:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/e2/23e21031cde02335c81dfd78228df829/0115166204.jpeg "SSE-Lösungen bieten Sicherheit direkt in der Cloud und rücken damit einen Schritt näher an die Nutzer und ihre Endgeräte. (Bild: AkuAku - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f7/5f/f75fe8856b3a544c0e93a77c5b345685/0115186788.jpeg "Hacker haben eine neue Methode entwickelt, um über Dropbox an Zugangsdaten zu gelangen. (Bild: B_A)")
:quality(80)/p7i.vogel.de/wcms/3a/97/3a9762eff04833a94471e6fbfd205e3a/0115143155.jpeg "In diesem Video-Tipp zeigen wir, wie sich Sicherheitslücken im Netzwerk mit Metasploit und Nmap identifizieren lassen. (Bild: Kurhan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f0/76/f07608d8d7a5b66c68dd962e652507ac/0115101668.jpeg "Das Bezahlen von Lösegeld im Falle einer erfolgreichen Ransomware-Attacke ist zu kurz gedacht. (Bild: vchalup - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/11/db/11db72379b5c9331464c8b43a5330d5c/0115183494.jpeg "„KI klug einsetzen heißt: nicht zu technikgläubig sein. Denn ein KI-Werkzeug allein kann keine bestehende Sicherheitslösung ersetzen.“ sagt Jacques Boschung, CEO von Kudelski Security. (Bild: sdecoret - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/50/d7/50d7fe52fecf5c07fbb17b637be4a279/0115138647.jpeg "Der Datenschutz möchte und wird ein gewichtiges Wort bei der Gestaltung und Nutzung von KI mitreden. Neben dem AI Act der EU werden die Vorgaben der DSGVO eine zentrale Rolle spielen. (Bild: phonlamaiphoto - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/6f/c8/6fc89f7ea3b729aac10a382de00a5f90/0115140486.jpeg "Sysdig stellt neue Benchmark für Cloud-Sicherheit vor (Bild: Canva)")
:quality(80)/p7i.vogel.de/wcms/16/02/160267d3ecd7f3907f4f3ebe249e7b5b/0115143018.jpeg "Unternehmen sollten die Pro- und Contra-Argumente für On-Premise und Cloud bei E-Mail-Sicherheitslösungen für ihren individuellen Bedarf genau prüfen. (Bild: Aliaksandr Marko - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/99/c3/99c34cbcb787fb7e2effec09a190bb17/0114907624.jpeg "Bei der Überwachung und dem Auditing von Active Directory kommt man um den Einsatz spezialisierter Werkzeuge nicht herum. Wir haben uns 15 der besten Tools angesehen. (Bild: © Delta Amphule - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ab/24/ab24d00d76562a2b1ca0e7d9d06923f2/0115142429.jpeg "Totgesagte leben länger – das gilt wohl auch für Passwörter. Aber der Hype um MFA als hundertprozentige Sicherheitslösung ist ebenfalls übertrieben. (Bild: Alexander - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f6/a6/f6a621103ea58427487396f7d383509b/0115102621.jpeg "Die Implementierung einer User Lifecycle Management-Software vereinfacht und beschleunigt den Prozess der Benutzer- und Rechteverwaltung erheblich. (Bild: geniusstudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/c1/54c16a567692f949cac390626820b34e/0115102427.jpeg "Die Balance zwischen fortschrittlicher Technologie und dem Schutz unserer menschlichen Identität zu wahren ist eine Gratwanderung. (Bild: Andrea Danti - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/89/3e/893eddbc47586768cdf9a6ede1318ebd/0113634021.jpeg "Das Lieferkettengesetz regelt die Sorgfaltspflichten der Unternehmen für ihre Lieferketten mit dem Ziel der Vermeidung von Menschenrechtsverletzungen bei Zulieferern. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/6f/44/6f442605378b21b6a1ad080455818d7e/0115182398.jpeg "Unternehmen sollten wirksames Risikomanagement zeitnah umsetzen, bevor sie von der endgültigen deutschen Gesetzgebung zur NIS2-Richtlinie noch überrascht werden. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d9/2e/d92e5468b41274136166ffb7127b6d61/0115141779.jpeg "Mitarbeitende müssen über aktuelle Schwachstellen und Bedrohungen aufgeklärt werden und ein Sicherheitsbewusstsein entwickeln, um verhaltensabhängige Einfallstore zu minimieren. (Bild: freshidea - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1e/07/1e073cdae9c2c2bea53ab367850c0809/0113634031.jpeg "HTTPS ist ein Internet-Protokoll zur verschlüsselten Datenübertragung zwischen Webserver und Webbrowser. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/27/d9/27d93d4db274659ea08f4acf24d690c9/0113633997.jpeg "Ein Passkey ist ein auf dem Public-Key-Verfahren basierendes, sicheres Anmeldeverfahren ohne Passwort. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Cyberversicherungen IT-Risiken vorbeugen, IT-Schäden begrenzen
Daten gelten heute als Rohstoff des 21. Jahrhunderts. Ihren hohen Wert haben längst auch Internetkriminelle erkannt – das Risiko von Cyberattacken für deutsche Unternehmen steigt zunehmend. Im Schadensfall entstehen rasch Verluste in Millionenhöhe. Wie lassen sich diese begrenzen und was leisten Cyberversicherungen?
