Wie Cyberversicherungen zur Schadensminimierung beitragen können

Gezielte Angriffe auf IT-Systeme sind keine Ausnahme mehr. Die Herausforderungen für IT-Sicherheitsverantwortliche in Deutschland werden immer größer. Verstärkt sucht man nach Möglichkeiten zum wirksamen Umgang mit Cyberangriffen. Als eine wichtige Maßnahme gilt die Cyberversicherung.

Der Artikel liefert unter anderen Antworten auf folgende Fragen:

• Wie hat sich die IT-Sicherheitslage in den letzten Jahren entwickelt?
• Wie können Versicherungen Organisationen dabei helfen, die Folgen von Hackerangriffen abzumildern?
• Was umfasst eine Cyberversicherung?
• Wie haben sich Cyberversicherungen zuletzt entwickelt?
• Welche Vorbereitung ist für einen optimalen Versicherungsschutz notwendig?
• Welche Komponenten sollte eine funktionierende IT-Sicherheitsstruktur im Unternehmen beinhalten?
• Warum stellen Cyberversicherungen kein Allheilmittel dar?

Seit Jahren werden die Herausforderungen für die IT-Sicherheitslage in Deutschland immer größer. Gezielte Angriffe auf IT-Systeme sind keine Ausnahme mehr. So hat sich zum Beispiel die Anzahl von Angriffen auf Kritische Infrastrukturen (KRITIS) seit dem Ukraine-Krieg schlagartig erhöht. Aber auch andere Angriffe nehmen kontinuierlich zu. Viele Organisationen sind sich der bestehenden Bedrohungen bewusst und Cybersecurity wird zunehmend zum Gesprächsthema auf globalen Wirtschaftsforen. Ein Beispiel dafür ist die diesjährige Studie des Weltwirtschaftsforums (WEF) The Global Risks Report¹, in der Cyberkriminalität und Unsicherheit in Bezug auf Cybersecurity auf die Liste der zehn größten globalen Bedrohungen im Jahr 2023 gesetzt wurden. In Anbetracht der Situation werden verstärkt Möglichkeiten zum wirksamen Umgang mit Cyberangriffen gesucht. Als eine wichtige Maßnahme wird die Cyberversicherung genannt.

Matchmaker+ Anbieter zum Thema

zu Matchmaker+

Cyberversicherung sehr beliebt

Versicherungen, die Organisationen helfen, die Folgen von Hackerangriffen abzumildern, erfreuen sich großer Beliebtheit, insbesondere bei Großunternehmen. Auch der Mittelstand ist dieser Form der Absicherung nicht abgeneigt. Nach einer Umfrage von Statista zum Abschluss einer Cyberversicherung im deutschen Mittelstand 2021² gaben bereits zwölf Prozent der befragten Unternehmen an, dass sie eine explizite Cyberversicherung abgeschlossen haben, elf Prozent als Kombi-Police.

Eine Cyberversicherung umfasst meist eine Haftpflichtversicherung, die finanzielle Verluste ausgleicht, die einem Unternehmen durch einen Cyberangriff entstanden sind. Dazu gehören die Kosten für die Reparatur von Hard- und Software, die Deckung von Schäden, die durch Dritte verursacht werden (Verletzung der Vertraulichkeit, der Integrität oder des Zugangs zu elektronischen Daten), sowie die in einigen Ländern geltenden Geldstrafen für Unternehmen, die eine Verletzung des Schutzes personenbezogener Daten zugelassen haben.

Auch kleine Unternehmen können profitieren, denn oft haben sie keine wirksamen Strategien oder das IT-Knowhow für effektive Cybersecurity im Unternehmen. Dies macht sie zu einem attraktiven Angriffsziel für Cyberattacken. Laut einer Umfrage des Antiviren-Spezialisten Bitdefender³ bestätigen 80 Prozent der über 500 befragten IT-Sicherheitsexperten aus Deutschland, dass in der aktuellen Corona-Krise die Attacken durch Trojaner oder Phishing massiv zugenommen haben. Inzwischen ist jedoch ein allgemeiner Anstieg der Preise für diese Art von Versicherung zu beobachten. Auch die Anforderungen an Unternehmen, die eine solche Versicherung abschließen möchten, nehmen zu. Es stellt sich also die Frage, was Unternehmen tun können, um die bestmöglichen Bedingungen für eine Cyberversicherung zu erhalten.

