Erstversicherer, also diejenigen, die Policen direkt anbieten, sind besonders anfällig. Betriebsausfälle bedeuten nicht nur Umsatzverluste, sondern können auch behördliche Sanktionen, Reputationsschäden und eine Flut von Schadensfällen seitens der betroffenen Versicherungsnehmer nach sich ziehen. Auch wenn es vielleicht auf den ersten Blick nicht so erscheint: Diese Anfälligkeit wird durch die stark regulierte Natur der Branche nicht gemildert, sondern oft noch verstärkt. Versicherungsunternehmen müssen sich in komplexen, manchmal widersprüchlichen Compliance-Rahmenbedingungen zurechtfinden und sich gleichzeitig gegen immer raffiniertere Cyberbedrohungen verteidigen. Die Herausforderung besteht nicht nur darin, regulatorische Anforderungen zu erfüllen, sondern echte Resilienz aufzubauen, die sowohl den Geschäftsbetrieb als auch das Vertrauen der Kund*innen schützt.
Wie in vielen anderen Branchen ist Resilienz auch für Versicherer zum Eckpfeiler effektiver Cybersicherheitsstrategien geworden. Die Verkürzung der Wiederherstellungszeiten und die Minimierung betrieblicher Ausfallzeiten nach einem Vorfall sind unerlässlich. Dies erfordert natürlich robuste Krisenmanagementprotokolle und eine umfassende Überwachung der Lieferkette, über die viele Unternehmen nicht verfügen, was das Risiko im Falle eines unvermeidbaren Vorfalls erhöht.
Die vielleicht bedeutendste Entwicklung im Bereich der Cybersicherheit in der Versicherungsbranche ist die Erkenntnis, dass sich der Sicherheitsbereich eines Unternehmens weit über die eigene Infrastruktur hinaus erstreckt. Die Lieferketten in dieser Branche sind in der Regel fast vollständig digitalisiert, stark vernetzt und voneinander abhängig und umfassen Dritte, Vierte und weitere Parteien, von denen jede eine potenzielle Schwachstelle darstellt.
Echte Cyber-Resilienz bedeutet für Versicherer nicht nur, Risiken intern zu mindern, sondern auch, den Blick nach außen auf die Lieferkette zu richten. Um Cybervorfälle effektiv zu bewältigen, müssen Unternehmen Lieferanten auswählen, deren Cyber-Reifegrad mit ihrer Risikobereitschaft übereinstimmt, und mit diesen Lieferanten zusammenarbeiten, um eine risikobasierte Resilienzstrategie zu entwickeln.
Eine einmalige Bewertung von Lieferanten reicht für ein Risikomanagement jedoch nicht aus. Bei schnell wachsenden Technologieanbietern beispielsweise expandieren diese oft durch aggressive Übernahmestrategien und integrieren neu erworbene Unternehmen rasch, ohne die Cybersicherheitsstandards vollständig zu harmonisieren. Wenn diese integrierten Produkte Schwachstellen aufweisen, sind alle Kundenunternehmen, die darauf angewiesen sind – darunter auch Versicherer –, gefährdet. Ein Lieferant mag die anfänglichen Beschaffungsprüfungen problemlos bestanden haben, doch mangels eines kontinuierlichen Risikomanagements in Bezug auf Dritte übernimmt der Versicherer unnötige Risiken.
“Third-party risk management is core to operational resilience because a growing share of attacks now come through the supply chain. As insurers rely on many digital tools, the landscape becomes more complex very quickly, especially when vendors expand through acquisitions and integrate products that may already be vulnerable.”
Ioannis Asaridis Lead of Cyber Services, Forvis Mazars, Switzerland
Größere Versicherer beginnen, diesem Problem durch strengere Lieferantenbewertungen und vertragliche Auflagen zu begegnen, doch das Krisenmanagement stellt in weiten Teilen der Branche nach wie vor eine Schwachstelle dar. Allzu oft warten Unternehmen, bis ein Vorfall eintritt, bevor sie einen umfassenden Reaktionsplan entwickeln – doch dann ist es längst zu spät.
