Verantwortungsbewusstsein lohnt sich: Cyber-Versicherung

Ein Artikel von Lothar Geuenich, VP Central Europe bei Check Point Software Technologies | 28.11.2022 - 09:19
law-and-order-6311493 Gerd Altmann auf Pixabay.jpg

© Gerd Altmann @Pixabay

Doch verantwortlich für die IT-Abwehr ist nur das Unternehmen. Die Versicherer sind für den Fall da, dass etwas unvorhersehbares oder unvermeidbares passiert, wie die erfolgreiche Attacke einer Ransomware, trotz schärfster Sicherheitslösungen. Für einige Unternehmen, vor allem für kleine und mittlere (KMU), kann der Abschluss einer solchen Versicherung dann den Unterschied zwischen dem Fortbestehen oder der Pleite bedeuten. Das spiegelt sich im Wachstum des Marktes wider: Munich Re schätzt, dass die Prämien für Cyber-Versicherungen weltweit bis 2025 einen Wert von 22 Milliarden US-Dollar erreichen werden.

Die Zunahme an Cyber-Angriffen macht es jedoch schwierig, den Versicherungsschutz zu erhalten, denn die finanziellen Verluste, die durch eine Sicherheitsverletzung geschehen, stehen in keinem Verhältnis mehr zu den Prämien für die Police. Laut dem 2022 Cost of a Data Breach Report von IBM und dem Ponemon Institute kostet eine Datenschutzverletzung durchschnittlich 4,35 Millionen US-Dollar. Dies entspricht einem Anstieg von über 12 Prozent in nur zwei Jahren. Das durchschnittliche Lösegeld, welches bei einem Ransomware-Angriff gezahlt wird, beträgt 812 360 US-Dollar, die durchschnittlichen Gesamtkosten für die Wiederherstellung belaufen sich auf 1,4 Millionen US-Dollar.

Als Reaktion auf die zunehmenden Menge Attacken haben Versicherer begonnen, ihre Prämien zu erhöhen, um die steigenden Schadenszahlungen für Ransomware-Angriffe und Betriebsunterbrechungen decken zu können. Die hohe Zahl der Angriffe hat außerdem dazu geführt, dass die Cyber-Versicherer bei der Prüfung der internen Sicherheitskontrollen und Risiko-Bewertung eines Unternehmens sowie der Gefahren, die von Dritten (Partnern, Zulieferern, Kunden) ausgehen, strenger geworden sind. Jedoch zwingen die Prämienerhöhungen und reduzierten Cyber-Versicherungslimits, die sogar bei einer Erneuerung des Schutzbriefes auf eins bis drei Millionen US-Dollar gesenkt werden, die Unternehmen, stattdessen mehr Augenmerk auf die eigenen Abwehrmaßnahmen zu legen.

Navigieren auf dem harten Versicherungsmarkt

Um die Auszahlungen auszugleichen, haben einige Versicherer bereits harte Maßnahmen ergriffen, um bestimmte Kosten auszuschließen. Lloyds of London beispielsweise schließt Angriffe von Nationalstaaten nicht mehr in seine Cyber-Versicherungsbriefe ein, weil dies „den Markt systemischen Risiken aussetzt, mit denen Syndikate nur schwer umgehen könnten“. In Australien gewann der Versicherungsriese Chubb seinen Prozess gegen den Automobilzulieferer Inchcape, der die Kosten für die Beseitigung und Wiederherstellung nach einem Ransomware-Angriff geltend machen wollte. Das Gericht sah darin einen indirekten finanziellen Schaden, der daher nicht von der Police gedeckt ist.

Man fragt sich zurecht, was eine Cyber-Versicherung überhaupt noch abdeckt. Würde Firma eine Entschädigung für Verluste erhalten, die dadurch entstanden sind, dass ein Mitarbeiter auf eine Phishing-E-Mail geklickt hat? Würde der Anbieter eine Auszahlung vornehmen, wenn ein Lösegeld freiwillig bezahlt wird? Diese Frage könnte schwierig zu beantworten werden, wenn man bedenkt, dass die australische Regierung erwägt, die Zahlung von Lösegeld an Hacker zu verbieten.

Üblicherweise deckt eine Cyber Police vor allem die Kosten für Incident Response (IR), forensische Untersuchungen und Daten-Wiederherstellung. Die meisten Unternehmen sind froh, sich auf dieser Grundlage zu versichern, da sich die Kosten für diese Untersuchung negativ auf den Cashflow auswirken könnten. Viele haben jedoch die tatsächlichen finanziellen Auswirkungen, wie den Verlust von Marktanteilen und den Einfluss auf den Aktienkurs, nicht bedacht. Hinzu kommt der Vertrauensverlust unter Kunden und Partner, wenn ein Angriff mangels guter IT-Sicherheitslösungen erfolgreich gewesen war.