Branchenspezifische Vorbereitung ist für einen optimalen Versicherungsschutz nötig

Zunächst einmal sollte ein Unternehmen ein Angebot wählen, das den Besonderheiten der Branche entspricht, in der es tätig ist. Dann kann es die Anforderungen des Versicherers erfüllen. Ein Unternehmen, das sich um eine Versicherung bewirbt, kann zum Beispiel aufgefordert werden, die Einhaltung aller gängigen IT-Sicherheitsstandards nachzuweisen. Wenn ein Unternehmen auf ein hohes Schutzniveau für seine IT-Umgebung bedacht ist, wird es im Falle eines Cyberangriffs leichter sein, die Ursache für eine Sicherheitsverletzung zu ermitteln.

Dazu hat schon im April 2017 der Gesamtverband der Deutschen Versicherungswirtschaft (GDV) „Allgemeine Versicherungsbedingungen für die Cyberrisiko-Versicherung“⁴ sowie einen Risikofragebogen entwickelt, die sich speziell auch an kleinen und mittelständischen Unternehmen ausrichten. Auch Versicherer selbst geben, um die Auswahl der verschiedenen Verträge zu erleichtern, im Vorfeld eines möglichen Vertragsschlusses Fragebögen zur Selbstauskunft an ihre Kunden aus. Hierbei ist es ratsam, den Kriterienkatalog so präzise wie möglich auszufüllen, damit Versicherer wissen, ob im Versicherungsfall die Kriterien auch nach Vertragsschluss wirklich eingehalten wurden. Zusätzlich kann bei der Prüfung der jeweiligen Absicherungsmaßnahmen die vom TeleTrusT – Bundesverband IT-Sicherheit e.V. veröffentlichte Handreichung zum „Stand der Technik“⁵ in der IT-Security helfen. Sowohl Fragebogen als auch Handreichung geben Unternehmen zusätzlich die Möglichkeit zu erkennen, wo noch Nachbesserungsbedarf in der eigenen Struktur besteht.

Zentrale Bausteine der Informationssicherheit

Eine funktionierende IT-Sicherheitsstruktur im Unternehmen sollte folgende Komponenten beinhalten:

• Sicherheitsrichtlinien: Zur Erstellung werden die Risiken der kritischen Informationssysteme ermittelt, um geeignete Kontrollmechanismen zur Minimierung der Risiken zu etablieren.
• Systeme und Programme zum Schutz der IT: Anwendungen zum zentralen Management von Hard- und Software sowie zur Konfigurationsüberwachung der Computersysteme
• Patchmanagement: Das regelmäßige Updaten sowie die Überwachung der eingesetzten Sicherheitssoftware, wie Personal Firewalls und Antivirensoftware, oder das regelmäßige, kontrollierte beziehungsweise automatisierte Aufspielen von Sicherheitspatches.
• Schwachstellenanalyse: Das planmäßige Überprüfen auf Schwachstellen innerhalb des eigenen Netzwerks, um Schwachpunkte für Cyberangriffe zu minimieren
• Back-up-Strategie: Eine Back-up-Strategie ist notwendig, damit im Falle eines Datenverlustes alle wichtigen Daten wiederhergestellt und der Geschäftsbetrieb schnellstmöglich wieder aufgenommen werden kann.

Diese Maßnahmen helfen, dass IT-Umgebungen nicht nur sicherer, sondern auch besser versicherbar sind. Die vollständige Kontrolle über alle vernetzten Geräte erhöht zum einen das Gesamtniveau der IT-Sicherheit eines Unternehmens. Zum anderen ist es für den Versicherer wichtig, dass er im Falle eines Cyberangriffs leicht feststellen kann, wodurch dieser verursacht wurde. Denn im Schadensfall schauen Versicherungen verständlicherweise genau auf Compliance, zum Beispiel aufgrund welcher Ursachen die Schäden in welcher Höhe entstanden sind. Herrscht Übersicht über Geräte, lassen sich Risiken besser einschätzen und Versicherungspolicen so anpassen, dass etwaige Verluste korrekt monetär kompensiert werden können.

