Neue Versicherungspolicen IT-Security-Versicherungen verschärfen Kriterienkatalog

So hoch wie in den Jahren 2020 und 2021 waren laut Bitkom die Schäden durch Hacker-Attacken noch nie. Die Versicherungen reagieren mit deutlichen Anpassungen der Anforderungen für ihre IT-Security-Versicherungspolicen. Was ist dabei zu beachten? Was sind die wichtigsten Forderungen, die Versicherungsunternehmen jetzt stellen?

Firma zum Thema

Versicherungspolicen können von Anbieter zu Anbieter stark variieren. Daher sollten die jeweiligen Richtliniendetails der Assekuranzen genau geprüft werden.
Versicherungspolicen können von Anbieter zu Anbieter stark variieren. Daher sollten die jeweiligen Richtliniendetails der Assekuranzen genau geprüft werden.
(Bild: alphaspirit - stock.adobe.com)

Die Schäden durch Hacker-Attacken stiegen gemäß dem Branchenverband der deutschen Informations- und Telekommunikationsbranche (Bitkom) in 2020 sprunghaft auf 223 Mrd. Euro an. Im Vorjahr verzeichnete Bitkom nur 103 Mrd. Euro. Die Cyberversicherer reagierten darauf mit höheren Preisstellungen, detaillierteren Prüfungen der Sicherheitskontrollen bei den Versicherungsnehmern oder Einschränkungen des Versicherungsschutzes in Form von Mitversicherungen oder Limits bei Ransomware.

Umfang der Risikoabdeckung

Die einzelnen Angebote der Assekuranzen können zum Teil deutlich voneinander abweichen. Im Grunde deckt eine IT-Security-Versicherung die unmittelbaren Kosten ab, die mit einem Hacker-Angriff verbunden sind. Der Versicherungsschutz umfasst im Prinzip vier Hauptrisiken: Haftung für Netzwerksicherheit und Datenschutz, Unterbrechung des Netzwerkbetriebs, Medienhaftung sowie Fehler und Auslassungen. Eine Haftung für Netzwerksicherheit und Datenschutz kann sowohl Eigen- als auch Fremdkosten betreffen.

Von einer IT-Security-Versicherung profitieren vor allem Unternehmen, die Kundendaten bzw. persönlich identifizierbare Informationen (PII) und personenbezogene Daten online erstellen, speichern und verwalten. Fertigungsbetriebe und Online-Händler sollten ebenfalls über einen geeigneten Versicherungsschutz nachdenken, da Ausfälle durch Hacker-Angriffe zu beträchtlichen Umsatzeinbußen und Kundenabwanderungen führen können.

Schadensregulierungen schließen jedoch meist folgende Fälle aus: potentielle entgangene Gewinne, finanzieller Schaden durch den Verlust von geistigem Eigentum, Kosten zur Wiederherstellung der Reputation, Kosten für die Verbesserung interner Technologiesysteme (inkl. Software- oder Sicherheits-Upgrades nach einer Hacker-Attacke).

Kriterienkatalog der Sicherheitsaudits

Fragen der Assekuranzen, die häufig bei der Beantragung einer IT-Security-Versicherung für einen Sicherheitsaudit gestellt werden:

Regelmäßige Sicherheitskopien: Die Wiederherstellung von Daten ist eine entscheidende Voraussetzung, um Hacker-Angriffe einigermaßen unbeschadet zu überstehen. Denn selbst nach Aushändigung der Entschlüsselung durch die Hacker dauerte nach Ransomware-Angriffen ein Entschlüsselungsprozess vergleichsweise viel zu lange.

Vorhaltung verschlüsselter Backups: Die Sicherheitsaudits der Assekuranzen überprüfen nicht nur, ob die Kunden ihre Sicherheitskopien verschlüsselt und getrennt von ihrem System aufbewahren, sondern auch, ob sie offline bzw. durch einen Cloud-Service gespeichert werden. Darüber hinaus legen Versicherungen Wert darauf, dass Unternehmen Wiederherstellungs- und Wiederherstellungstests der wichtigsten Dienstkonfigurationen und Daten vornehmen. Die Erfahrung hat gezeigt, dass die meisten Firmen den Wiederherstellungsprozess erst dann testen, wenn sie angegriffen werden. Deshalb fordern Versicherer, dass Unternehmen über einen komplett durchgetesteten Notfallwiederherstellungsplan verfügen.

Zwei-Faktor-Authentifizierung: Die Risiken eines Fernzugriffs erhöhen sich, wenn Teile der Belegschaft im Homeoffice arbeiten. Eine Zwei-Faktor-Authentifizierung (2FA) soll sicherstellen, dass sich nur berechtigte User von außerhalb des Büros für Fernzugriffe auf das Unternehmen einwählen dürfen. Die Zwei-Faktor-Authentifizierung bezeichnet den Identitätsnachweis eines Users per Kombination zweier unterschiedlicher und unabhängiger Komponenten.

Bei Verwendung von Office 365: Für das Softwarepaket Office 365 empfehlen Versicherer, Office 365 Advanced Threat Protection zu nutzen. Die Zugänge sollten ebenfalls für alle Benutzer durch eine Zwei-Faktor-Authentifizierung abgesichert werden.

E-Mail-Zugriff auf einem fremden Gerät: Erlaubt ein Unternehmen seinen Mitarbeitern inhouse die Verwendung separater, meist privater Geräte für den Bürozugang, so verlangen die Versicherer die Absicherung durch eine Zwei-Faktor-Authentifizierung.

SPF bei eingehenden E-Mails: Die E-Mail-Authentifizierungstechnik Sender Policy Framework (SPF) dient dazu, Spammer daran zu hindern, Nachrichten zu versenden.

Kontodaten verändern: Versicherungsgesellschaften empfehlen eine Zwei-Faktor-Authentifizierung (2FA) ebenso für externe Finanz- oder Banktransaktionen als auch für Änderungen von Kontodaten wie beispielsweise Kontonummern, Telefonnummern oder zur Anforderung von Kontaktinformationen.

PII-Datensätze im Netzwerk: Abhängig von Branche, Unternehmen und den im Netzwerk gespeicherten persönlich identifizierbaren Informationen (PII) muss ein Überblick zu diesen Daten erstellt werden. Zu diesen sensiblen Daten zählen zum Beispiel der vollständige Name, die Sozialversicherungsnummer, der Führerschein, die Adressdaten, Kreditkarteninformationen, Reisepassdaten, Finanzinformationen und medizinische Daten.

Installation kritischer Patches prüfen: Es empfiehlt sich, Updates vor der Installation zu testen, um sicher zu stellen, dass keine unerwünschten „Nebenwirkungen“ auftreten.

Security Operations Center (SOC): Assekuranzen fordern meist für größere Unternehmen die Einrichtung einer spezialisierten Abteilung, deren einzige Aufgabe darin besteht, Cyber-Bedrohungen zu überwachen, zu erkennen, zu untersuchen und auf sie zu reagieren. Falls Ressourcen für ein SOC nicht verfügbar sind, sollte ein Drittanbieter beauftragt werden.

Ransomware-Angriffe rechtzeitig erkennen: Zur Verhinderung von Ransomware-Angriffen werden die Unternehmen dazu angehalten, folgende Aktivitäten ergreifen: Intrusion Detection- und Intrusion Prevention-Systeme installieren und konfigurieren, Antivirensoftware zu nutzen, Sicherheitssoftware und Datenbanken auf dem neuesten Stand halten, regelmäßig Server und Workstations nach veralteten Tools scannen, normalen Usern keine Administratorrechte erteilen und Mitarbeiterschulungen durchführen.

(ID:47814342)