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/64/37/6437ab67aaef3/ftapi-icon--1c9045.png "ftapi-icon--1c9045 (FTAPI Software GmbH)"){kind=icon}
:fill(fff,0)/p7i.vogel.de/companies/63/f7/63f7704ca91c1/3a-logo-mailing-250x100.png "3a-logo-mailing-250x100 (Eye Security)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/64/4b/644b7b9f2e5b0/securityinsider-valvisio-international-profil-600x600.png "securityinsider-valvisio-international-profil-600x600 (https://www.valvisio.ag/)")
Die rasante technologische Entwicklung führt in nahezu allen Branchen zu einem gravierenden Wandel. Damit einher geht die Generierung enormer Datenmengen – die es von den Unternehmen gewinnbringend zu nutzen gilt. Daten haben sich längst zu einem bedeutenden Rohstoff des heutigen Geschäftslebens entwickelt. Ihr hoher Wert weckt jedoch auch Begehrlichkeiten von Cyberkriminellen: Studien zufolge wurde in den letzten Jahren fast jedes zweite deutsche Unternehmen das Ziel von Cyberangriffen.
Vorfälle wie der Diebstahl von Kunden-, Mitarbeiter- oder Finanzdaten, die Manipulation vertraulicher Informationen, das Lahmlegen von Produktionsanlagen oder digitale Erpressung via Ransomware können hohe finanzielle Schäden verursachen. Doch nicht nur die kurzfristigen Folgen sind gravierend. Auch langfristige Auswirkungen wie etwa Imageschäden, Sanktionen oder Rechtskosten sind für ein Unternehmen fatal. Vor allem für kleinere Firmen, die meist nicht über entsprechende Kapazitäten zur Schadensbehebung verfügen, können Angriffe existenzgefährdend sein. Experten zufolge kam es infolge eines Angriffs bei etwa jedem zweiten Unternehmen innerhalb von sechs Monaten zur Geschäftsaufgabe.
Cyberkriminalität erreicht neue Ausmaße
Hinzu kommen stetig ausgefeiltere Methoden und ein immer professionelleres Vorgehen der Angreifer. Die kürzlich erfolgte DDoS-Attacke auf den DNS-Anbieter DYN.com bei der unter anderem Internetfirmen wie Netflix oder Twitter stundenlang lahmgelegt wurden, offenbart die hohe kriminelle Energie der Hacker, die bei ihrem Angriff erstmals im größeren Stil das „Internet der Dinge“ nutzten. Damit haben Cyberangriffe eine neue Dimension erreicht – die intelligente Vernetzung von Gegenständen wie Smartwatches, Babyfones, Fitnesstrackern etc. verbreitet sich sowohl in privaten Haushalten als auch in der Wirtschaft rasant und eröffnet eine Vielzahl neuer Angriffsflächen.
Für Unternehmen gilt es daher, sich bestmöglich zu wappnen – etwa durch effektive Firewalls, Antivirensoftware oder Backup-Lösungen, aber auch eine ganzheitliche Cyber Security jenseits der reinen IT, wie beispielsweise die Entwicklung von Krisenreaktionsplänen oder die Definition von Rollen, Verantwortlichkeiten und Prozessen. So wichtig Vorbeugung auch ist, eines zeigt die Realität jedoch deutlich: Ein 100-prozentiger Schutz vor Cyberangriffen ist angesichts der fortschreitenden Digitalisierung für technologieabhängige Unternehmen nicht erreichbar.
