photon_photo - stock.adobe.com
Cyberversicherungen: Risiken und Anforderungen steigen
Unternehmen, die sich durch eine Cyberversicherung vor den Folgen von Cyberangriffen schützen, erwarten 2023 höhere Kosten und strenge Vorgaben an die IT-Sicherheit.
Cyberattacken, Ransomware, Datendiebstahl – Die ungebrochen hohe Welle an digitalen Angriffen sorgt bei vielen Unternehmen für Unsicherheit. Entsprechend groß ist das Interesse, das Risiko finanzieller Schäden durch eine Cyberversicherung auszugleichen: Dabei handelt es sich um spezielle Versicherungspakete, die im Fall eines Cyberangriffs für Kosten wie Betriebsausfälle, forensische Analysen, die Wiederherstellung der IT oder sogar Krisen-PR und rechtliche Unterstützung aufkommen. Welche Leistungen enthalten sind, hängt natürlich vom jeweiligen Anbieter und Vertrag ab.
Doch auch Versicherungsunternehmen kämpfen mit der hohen Zahl an Schadensfällen. Im Vergleich zu lange etablierten Versicherungsformen wie Haushalts-, Fahrzeug- oder Lebensversicherungen sind Cyberversicherungen ein extrem junger Geschäftszweig: Die Datengrundlage für Risikoanalysen ist vergleichsweise dünn, Bedrohungen sind dynamischer und schwerer zu kalkulieren.
Steigende Angriffszahlen, wie sie insbesondere seit Beginn der Corona-Pandemie zu beobachten sind, katapultieren auch Schadenssummen in die Höhe. Nach Angaben des deutschen Gesamtverbands der Versicherer waren Cyberversicherungen im Jahr 2021 ein Verlustgeschäft, die Relation von ausgezahlten Leistungen zu eingenommenen Prämien lag bei 124 Prozent.
In der Folge haben die meisten Anbieter ihre Konditionen angepasst und dürften dies wieder tun. Neben steigenden Prämien, höheren Selbstbehalten und niedrigeren Deckungssummen werden dabei auch die Anforderungen verschärft, die Versicherungsfirmen an die IT-Sicherheit von versicherten Unternehmen stellen.
Der Kriterienkatalog geht hier längst über grundlegendste Bausteine wie Virenschutz und Firewalls hinaus. Für den Abschluss einer Police setzen Versicherungen sichere Anmeldeverfahren, Backup-Konzepte, die Sensibilisierung von Mitarbeitern für digitale Bedrohungen, sowie die aktive Verwaltung von IT-Rechten und Ressourcen voraus.
Insbesondere die Steuerung und Beschränkung von Zugriffsrechten kann dabei zur Herausforderung werden, da diese Vorgabe eine Kombination aus technischen und organisatorischen Maßnahmen erfordert. Organisationen müssen sich zunächst Klarheit darüber verschaffen, welche digitalen Assets innerhalb der Organisation existieren, welche Mitarbeiter aktuell Zugang zu diesen Ressourcen haben und wie die aktuelle Situation vom Soll-Zustand abweicht, also der Limitierung von Rechten auf ein für die jeweilige Aufgabe notwendiges Minimum.
Diese auch als Least Privilege (POLP) bekannte Best Practice der IT-Sicherheit lässt sich anschließend am besten über eine passende Software-Lösung umsetzen, welche Mitarbeiter automatisch mit benötigten Rechten ausstattet, diese bei personellen Veränderungen ohne weiteres Zutun anpasst und durch die zentrale Auswertung von digitalen Privilegien für Transparenz und Ordnung sorgt.
Wer den Schaden hat
Verpflichten sich Unternehmen im Rahmen einer Cyberversicherung zur Implementierung bestimmter Schutzmaßnahmen, ist es entscheidend, diese dauerhaft und penibel einzuhalten. Andernfalls kann es zum bösen Erwachen kommen, wenn die Versicherung im Schadensfall wegen fehlender Maßnahmen eine Zahlung verweigert. Stete Wachsamkeit und die genaue Dokumentation interner Prozesse helfen dabei, im schlimmsten Fall einen teuren Rechtsstreit zu vermeiden.
