, jede Maßnahme protokolliert. Sie erhalten prüffähige Nachweise, die Sie einem Versicherer oder Auditor vorlegen können.
• Governance wird nachweisbar. Statt "wir kümmern uns darum" können Sie zeigen: Es gibt einen strukturierten Prozess, einen verantwortlichen Dienstleister und messbare Ergebnisse.
• Verwaisungsrisiken werden adressiert. OTTRIA überwacht die Vitalität der Projekte in Ihrer SBOM. Wenn ein Projekt verwaist, wird gehandelt - bevor daraus ein Sicherheitsproblem wird.

Was bedeutet das für Sie?

Die Kombination aus steigenden Cyberrisiken und verschärfter Regulierung (DORA, NIS2, CRA) macht eine Cyber-Versicherung wichtiger denn je. Gleichzeitig wird es schwerer, eine zu bekommen. Versicherer wollen sehen, dass Sie Ihre Risiken aktiv managen - auch in der Open-Source-Lieferkette.

OTTRIA liefert Ihnen die operative Grundlage und die Nachweise dafür. Nicht als Ersatz für Ihre Versicherung, sondern als Voraussetzung, dass Sie eine bekommen - und behalten.

Weiterlesen

• D&O-Haftung und die neuen Cybergesetze
• Praktische Audit-Vorbereitung
• Leistungen von OTTRIA

Sie möchten Ihr Underwriting-Profil im Open-Source-Bereich verbessern? Vereinbaren Sie ein Erstgespräch mit OTTRIA.