IT Security | System Administration

Cyberversicherung: Vor dem Schaden wird man klug

30. Mai 2022, Avatar of Peter MeiversPeter Meivers

Gleich nach dem Staubsaugervertreter rangierte der Versicherungsvertreter vor einiger Zeit noch als ein Besuch, den man lieber hinter als vor sich hat. Die Zeiten haben sich geändert, denn mittlerweile muss man sich selber um die richtige Versicherung bemühen. Im Rahmen ihres Risikomanagements sollten Unternehmen an eine Cyberversicherung denken. Aber wie kommen sie zur passenden Versicherung?

Für Security-Verantwortliche gibt es zwei Arten von Unternehmen: Solche, die schon einmal von Hackern angegriffen worden sind, und solche, die es noch nicht wissen. Neun von zehn Unternehmen waren laut dem Branchenverband Bitkom in den beiden vergangenen Jahren von Cyberangriffen betroffen. Haupttreiber des enormen Anstiegs sind Erpressungen, die mit dem Ausfall von Informations- und Produktionssystemen sowie der Störung von Betriebsabläufen einhergehen. Bikom beziffert den Gesamtschaden, der dadurch der deutschen Wirtschaft jährlich entsteht, auf rund 223 Milliarden Euro – doppelt so viel, wie in den Jahren zuvor. Und wer muss für den Schaden aufkommen? Richtig: der Geschädigte!

Allerdings können sich Unternehmen schon im Vorfeld durch Maßnahmen auf mehreren Ebenen vor den drohenden Gefahren absichern. Sie können ihre Schutzsschilde hochfahren und die allgemeine Cyberresilienz gegen Angriffe und Kompromittierungen von Daten und Infrastruktur erhöhen. Und sie können bereits im Vorfeld, auf organisatorischer Ebene die Haftungsrisiken durch Abschluss einer geeigneten Cyberversicherung verringern. Aber welche Versicherung ist wirklich geeignet? Wie kommen Unternehmen an die passende Versicherung, und was sollte im Vorfeld eines Abschlusses getan werden?

Was leistet eine Cyberversicherung?

Eine Cyberversicherung unterscheidet sich von einer IT-Berufshaftpflichtversicherung. Letztere deckt beispielsweise Ansprüche auf Schadenersatz sowie Schadensfälle ab, die Einschränkungen zugesagter Funktionen oder verminderte Services betreffen. Hingegen springt die Cyberversicherung bei Schäden ein, die unverschuldet entstehen. Formell handelt es sich dabei um Informationssicherheitsverletzungen (ISV). Eine ISV tritt ein, wenn Vertraulichkeit, Integrität oder Verfügbarkeit von elektronischen Daten verletzt werden. Auch die Authentizität als eindeutige Identität der Kommunikationspartner spielt im Zusammenhang der Schutzziele eine wichtige Rolle. In der Praxis handelt es sich aber bei der Cyberversicherung oft um eine Kombination aus Haftpflicht-, Betriebsausfall- und Datenversicherung für Dritt- und Eigenschäden in Form von Vermögensschäden.

Die Schäden treffen nicht nur die Gesamtwirtschaft, sondern können insbesondere für das einzelne Unternehmen existenzbedrohende Ausmaße annehmen. Und sie ziehen nicht nur Umsatzeinbußen nach sich, sondern auch Arbeitsausfälle, Kosten zur Wiederherstellung der IT-Infrastruktur und zur Wiederbeschaffung der Kundendaten. Dazu kommen Folgemaßnahmen und Kosten, etwa für das Krisenmanagement und schwer bezifferbare Verluste durch Reputationseinbußen. Eine Cyberversicherung sollte daher als ein wichtiger Bestandteil des umfassenderen Risikomanagements eines Unternehmens angesehen werden.

Wie kommen Unternehmen zur geeigneten Cyberversicherung?

Um einen Anhaltspunkt für beide Parteien des angestrebten Vertragsverhältnis zu geben, hat der der Gesamtverband der Deutschen Versicherungswirtschaft (GDV) im April 2017 „Allgemeine Versicherungsbedingungen für die Cyberrisiko-Versicherung“ und einen Risikofragebogen zur fakultativen Verwendung entwickelt. Zielgruppe sind kleine und mittelständische Unternehmen, die dadurch wichtige Anhaltspunkte bekommen. Fragebögen zur Cyberversicherung geben die Versicherer im Vorfeld des Vertragsschlusses zur Selbstauskunft an ihre Kunden. Natürlich ist es ratsam, den Kriterienkatalog so wahrheitsgemäß wie nur möglich auszufüllen, da die Versicherer im Versicherungsfall genau darauf schauen, ob die Kriterien auch nach Vertragsschluss wirklich eingehalten wurden. Aus der Selbstauskunft leitet sich ab, ob ein Unternehmen überhaupt für eine Versicherung als Vertragspartner in Frage kommt, und wenn ja, wie die Policen und Konditionen im individuellen Fall zu gestalten sind.

