Zur Navigation Zur Suche Zum Inhalt
Kontakt

Cyber-Versicherung – lohnt sich das?

Cyber Insurance

Beitrag von secnovum Dieser Beitrag wurde von Carlos Rieder, Security Consultant für secnovum verfasst. 

00_Carlos-Rieder-HSLU Der Mensch ist oft gutgläubig und deshalb leicht manipulierbar. Dieser Umstand wird auch für Cyber Angriffe ausgenutzt. Mit gezielter Ausbildung wird der gesunde Menschenverstand der Mitarbeitenden geschärft und die nötige Awareness bezüglich IT-Risiken sichergestellt.

Heute bieten die meisten Versicherungsgesellschaften eine Cyber-Versicherung an. Die früheren IT-Versicherungen waren von geringem Nutzen, da praktisch alle wahrscheinlichen Vorkommnisse (z. B Virenbefall) nicht versichert waren. Vor wenigen Jahren war die Deckung dieser damals neuen Cyber-Versicherungen noch deutlich besser, wenn nicht sogar grosszügig, und teilweise war auch die Lösegeldzahlung inkludiert. Aufgrund der massiven Zunahme der Schadenfälle wurden auch die Deckungslimits massiv nach unten angepasst. Die Variantenvielfalt ist gross, und somit empfiehlt sich, hier genau zu prüfen, was versichert ist und was nicht. 

Cyber Insurance_720x550

Was ist zu beachten? 

Versicherungsumfang 

Grundsätzlich muss zwischen Eigen- und Fremdschäden unterschieden werden.
 
Eigenschäden sind:
 
  • Wirtschaftliche Schäden durch Betriebsunterbrüche
  • Kosten für die Datenwiederherstellung
  • Kosten für die Systemwiederherstellung
 
Fremdschäden sind:
 
  • Datenmissbrauch (Schadenersatzansprüche Dritter)
  • Lieferverzug
  • Serviceausfall und -verzug

Inkludierte Dienstleistungen

Grosse Unterschiede finden sich oft bei den inbegriffenen Dienstleistungen des Versicherungsanbieters. Dabei kann es sich um Folgendes handeln:
 
  • Verfügungstellung von IT-Forensikexperten zur schnellen Problemlösung
  • Rechtsschutz (spezialisierte Rechtsanwälte aus den Bereichen IT und Datenschutz)
  • Unterstützung durch Kommunikations- und PR-Spezialisten
  • Übernahme der Lösegeldzahlung bei Cyber-Erpressung

Zusätzliche Leistungen 

Verschiedene Versicherungen unterstützen Kunden auch bei der Umsetzung von Sicherheitsmassnahmen, zum Beispiel durch:
 
  • Zugang zu Online-Awareness-Programmen für Mitarbeitende
  • Präventive Cyber-Assistance in Form von Hotlines oder Checklisten

Voraussetzungen für eine Cyberversicherung 

Die Versicherungsanbieter verlangen oftmals einen genügenden Level der Informationssicherheit. Die Minimalanforderungen umfassen folgende Punkte:
 
  • Regelmässige Datensicherung auf externe Medien (idealerweise Offline-Backup). Besonders wichtig sind regelmässige Wiederherstellungs-Tests, um zu prüfen, ob die Daten zuverlässig wieder eingespielt werden können.
  • Zeitnahe Installation von verfügbaren Updates (regelmässiges Einspielen aller Sicherheits-Patches zur Verhinderung von Schwachstellen)
  • Virenschutz auf allen Systemen, Clients wie Server
  • Firewall zur Einschränkung des eingehenden und ausgehenden Datenverkehrs
  • Zugriffskonzept (Einschränkung der Berechtigungen auf die zur Erfüllung der Aufgaben nötigen Informationen)
  • Notfallplanung: Überlegungen, was zu tun ist, falls doch einmal etwas passiert, idealerweise szenarienbasiert, z. B. bei Ausfall der Server-Systeme resp. der Serviceprovider, Abfluss sensitiver Informationen (Geschäftsgeheimnisse, Kundendaten) und Cyber-Erpressung

Ergänzende Hinweise 

Weiter ist zu beachten, dass keine Überschneidungen mit Leistungen bestehender Versicherungen wie z. B. einer Betriebsausfall-Versicherung vorliegen.
 
Wie immer gilt es beim Versicherungsabschluss korrekte Angaben zu machen, um nicht im Schadensfall Leistungseinbussen hinnehmen zu müssen.
 
Ist ein Security Operation Center (SOC) Teil des Sicherheitskonzepts, muss bei einem Vorfall die Aufgabenteilung zwischen Versicherung und SOC klar definiert sein.
 
Eine Cyber-Versicherung ersetzt in keinem Fall die vorgängig beschriebenen Mindest-sicherheitsmassnahmen, sondern ergänzt diese im Schadensfall.