Sicherheit in unsicheren Zeiten

Cyberversicherungen sind für große Unternehmen praktisch zur Pflichtübung geworden, auch mittelständische Unternehmen haben ihre Relevanz und den zusätzlichen Schutz erkannt. Kleine Unternehmen können von einer solchen Versicherung profitieren, sofern sie ihre bestehende IT-Infrastruktur auf Vordermann bringen. Wenn sich Unternehmen für den Abschluss einer Cyberversicherung interessieren, dann sollten sie sich beeilen: Sowohl Preise als auch die Anforderungen an einen erfolgreichen Versicherungsabschluss steigen gegenwärtig schnell.

Obschon Cyberversicherungen eine wichtige Option für Unternehmen darstellen, sich im Hinblick auf Malwareangriffe abzusichern, sind sie letztendlich kein Allheilmittel. Eine effektive IT-Security-Strategie ist nach wie vor unerlässlich für einen nachhaltigen Schutz der Unternehmensinfrastruktur.

Alexander Haugk, Senior Product Manager bei Baramundi Software

^{1 https://www.weforum.org/reports/global-risks-report-2023/
2 https://de.statista.com/statistik/daten/studie/1307582/umfrage/umfrage-zum-abschluss-einer-cyber-versicherung-im-deutschen-mittelstand/
3 https://www.bitdefender.de/news/it-spezialisten-geben-einblicke-in-ihre-it-sicherheit-in-zeiten-von-corona-3856.html
4 https://www.gdv.de/resource/blob/6100/95b61f83158d6e3459b3f92773d6d679/01-allgemeine-versicherungsbedingungen-fuer-die-cyberrisiko-versicherung-avb-cyber--data.pdf
5 https://www.teletrust.de/fileadmin/user_upload/2021-09_TeleTrusT-Handreichung_Stand_der_Technik_in_der_IT-Sicherheit_DE.pdf}

Lesen Sie mehr zum Thema

Weitere Artikel zu baramundi software AG

Personalie

Baramundi komplettiert Geschäftsführung

Vernetzte Produktion

Smart, aber gefährlich

Natives Enterprise Mobility Management

Wie EMM Deutschland im Homeoffice hilft

Schwachstellenmanagement

Kennen Sie Ihre Schwachstellen?

Mobile Security

Volle Kontrolle statt Laissez-faire

Weitere Artikel zu Mobile Security

Advertorial

Wie Unternehmen ihre mobile Kommunikation schützen

Cyan Guard 360

Cybersecurity für den Mittelstand

Videoüberwachung und LivEye

Mobile Videosicherheit als Dienstleistung

Unternehmen im Fadenkreuz

Cyberangriffe auf Rekordniveau

Onlinebetrug vorbeugen

o2 Telefónica mit neuer Identifizierungslösung für Händler

Weitere Artikel zu IoT-Security

Qualcomm kooperiert mit Advantech

KI für IoT-Anwendungen vorantreiben

Meilenstein

Vodafone vernetzt das 200-millionste IoT-Gerät

ROI trifft Realisierbarkeit

Die Vorteile schlüsselfertiger IoT-Lösungen

Fünf Schritte zur sicheren Vorbereitung

NIS2: Trotz Verzögerung müssen Unternehmen jetzt handeln

Embedded Security made in Germany

Systemabsicherung aus sich selbst heraus

Weitere Artikel zu Managed Security

Secureworks, Services, Sales AI

Sophos zeigt auf Roadshow, wohin die Reise geht

Stärkung des MSP-Geschäfts

Proofpoint übernimmt Hornetsecurity

MSP Elevate

Sophos erweitert Partnerprogramm für MSPs

Cyber Protection für die Industrie

Acronis setzt auf Partner- statt Punktlösungen

Cybersicherheit im Public Sector

Warum NIS2 mehr ist als Regulierungsdruck