Versicherer haben steigende Anforderungen an ihre Kunden und erhöhen die Preise, wenn es um Cyber-Versicherungen geht. Richtig so! Denn viele Unternehmen unterschätzen die Risiken. So lässt sich das ändern.
Gigantische Schäden, kaum Gegenwehr
Cyber-Attacken seien unversicherbar, diese Meinung vertritt Mario Greco. Die Aussage sorgte für Aufsehen, denn Greco ist nicht irgendwer. Als Chief Executive Office der Zurich Insurance Group leitet er eines der größten Versicherungsunternehmen der Welt.
Mit dem Statement beschrieb Greco eine brisante Lage: Unsere Welt wird zunehmend unsicherer, doch die Folgen von Klimawandel-Umweltschäden und kriegerischen Auseinandersetzungen sind nicht die einzigen großen Bedrohungen. Auch die Angriffe von sogenannten Cyber-Kriminellen gefährden unser Überleben.
Hacker attackieren Start-ups und Großkonzerne gleichermaßen. Und sie nehmen kritische Infrastrukturen ins Ziel. Einerseits, um diese zu sabotieren oder direkt Schäden anzurichten. Andererseits, um mittels Ransomware hohe Lösegeld-Summen zu erbeuten.
Das Problem sind nicht nur die Cyber-Angriffe. Viel schwerer wiegt, dass viele Unternehmen immer noch zu wenig dagegen unternehmen. Sie ergreifen wenige IT-Sicherheitsmaßnahmen und diese sind oftmals nicht effektiv und effizient. Oder es werden eminent wichtige Mechanismen wie Backup/Restore, Netzwerksegmentierung oder auch Systemhärtung vergessen. Dabei gehört “System Hardening” nicht erst 2023 zu einer gesamtheitlichen Strategie dazu.
Die Folgen der wachsenden Cyber-Attacken
Die Auswirkungen spüren die Anbieter von Cyber-Versicherungen: Die Nachfrage steigt, doch noch rasanter wachsen die Ausgaben an. 2021 überstiegen die Aufwendungen zum ersten Mal die Einnahmen, so der GDV (Gesamtverband der Deutschen Versicherungswirtschaft). Die Schaden-Kosten-Quote schnellte innerhalb eines Jahres von 65 Prozent auf 124 Prozent hoch. Die Versicherer fahren somit Verluste mit ihren Cyber-Versicherungen ein.
Deshalb reagieren die Versicherer derzeit in verschiedenen Bereichen:
-
- Sie prüfen kritischer als zuvor die Ausgangssituation der Antragsteller
- Sie kürzen Leistungen oder zahlen in gewissen Fällen gar nicht mehr
- Sie heben ihre Beiträge – teilweise massiv – an
Das bedeutet für Ihr Unternehmen, wenn es eine Cyber-Versicherung abschließen möchte: Sie müssen mit höheren Kosten und weniger Schadensdeckung rechnen, unter Umständen erhalten Sie gar keine Police.
Kommt es zum Fall der Fälle – einer erfolgreichen Cyber-Attacke – bleibt Ihre Firma im Zweifelsfall auf allen Kosten sitzen. Und die können schnell Hunderttausende oder gar Millionen von Euro kosten. Eventuell führt der Security-GAU sogar in die Insolvenz, weil wichtige Unternehmensdaten einfach nicht mehr wiederherstellbar sind oder (Haupt-) Kunden die Geschäftsbeziehung aufkündigen.
Welche Vorsichtsmaßnahmen können Sie ergreifen?
Die Antwort darauf ist simpel: Sichern Sie Ihre IT-Systeme ab! Machen Sie es Angreifern so schwer wie möglich, in Ihre Infrastruktur einzubrechen und dort große Schäden anzurichten. Und sollten Ihre Systeme kompromittiert sein, müssen Sie das schnellstmöglich erkennen und Gegenmaßnahmen einläuten.
Halten Sie sich an den IT-Security-Dreiklang “Protect – Detect – Respond” beziehungsweise an die fünf Schritte des NIST Cybersecurity Framworks: “Identify – Protect – Detect – Respond – Recover”.
In jedem Bereich gibt es zahlreiche Maßnahmen, die Sie ergreifen können. Zum Beispiel sollten Sie Anti-Malware-Suiten sowie SIEM- und MDR-Lösungen einsetzen, um die Bereiche “Detection” und “Response” abzudecken. Und bei einem Vorgehen nach dem Zero-Trust-Konzept wissen Sie, dass Sie zuerst Ihre Systeme härten müssen, um die Angriffsflächen deutlich zu verringern.
Erhält man eine Cyber-Versicherung ohne Härtung?
Wenn Sie eine Cyber-Versicherung für Ihr Unternehmen abschließen möchten, müssen Sie in der Regel einen Fragenkatalog ausfüllen. Mit der “Checkliste” klärt der Versicherer ab, wie gut Sie aktuell Ihre IT-Systeme absichern. Werden hier grundlegende Maßnahmen nicht erfüllt, steigt das Risiko. Dementsprechend erhält Ihre Firma erst gar kein Versicherungsangebot oder die Konditionen sind entsprechend.
Immer mehr Versicherungen erwarten von Ihnen, dass der Stand der Technik erfüllt wird. Das können Sie unter anderem mit Audits und Zertifizierungen nachweisen. Eine wichtige Norm ist die endgültige Fassung der ISO 27001. Diese stellt bei bestimmten Unternehmen – beispielsweise ab einer gewissen Größe – kein “nice to have”, sondern ein “must have” dar. Dementsprechend fordern Cyber-Versicherer einen ISO-27001-Nachweis oder andere adäquate Nachweise ein.
In der ISO 27001 wie auch in diversen, neuen IT-Gesetzen und Regularien wird explizit die sichere Konfiguration von Hardware und Software gefordert. Ihr Unternehmen hat damit unter anderem seine Systeme auf den Stand der Technik zu bringen und alle Windows-Server zu härten – idealerweise nach den Standards von BSI, CIS oder DISA. Zum Beispiel, indem es die guten Tipps der BSI-Windows-10-Härtung umsetzt.
Fazit
Hat Ihr Unternehmen eine Cyber-Versicherungs-Police, kann das eine gute Sache sein. Im Schadensfall kommt Ihr Versicherer teilweise oder gesamt für die Kosten auf. Er zahlt zum Beispiel Entschädigungen für die Betriebsunterbrechung, die Aufwände für eine Daten-Wiederherstellung oder die Ermittlungen durch die IT-Forensik.
Damit Sie diese Leistungen erhalten, müssen Sie etwas tun: Sichern Sie Ihre Systeme bestmöglich ab und halten Sie für den Fall der Fälle regelmäßig aktualisierte Nachweise bereit. Für die Nachweiserzeugung zum Thema Systemhärtung können Sie das AuditTAP einsetzen.
Haben Sie Probleme, eine Cyber-Versicherung abzuschließen, oder fallen die Beträge zu hoch aus, sollten Sie alarmiert sein: In Sachen Informationssicherheit, Datenschutz und Compliance erwartet Ihre Versicherung mehr von Ihnen! Packen Sie die Themen schnellstmöglich an – ansonsten steigt das Risiko, dass Ihr (unversichertes) Unternehmen bald ein Opfer von Cyber-Gangstern werden kann.
Sollen wir Ihnen helfen?
Möchten Sie wissen, wie Sie eine (automatisierte) Systemhärtung professionell realisieren und in Ihrem Unternehmen implementieren können? Sprechen Sie uns an – unsere Experten für Systemhärtung sind gerne für Sie da!
Bild: Pexels