„Unternehmen müssen im Alltag, aber auch gegenüber Versicherungsprüfern jederzeit in der Lage sein, einige wesentliche Fragen zu beantworten.“
Helmut Semmelmayer, tenfold
Neben der Nichteinhaltung von Mindestanforderungen können Cyberversicherungen auch weitere Ausnahmen und Ausschlussgründe enthalten, über die sich Organisationen beim Abschluss beziehungsweise bei jeder Anpassung der Verträge genau informieren sollten. Viele Anbieter schließen inzwischen etwa Angriffe mit Ransomware beziehungsweise digitale Erpressungsversuche explizit aus oder machen die Abdeckung zu einer Sonderleistung, die separat vereinbart wird.
Ein weiterer Punkt, der rund um den Ukraine-Konflikt und die Zunahme politisch motivierter Hacks and Bedeutung gewinnt, ist der Ausschluss von Kriegsschäden. Eine solche „Act of War“ Klausel ist prinzipiell in vielen Versicherungen enthalten, auch außerhalb des digitalen Bereichs. Der Versicherungsmarkt Lloyds of London sorgte jedoch mit der Veröffentlichung vier neuer Musterklauseln für Aufmerksamkeit, welche die Ausschlusskriterien sprachlich zugunsten von Versicherern ausweiten, etwa durch die Umschreibung von Angriffen als Cyberoperationen. Nähere Informationen zu Kriegsklauseln in Cyberversicherungen.
Sicherheit von Grund auf
Die genaue Liste an Anforderungen, die Versicherungen an die IT-Security ihrer Kunden stellen, unterscheidet sich von Anbieter zu Anbieter. Dennoch gibt es hier große Überschneidungen, welche Maßnahmen als besonders relevant für den Schutz von Firmennetzwerken betrachtet werden. Dazu zählen etwa:
- Zentrales Patchmanagement, um das schnelle Einspielen von Sicherheitsupdates zu gewährleisten.
- Mehrstufige Authentifizierung (MFA), speziell wenn es um Remote-Zugriffe und privilegierte Konten geht.
- Klare und effektive Sicherheitsrichtlinien, welche regelmäßig an Mitarbeiter kommuniziert werden.
- Regelmäßige Kontrollen in Form von Schwachstellenscans oder auch Penetrationstests.
- Automatisierte Angriffserkennung und die Überwachung von Endgeräten (EDR).
Wer die eigene IT (nicht nur) im Rahmen einer Cyberversicherung erfolgreich absichern möchte, hat also viel zu tun, insbesondere wenn bestimmte Bereiche bislang eher vernachlässigt wurden. Denn der Schutz des eigenen Netzwerks muss ganzheitlich gedacht werden: Die stärkste Festungsmauer hilft nichts, wenn auf der anderen Seite eine offene Tür Angreifer einlädt. Um digitale Infrastrukturen auf ein sicheres Fundament zu stellen, gilt es von Grund auf für Transparenz und sichere Prozesse zu sorgen. Dabei spielt die Verwaltung von Konten und Berechtigungen eine zentrale Rolle.
Unternehmen müssen im Alltag, aber auch gegenüber Versicherungsprüfern jederzeit in der Lage sein, einige wesentliche Fragen zu beantworten. Welche Daten und Ressourcen umfasst die IT der Organisation? Welche Benutzer können auf unterschiedliche Informationen und Systeme zugreifen? Welchem Zweck dienen diese Berechtigungen? Sammeln Mitarbeiter mit der Zeit nicht benötigte Konten und Rechte an, wie es in vielen Firmen mangels laufender Kontrollen der Fall ist, erhöht dies nicht nur das Risiko für internen Datenmissbrauch, sondern auch die Chance, dass sich ein Angreifer dieser überflüssigen Zugänge bemächtigt.
Um diesen Risiken zu begegnen, ist es unerlässlich, Konten und Berechtigungen aktiv zu steuern und laufend an Veränderungen im Unternehmen wie Neuanstellungen, Beförderungen, Abteilungswechsel sowie Abgänge anzupassen. Aufgrund der Vielzahl an Systemen und Anwendungen, die dabei separat gepflegt werden müssen, ist dies keine leichte Aufgabe. Speziell in Organisationen mit hohen Anwenderzahlen geht der Überblick hier schnell verloren.
Über den Autor:
Helmut Semmelmayer ist VP Revenue Operations bei tenfold. Bei dem IAM-Entwickler hilft der IT-Sicherheitsexperte Unternehmen dabei Zugriffsrechte sicher und effizient zu verwalten.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.