Dasselbe Prinzip zeigt sich zunehmend auch bei Fusionen und Übernahmen im Versicherungssektor. Die Kosten für die Integration zweier Unternehmen mit unterschiedlichem Reifegrad und unterschiedlichen Strategien im Bereich Cybersicherheit können erheblich sein, nicht nur in Bezug auf technische Abhilfemaßnahmen, sondern auch hinsichtlich der Einhaltung gesetzlicher Vorschriften und potenzieller Risiken durch übernommene Schwachstellen.
Vorausschauende Unternehmen führen mittlerweile vor dem Abschluss von Transaktionen gründliche Cyber-Bewertungen durch, wodurch der Reifegrad im Bereich Cybersicherheit zu einem entscheidenden Faktor für den Transaktionswert wird – doch diese Praxis ist bei weitem nicht überall verbreitet. Das Ergebnis ist eine sich vergrößernde Kluft zwischen Marktführern, die Cybersicherheit als strategische Priorität betrachten, und Nachzüglern, die sie in erster Linie als eine zu erfüllende Compliance-Anforderung ansehen.
Im Jahr 2026 sind regulatorische Vorgaben oft der Haupttreiber für Investitionen in die Cybersicherheit, und das gilt nicht weniger für den stark regulierten Versicherungssektor. Abgesehen von der zunehmenden Zahl spezifischer Gesetze und Richtlinien zur Cybersicherheit stellen Finanzvorschriften in vielen Ländern strenge Anforderungen sowohl an Versicherer als auch an Banken, wobei kleinere Unternehmen zunehmend denselben Standards unterliegen wie ihre größeren Konkurrenten. Dieser regulatorische Druck treibt die Aktivitäten voran, was dazu führt, dass das Thema Cybersicherheit häufiger auf der Agenda von Vorständen steht und Compliance-Programme ausgebaut werden.
Regulierungen legen jedoch eher Mindeststandards als Best Practices fest. Viele Organisationen tun sich schwer damit, über Compliance-orientierte Ansätze hinaus zu echten risikobasierten Sicherheitsstrategien zu gelangen. Ein Teil dieser Herausforderung ergibt sich aus der Schwierigkeit, den Wert von Cybersicherheitsprogrammen zu quantifizieren, solange kein größerer Vorfall vorliegt. Ohne eine klare Ausgangsbasis oder konkrete ROI-Kennzahlen bleibt die Sicherung angemessener Finanzmittel ein mühsamer Kampf.
Dennoch bedeutet die Einhaltung von Vorschriften nicht automatisch, dass tatsächliche Bedrohungen verstanden und bewältigt werden. Ersteres mag das Compliance-Risiko verringern, doch erst Letzteres schafft echte Widerstandsfähigkeit.
Neue Technologien wie KI eröffnen Versicherern große Chancen, bringen aber auch neue Herausforderungen mit sich. KI unterstützt zunehmend Geschäftsprozesse, etwa in der Datenanalyse oder im Schadenmanagement. Gleichzeitig erfordert ihr Einsatz belastbare Governance-Strukturen, die ein rein compliancegetriebener Cybersicherheitsansatz nicht zwingend abdeckt. Gerade weil Versicherer besonders schützenswerte Daten verarbeiten, sollte bei der KI-Integration die Cybersicherheit im Vordergrund stehen.
47 % der Top-Führungskräfte erwarten, dass KI im Jahr 2026 den höchsten Return on Investment (ROI) liefert. Fast ebenso viele sehen Cybersicherheit als wichtigen ROI-Treiber. Beide Prioritäten lassen sich daher nicht mehr getrennt betrachten. Versicherer brauchen einen Ansatz, der KI skaliert und gleichzeitig die Cybersicherheit stärkt. Nur so lässt sich die digitale Transformation wirksam beschleunigen.