Cyberversicherung als Bestandteil der Risikostrategie
Angesichts des steigenden Risikos, Opfer von Internetkriminalität zu werden, und der damit verbundenen immensen Schäden stellt sich für Unternehmen zunehmend die Frage, inwieweit es lohnend sein kann, eine Cyberversicherung in die vorhandene Risikostrategie zu integrieren. Dabei handelt es sich um eine Zusatzversicherung, die Eigen- und Drittschäden im Zusammenhang mit Cyberkriminalität absichert. Je nach Police übernehmen Versicherer zudem teilweise oder gänzlich die Kosten zur Wiederherstellung der Betriebsfähigkeit, falls diese infolge eines Cyberangriffs nicht mehr gegeben ist. Zugleich ermöglicht eine Cyberversicherung, im Schadensfall Unterstützung durch Experten hinzuzuziehen, wie etwa PR- und Krisenberater oder IT-Forensiker.
USA als Best Practice
Die erste Cyberversicherungspolice kam 2011 auf den deutschen Markt. Auch wenn das Angebot seitdem kontinuierlich ausgeweitet wurde, ist es hierzulande noch vergleichsweise gering. Am verbreitetsten sind diese Zusatzversicherungen in den USA – sie gelten dort als Trendprodukte. Dagegen zeigen sich deutsche Unternehmen verhaltener: Trotz hohem Risikobewusstsein sichert sich Schätzungen von Versicherern zufolge nicht einmal jedes zehnte durch eine Cyberpolice ab.
Ein Grund hierfür könnte sein, dass es bislang kaum Kosten-Nutzen-Analysen gibt, da es sich um einen relativ neuen Markt handelt. Oftmals differieren auch das subjektive Sicherheitsempfinden und die eigentliche Gefährdungslage. Teilweise versuchen Unternehmen selbst, die Cybervorfälle aufzuarbeiten, auch wenn sie nicht über ausreichend interne Kapazitäten und Fachwissen verfügen. Dies kann zu höheren Schäden und wiederholten Vorfällen führen, da oft die Aufklärung verzögert wird und keine tiefere Ursachenermittlung erfolgt.
Passgenaue Police durch detaillierte Risikoanalyse
Eine auf die individuelle Risikosituation des Unternehmens zugeschnittene Cyberversicherung kann also durchaus sinnvoll sein. Die Regelwerke der Versicherer definieren explizit abgedeckte sowie ausdrücklich ausgeschlossene Schadensfälle, sind jedoch je nach Anbieter unterschiedlich ausgestaltet. Um die notwendige Risikoabdeckung für ihren spezifischen Fall zu ermitteln, empfiehlt sich daher für Unternehmen zunächst eine genaue Analyse der eigenen Risiken.
Cyberversicherung dokumentiert Risikobewusstsein der Versicherungsnehmer
Auch im Zuge des IT-Sicherheitsgesetzes (ITSiG) sowie zahlreicher branchenspezifischer Richtlinien und Verordnungen gewinnen Cyberversicherungen an Bedeutung. So werden sie zunehmend nicht nur im Rahmen regulatorischer Vorgaben, sondern auch seitens externer Shareholder erwartet, um die Interessen des Unternehmens zu schützen. Bei Mergers & Acquisitions gelten Cyberversicherungen ebenfalls immer mehr als probates Mittel, um Risiken zu reduzieren.
Oftmals profitiert ein Unternehmen allein von der Auseinandersetzung mit dem Thema Cyberversicherung: Da hierbei die Risikoszenarien und vorhandenen Schutzmaßnahmen kritisch in den Blick genommen werden, lassen sich bereits im Vorfeld Verbesserungspotenziale identifizieren und Sicherheitsstandards erhöhen.
Fundierte Risikoeinschätzung für Anbieter
Auch für Anbieter von Cyberversicherungen kann es zum Schutz des eigenen Geschäftsmodells sinnvoll sein, Maßnahmen zu implementieren, um den Risikograd von Unternehmen bestmöglich einschätzen zu können und die Gefahr häufiger Inanspruchnahmen zu minimieren. Bevor Versicherer eine Police abschließen, unterziehen sie das zu versichernde Unternehmen einer Risikoprüfung – etwa anhand einer Selbstauskunft mittels eines Fragebogens oder in Form eines Risikodialogs zwischen internen Sachverständigen des potenziellen Versicherungsnehmers und IT-Forensik-Experten. Zudem kann beispielsweise durch die Hinzuziehung externer Fachleute im Rahmen eines Cyber Security Assessments geprüft werden, wie es um das Sicherheitssystem eines Unternehmens bestellt ist.