Eine zusätzliche Hilfe zur Prüfung der jeweiligen Absicherungsmaßnahmen bietet die vom TeleTrusT – Bundesverband IT-Sicherheit e.V. veröffentlichte Handreichung zum „Stand der Technik“ in der IT-Security Sie enthält technische und organisatorische Handlungsempfehlungen und gibt einen Überblick über mögliche Maßnahmen und Schritte zur Etablierung einer IT-Sicherheitsstruktur, die den aktuellen technischen Möglichkeiten entspricht. Im Vorfeld vertraglicher Vereinbarungen kann sie als Referenz für Unternehmen, Anbieter und Dienstleister herangezogen werden, ersetzt jedoch nicht die Bewertung im Einzelfall.

Bausteine der Informationssicherheit

Nach den Basisdaten geht es in der Selbstauskunft zu Sache. Zu den zentralen Bausteinen der Informationssicherheit zählen folgende Komponenten:

  • Sicherheitsrichtlinien und Risikomanagement. Zur Erstellung werden die Risiken der kritischen Informationssysteme ermittelt, um geeignete Kontrollmechanismen zur Minimierung der Risiken zu etablieren.
  • Systeme und Programme zum Schutz der Informationssysteme. Hierunter fallen Anwendungen zum zentralen Management von Hard- und Software sowie zur Konfigurationsüberwachung der Computersysteme.
  • Maßnahmen zum Schutz der Informationssysteme. Hierzu gehört die laufende Aktualisierung und Überwachung der eingesetzten Sicherheitssoftware, wie Personal Firewalls und Antivirensoftware, oder auch das regelmäßige, kontrollierte beziehungsweise automatisierte Aufspielen von Sicherheitspatches.
  • Vulnerability Assessments. Immer wichtiger für die Netzwerksicherheit und die Aufrechterhaltung des Geschäftsbetriebs wird die regelmäßige Durchführung von Schwachstellen-Scans und -analysen sowie deren umgehende, möglichst automatisierte Behebung.
  • Backup & Restore. Schutz und Prüfung der Datensicherung sind essenziell für den Fall, dass das Unternehmen bereits angegriffen wurde, damit wichtige Daten wiederhergestellt werden können.

Zu allen diesen Aspekten leistet die baramundi Management Suite (bMS) einen wichtigen Beitrag. Ihr Einsatz verhilft zu einer besseren Übersicht und Kontrolle im Netzwerk und erleichtert die Einhaltung der Compliance-Richtlinien. Mit Funktionen wie der automatischen Inventarisierung von Hard- und Software im Netzwerk, Endpoint Protection, automatisierten Updates und Patchmanagement bis hin zu Backup- und Restore-Funktionen trägt sie wesentlich dazu bei, das Niveau der Unternehmenssicherheit zu erhöhen. Damit verbessert sie zugleich die Transparenz in puncto Security für Unternehmen, die eine Cyberversicherung abschließen wollen, und hilft ihnen, zu dem für sie jeweils besten Abschluss zu gelangen. Denn je sicherer ein Unternehmen, desto leichter wird für die Versicherer die Vergabe günstiger Versicherungsverträge, weil die Bewertung der Risiken detaillierter als gewöhnlich erfolgt. Für beide Vertragsparteien beschleunigt eine umfassende Management-Software für Endpoints das Handling im Schadensfall, während sie gleichzeitig dessen Eintreten unwahrscheinlicher macht.

Ausblick

Eine Cyberversicherung abzuschließen, ist für große Unternehmen heute praktisch eine Pflichtübung. Aber auch mittelständische Firmen haben ihre Relevanz und den zusätzlichen Schutz durch sie erkannt, wenngleich sie kein Allheilmittel gegen die zunehmenden Cybergefahren darstellt. Bei einer wachsenden Zahl der Clients ist es daher ratsam, für Transparenz im Netzwerk und eindeutig nachvollziehbare Security-Maßnahmen zu sorgen, die mit Managementsystemen wie der bMS nachhaltig durchgesetzt werden können. Da auch im Schadensfall von den Versicherungen verständlicherweise gerne nachjustiert wird, aufgrund welcher Ursachen die Schäden in welcher Höhe auszugleichen sind, hilft auch hier ein möglichst klarer Überblick über das Netzwerk, die verwendeten Devices, deren Software und deren jeweiliger Update-Status.

Abgesehen von diesen intrinsischen Faktoren, die für den Abschluss einer Cyberversicherung sprechen, kommt ein Motiv von außen dazu, warum Unternehmen sich möglichst rasch um eine entsprechende Versicherung kümmern sollten: die schnell wachsende Prämienentwicklung bei Cyberversicherungen. Bereits im vierten Quartal des vergangenen Jahres stiegen die Prämien laut Handelsblatt um 65 Prozent im Vergleich zum Vorjahr – während die Prämien anderer Schadens-Unfallversicherungen lediglich um 13 Prozent zunahmen. Ein Grund dafür dürfte die Welle an Ransomware-Angriffen sein, die vergangenes Jahr stark angestiegen ist. Ein weiterer, neuer Grund ist der Krieg in der Ukraine, in dessen Zuge die Versicherer mit vermehrten, kostspieligen Cyberattacken aus Russland rechnen. Ein schneller, präziser Überblick über die wichtigen Assets im Unternehmen kann daher viel Zeit und damit auch Geld sparen.

Mehr lesen?