Cyberversicherung – Schutz für Unternehmen vor dem Schaden

Für Security-Verantwortliche gibt es zwei Arten von Unternehmen: Solche, die bereits Ziel von Cyberangriffen waren – und solche, die es noch nicht wissen. Neun von zehn Unternehmen waren laut dem Branchenverband Bitkom in den beiden vergangenen Jahren von Cyberangriffen betroffen. Haupttreiber des enormen Anstiegs sind Erpressungen, die mit dem Ausfall von Informations- und Produktionssystemen sowie der Störung von Betriebsabläufen einhergehen. Der Bitkom beziffert den Gesamtschaden, der der deutschen Wirtschaft dadurch jährlich entsteht, auf rund 223 Milliarden Euro – doppelt so viel, wie in den Jahren zuvor. Und wer muss für den Schaden aufkommen? Richtig: der Geschädigte!

Allerdings können sich Unternehmen schon im Vorfeld durch ein umfassendes IT-Risikomanagement mit Maßnahmen auf mehreren Ebenen vor den drohenden Gefahren absichern. Sie können ihre Schutzsschilde hochfahren und die allgemeine Cyberresilienz gegen Angriffe und Kompromittierungen von Daten und Infrastruktur erhöhen. Und sie können bereits im Vorfeld, auf organisatorischer Ebene die Haftungsrisiken durch Abschluss einer geeigneten Cyberversicherung für Unternehmen verringern. Aber welche Versicherung ist wirklich geeignet? Wie kommen Unternehmen an die passende Versicherung, und was sollte im Vorfeld eines Abschlusses getan werden?

Der Gesamtverband der Deutschen Versicherungswirtschaft (GDV) bietet seit 2017 „Allgemeine Versicherungsbedingungen für die Cyberrisiko-Versicherung“ und einen Risikofragebogen zur fakultativen Verwendung für kleine und mittelständische Unternehmen an. Dieser hilft bei der Ermittlung des individuellen Absicherungsbedarfs. Vor Abschluss einer Cyberversicherung geben die Versicherer Fragebögen zur Selbstauskunft an ihre Kunden. Aus diesen leitet sich ab, ob ein Unternehmen überhaupt für eine Versicherung als Vertragspartner in Frage kommt, und wenn ja, wie die Policen und Konditionen im individuellen Fall zu gestalten sind. Wichtig dabei ist:

• Kriterienkatalog für den Versicherungsfall so wahrheitsgemäß wie nur möglich ausfüllen

• Kriterien auch nach Vertragsschluss im laufenden Betrieb einhalten

• Risiken ehrlich einschätzen, um passende Policen zu erhalten

Als zusätzliche Orientierung bietet die vom TeleTrusT – Bundesverband IT-Sicherheit e.V. veröffentlichte Handreichung zum „Stand der Technik“ in der IT-Security technische und organisatorische Handlungsempfehlungen und gibt einen Überblick über mögliche Maßnahmen und Schritte zur Etablierung einer IT-Sicherheitsstruktur, die den aktuellen technischen Möglichkeiten entspricht. Auch wenn dies keine Einzelfallbewertung ersetzt, kann sie im Vorfeld vertraglicher Vereinbarungen als Referenz für Unternehmen, Anbieter und Dienstleister herangezogen werden.

Nach den Basisdaten geht es in der Selbstauskunft zu Sache. Zu den zentralen Bausteinen der Informationssicherheit zählen folgende Komponenten:

• Sicherheitsrichtlinien und Risikomanagement: Zur Erstellung werden die Risiken der kritischen Informationssysteme ermittelt, um geeignete Kontrollmechanismen zur Minimierung der Risiken zu etablieren.
• Systeme und Programme zum Schutz der Informationssysteme: Hierunter fallen Anwendungen zum zentralen Management von Hard- und Software sowie zur Konfigurationsüberwachung der Computersysteme.
• Maßnahmen zum Schutz der Informationssysteme: Hierzu gehört die laufende Aktualisierung und Überwachung der eingesetzten Sicherheitssoftware, wie Personal Firewalls und Antivirensoftware, oder auch das regelmäßige, kontrollierte beziehungsweise automatisierte Aufspielen von Sicherheitspatches.
• Vulnerability Assessments: Immer wichtiger für die Netzwerksicherheit und die Aufrechterhaltung des Geschäftsbetriebs wird die regelmäßige Durchführung von Schwachstellen-Scans und -analysen sowie deren umgehende, möglichst automatisierte Behebung.
• Backup & Restore: Schutz und Prüfung der Datensicherung sind essenziell für den Fall, dass das Unternehmen bereits angegriffen wurde, damit wichtige Daten wiederhergestellt werden können.

Zu allen diesen Aspekten leistet die baramundi Management Suite (bMS) einen wichtigen Beitrag. Ihr Einsatz verhilft zu einer besseren Übersicht und Kontrolle im Netzwerk und erleichtert die Einhaltung der Compliance-Richtlinien. Mit Funktionen wie der automatischen Inventarisierung von Hard- und Software im Netzwerk, Endpoint Protection, automatisierten Updates und Patchmanagement bis hin zu Backup- und Restore-Funktionen trägt sie wesentlich dazu bei, das Niveau der Unternehmenssicherheit zu erhöhen.

Damit verbessert sie zugleich die Transparenz in puncto Security für Unternehmen, die eine Cyberversicherung abschließen wollen, und hilft ihnen, zu dem für sie jeweils besten Abschluss zu gelangen. Denn je sicherer ein Unternehmen, desto leichter wird für die Versicherer die Vergabe günstiger Versicherungsverträge, weil die Bewertung der Risiken detaillierter als gewöhnlich erfolgt. Für beide Vertragsparteien beschleunigt eine umfassende Management-Software für Endpoints das Handling im Schadensfall, während sie gleichzeitig dessen Eintreten unwahrscheinlicher macht.

Eine Cyberversicherung abzuschließen, ist für große Unternehmen heute praktisch eine Pflichtübung. Aber auch mittelständische Firmen haben ihre Relevanz und den zusätzlichen Schutz durch sie erkannt, wenngleich sie kein Allheilmittel gegen die zunehmenden Cybergefahren darstellt. Bei einer wachsenden Zahl der Clients ist es daher ratsam, für Transparenz im Netzwerk und eindeutig nachvollziehbare Security-Maßnahmen zu sorgen, die mit Managementsystemen wie der bMS nachhaltig durchgesetzt werden können. Da auch im Schadensfall von den Versicherungen verständlicherweise gerne nachjustiert wird, aufgrund welcher Ursachen die Schäden in welcher Höhe auszugleichen sind, hilft auch hier ein möglichst klarer Überblick über das Netzwerk, die verwendeten Devices, deren Software und deren jeweiliger Update-Status.