Incident Cyber Response – Schnelligkeit entscheidet
Im Ernstfall ist rasches Handeln unabdingbar – etwa durch den Einsatz von IT-Sicherheitsfachleuten, Krisenmanagern, forensischen Spezialisten oder Rechtsexperten. Die Fähigkeit von Unternehmen, über die eigentliche Abwehr und Schadensbegrenzung hinaus einschätzen zu können, welcher Vorfall welche Maßnahmen erfordert, um beispielsweise eine zielgerichtete Beweisdatensicherung und forensische Analyse kompromittierter Systeme zu ermöglichen, und entsprechende interne und externe Spezialisten hinzuzuziehen, wird dabei immer wichtiger. Die meisten Cyberversicherer arbeiten deshalb mit ausgewählten IT-Experten zusammen, um Ihre Versicherungsnehmer im Fall der Fälle nicht alleine im Regen stehen zu lassen.
Passende Policen – je nach spezifischer Risikolage
Unternehmen, die erwägen, eine Cyberversicherung abzuschließen, sollten zunächst den Status quo ihrer Schutzmaßnahmen und Risiken sowie ihren konkreten Sicherheitsbedarf analysieren. Welche Daten und Systeme sind besonders zu schützen? Welche Reaktionsmechanismen setzen im entscheidenden Moment ein? Wer ist im Unternehmen der definierte Krisenmanager? Sind angemessene Kommunikationskanäle für interne und externe Stakeholder etabliert? Üblicherweise beginnen Versicherer den Risikodialog mit diesen und ähnlichen Fragen, um ein Gespür für die Cybersicherheit des künftigen Versicherungsnehmers zu erhalten.
Es werden im deutschen Markt bereits eine Reihe unterschiedlicher Cyberversicherungen angeboten, die allesamt ihre Feinheiten aufweisen. Hier gilt dasselbe Prinzip wie für die klassischen Versicherungen: unterschiedliche Ausprägungen in Bezug auf Beiträge, Deckungssummen und abgedeckte Schäden sollten von den Unternehmen im Rahmen Ihrer Bedarfsfindung evaluiert und ausgewählt werden. Hat sich der Leistungsumfang der einzelnen Versicherer bei den klassischen Versicherungen über die letzten Jahre zum Teil einander angenähert, unterscheiden sich Cyber-Versicherungen in der Regel noch stark in ihrem Leistungsspektrum. Hier gilt es, für die Unternehmen einen bedarfsgerechten Versicherungsumfang auszuwählen.
Damit die spezifischen Gefährdungen eines Unternehmens bestmöglich abgedeckt sind und die Cyberversicherung dessen gesamte Cyberverteidigungsstrategie wirkungsvoll ergänzen kann, empfiehlt sich das Einbinden externer Sachverständiger bereits bei der Anbahnung zwischen Versicherungsnehmer und Versicherer.
* Michael Sauermann ist Partner im Bereich Forensic Technology bei KPMG AG Wirtschaftsprüfungsgesellschaft und betreut insbesondere die Bereiche Cyber Forensic / Cyber Investigations sowie Forensic Data Analytics.
(ID:44409614)
:quality(80)/p7i.vogel.de/wcms/b3/c6/b3c641a4d3910d7e2aecfe566eacc8ef/0111572419.jpeg "Durch Cyberversicherungen versuchen viele Unternehmen das Geschäftsrisiko digitaler Bedrohungen abzufedern – doch Konditionen und Anforderungen steigen. (Bild: VideoFlow - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a6/ca/a6ca4fd5895719afa5c74df4b5257759/0110984614.jpeg "Sicherheitsrisiken abzusichern, hat für viele IT-Vverantwortliche Priorität. Doch die Kosten sind gestiegen – und die Voraussetzungen auch. Delinea gibt sieben Tipps, wie Unternehmen Cyberversicherer zufrieden stellen. (Bild: peopleimages.com - stock.adobe.com)")