Mit dem vermehrten Einsatz von KI wird auch die Sensibilisierung der Mitarbeiter*innen wichtiger. Sie zählen häufig zu den größten Schwachstellen in der Cybersicherheit. Wenn KI eingeführt wird, entstehen durch Eingaben, Nutzung und Interaktion zusätzliche Risiken.
“Just like how workforces are educated about phishing emails, they must be educated about AI. The difference is that the education must be unique to each organisation so end users understand what data they can input, how to validate AI outputs and other use case-specific points.”
Diman Kamp Director, Forvis Mazars, Netherlands
Auch Cyber-Teams selbst können KI nutzen, insbesondere in Bereichen wie Security Operations Centern. Größere Unternehmen zeigen derzeit jedoch einen höheren Reifegrad, wenn es darum geht, geeignete Kontrollen für diese Technologien umzusetzen.
Der Versicherungssektor steht 2026 an einem entscheidenden Punkt. Operative Resilienz muss zu einer Kernfähigkeit werden: Unternehmen müssen Angriffe schnell erkennen, wirksam reagieren und sich zügig erholen können. Dafür braucht es Investitionen in Cybersicherheit – nicht nur in Technologie, sondern auch in Menschen, Prozesse und Krisenmanagement-Fähigkeiten, die komplexe Lieferketten einbeziehen.
Die Kluft zwischen führenden Unternehmen in der Cybersicherheit und Nachzüglern dürfte zunehmend wirtschaftliche Folgen haben. Kund*innen, Regulierungsbehörden und Geschäftspartner verlangen immer häufiger belastbare Nachweise für wirksame Sicherheitsmaßnahmen.
Der Weg nach vorn erfordert von den Versicherern, über eine rein checklistenbasierte Compliance hinaus zu einer wirklich risikobasierten Cybersicherheit überzugehen, die die Vernetzung moderner Versicherungsabläufe berücksichtigt.
Für eine Branche, die auf Risikomanagement basiert, ist die Botschaft klar: Es ist an der Zeit, die gleichen Maßstäbe im Bereich Cyber-Resilienz anzuwenden.
Versicherer verfügen über sensible Daten, bearbeiten Schadensfälle mit hohem Streitwert und sind auf streng regulierte Abläufe angewiesen, was sie zu attraktiven Zielen für Cyberkriminelle macht, die nach maximaler Wirkung suchen.
Digitale Lieferketten umfassen viele miteinander verbundene Anbieter. Ohne kontinuierliche Überwachung können Versicherer neue Schwachstellen übernehmen – auch lange nachdem ein Service-Partner die ursprüngliche Sicherheitsprüfung bestanden hat.
Versicherer setzen KI zunehmend ein, um Bedrohungen besser zu erkennen und Sicherheitsprozesse zu unterstützen. Der Einsatz braucht jedoch klare Governance, damit keine neuen Risiken entstehen.
Mit einem erfolgreichen Ansatz zur Digitalen Transformation und dem Einsatz von KI haben es Unternehmen in der Hand, die eigene Zukunftsfähigkeit in Bezug auf Leistung, Widerstandsfähigkeit und Wachstum sicherzustellen. Für den Wandel reicht nicht nur eine Vision. Entscheidend sind Anpassungsfähigkeit, eine durchdachte Strategie und ein klarer Umsetzungsplan.
Confident decision-making fuelled by reliable information and processes.
The financial services (FS) sector stands at a defining moment. As we enter 2026, C‑suite leaders are navigating one of the most complex business environments of the decade. Yet they remain overwhelmingly confident in their ability to grow, transform and lead – after all, this sector has already been through and seen a lot of defining crises, so they’re arguably more capable and experienced at adapting...
This website uses cookies.
Some of these cookies are necessary, while others help us analyse our traffic, serve advertising and deliver customised experiences for you.
For more information on the cookies we use, please refer to our Privacy Policy.
This website cannot function properly without these cookies.
Analytical cookies help us enhance our website by collecting information on its usage.
We use marketing cookies to increase the relevancy of our advertising campaigns.