Aus diesem Grund sollten Unternehmen überlegen, ob sie IR-Teams beauftragen, die sich um die Cashflow-Problematik kümmern, während das Unternehmen die Untersuchung auf die Gefahren ausrichtet, die es als am wichtigsten hält. Dabei kann es sich um regulatorische und rechtliche Hürden handeln, oder um die Wiederherstellung des Vertrauens der Anleger und des Marktes, oder um die Vorbereitung von Beweisen zur Verwendung in einem Versicherungsfall, oder um Rechtsstreitigkeiten mit Dritten, oder um die Verteidigung von Ansprüchen in einem Rechtsstreit.

Wenn eine Cyber-Versicherungsgesellschaft die Untersuchung und Wiederherstellung nach einem Angriff jedoch deckt, kann sie ihre zugelassenen Rechts- und IR-Teams hinzuziehen, die speziell dafür zuständig sind, festzustellen, ob eines der Risiken überhaupt gedeckt werden kann und, um einzuschätzen, wie hoch die Kosten dafür wären. Sie sind aber nicht bestrebt, die Soforthilfe so durchzuführen, dass alle oben genannten geschäftlichen Risiken abgedeckt werden.

Daneben wurden und werden gesetzlich die Strafen für Datenschutzverletzungen verschärft, was einige Unternehmen veranlassen könnte, sofort nach einer passenden Cyber-Versicherung zu suchen, um diese Kosten zu decken. Es ist jedoch unwahrscheinlich, dass ein Versicherer diese Strafen einschließt, denn dies ist Sache von Rechtsberatern und Anwaltskanzleien, was bedeutet, dass die Untersuchung schnell und genau erfolgen sowie das Ergebnis in einer Gerichtsverhandlung vertretbar sein muss. 

Prävention statt Intervention

Lothar Geuenich 2020 aktuell.jpg

Autor: Lothar Geuenich, VP Central Europe bei Check Point Software Technologies.

Was im Einzelnen in einer Versicherung abgedeckt ist und was nicht, hängt weitgehend vom jeweiligen Anbieter ab, aber generell sollten IT-Entscheider davon ausgehen, dass die Versicherer die Sicherheitspraktiken des Unternehmens gründlich prüfen werden. Sie brauchen eine Bestätigung, dass vorbeugende Maßnahmen ergriffen wurden, um einen Angriff zu verhindern. Sie werden alles auf Herz und Nieren untersuchen, von der E-Mail-Sicherheit, dem Status der Multi-Faktor-Authentifizierung und den Backup-Verfahren bis hin zu den Endgeräten, der Verschlüsselung, den Firewalls und der Schulung der Benutzer.

Da die Zahl der IT-Attacken jedoch zunimmt – im dritten Quartal kam es in Deutschland zu durchschnittlich 817 Angriffen je Organisation was einem Anstieg von 27 Prozent im Vergleich zum vorherigen Jahr entspricht – müssen Unternehmen ihre Verteidigungsoptionen erweitern und sich nur zusätzlich auf eine Cyber-Versicherung verlassen. Präventive IR-Maßnahmen, die Vorbereitung auf Angriffe mit Übungen und Kompromissbewertungen sowie die Implementierung eines formalisierten und gut eingeübten Notfallplans können Unternehmen helfen, den Versicherungsstreit gar nicht erst aufkommen zu lassen. Eine konsolidierte IT-Sicherheitsarchitektur, die Zero-Day-Attacken einschließt und mit allen Arten von IT-Umgebungen umgehen kann, trägt ihren Teil zur Rund-um-Abwehr bei. Darüber hinaus empfiehlt sich die Implementierung geeigneter MDR/MPR-Lösungen (Managed Detection Response/Managed Prevention Response).

Harmonische Zusammenarbeit von Cyber-Versicherung und Cyber-Sicherheit

Um also Prämien zu senken oder überhaupt für eine Versicherung in Frage zu kommen, muss die Geschäftsleitung nachweisen, dass ihr Unternehmen über Sicherheitskontrollen, Richtlinien und gute Verfahren verfügt, um IT-Attacken abwehren zu können. Sich allein auf die Versicherung zu veranlassen, das ist fahrlässig, denn viele Beispiele aus Gerichtssälen zeigen, dass längst nicht alles von dem Schutzbrief gedeckt wird, was die Firmen-Verantwortlichen vorher gedacht haben.

Um eine konsolidierte, moderne IT-Sicherheitsarchitektur kommt daher kein Unternehmen rum. Sie muss der erste Schritt sein und die Versicherung dann, wie in allen anderen Fällen auch – ob Auto, Unfall, Berufsunfähigkeit – die Ergänzung, um im Schadensfall nicht vom Regen in die Traufe zu kommen. Viele KMU, die trotz guter Abwehrmaßnahmen eine erfolgreiche Attacke verkraften mussten, hätten ohne eine Versicherung, die dann gezahlt hat, nicht überlebt.