Jeder zweite Cyber-Angriff führt zu Produktionsausfall
Februar 9, 2018
Cyberpolicen | Cyberangriffe auf Unternehmen: Ein Hack, eine versetzte Schweißnaht - fatale Folgen
„Cyber Readiness“ deutscher Unternehmen mangelhaft
Februar 13, 2018

Cyberversicherung als neuer KMU-Standard?

Cyberpolicen | Über uns

Als Versicherungsmakler haben wir uns auf das Produkt der Cyber-Versicherung spezialisiert.

Schutz nach dem Hackerangriff

Cyberversicherung als neuer KMU-Standard?



Der Gesamtverband der Deutschen Versicherungswirtschaft (GDV) will der Cyberversicherung auch im KMU-Umfeld zum Durchbruch verhelfen.

Sind Sie gegen die Gefahren der Cyberwelt versichert? Stellen Sie sich darauf ein, dass Ihnen diese Frage immer öfter gestellt wird. Große Konzerne kennen solche Cyberversicherungs-Policen schon länger. Deren IT-Abteilungen sind dafür aufgestellt, die vielfältigen Risiken für ihre Daten aktiv angehen zu können. So versichert sind aber nur wenige Unternehmen in Deutschland. Gerade viele kleine und mittelgroße Betriebe unterschätzen die Risiken der Computerkriminalität. Hacker nehmen jedoch durchaus auch Handwerker, Rechtsanwälte, Ärzte, kleine Fabriken oder das Bistro an der Ecke ins Visier. Ein lahmgelegter Betrieb, geklaute Daten und enorme finanzielle Schäden bis hin zur Betriebsschließung sind nicht selten die Folge.
Die Versicherer wittern hier jedenfalls eine große Chance. KMU bilden die Masse der deutschen Wirtschaft. 96,6 Prozent aller Unternehmen haben weniger als 10 Millionen Euro Umsatz. Eine Initiative des Gesamtverbands der Deutschen Versicherungswirtschaft (GDV) will nun der Cyberversicherung zum Durchbruch verhelfen. Im April 2017 hat man dazu mit den Musterbedingungen einen Bauplan für solche Cyber-Versicherungen erstellt. Kundendaten, Kontonummern, Patente, Fertigungspläne – auch bei KMU landet so gut wie alles im Computer. Dort sind sie in Form von Bits und Bytes ein lohnendes Ziel für kriminelle Hacker oder auch Konkurrenten: Daten werden ausspioniert, zerstört, gefälscht oder blockiert. Aber auch die eigenen Mitarbeiter können durch ihr Fehlverhalten gewollt oder ungewollt erheblichen Schaden verursachen.
Die neuen Musterbausteine für Cyberversicherungen sind die Schäden durch die Unterbrechung des Geschäftsbetriebs, die Wiederherstellung der Daten und die Ersatzansprüche Dritter, beispielsweise bei durchgeschleusten Computerviren. Nach dem Verbandsschema sind auch die Kosten für IT-Forensik, Krisenkommunikation und Meldepflichten nach dem Datenschutzgesetz abgedeckt. Mit der ab Mai 2018 in Kraft tretenden ePrivacy-Verordnung entstehen rechtliche Fallstricke, bei denen schnell empfindliche Bußgelder drohen.

Cyberversicherungs-Pflichten

Jedes Unternehmen muss seine Daten schützen, gleich ob versichert oder nicht. Es gilt, Gefahren für deren Bestand und Richtigkeit zu erkennen und so gut es geht abzuwehren. Das Datenschutzgesetz ist schon heute eine einschlägige Verfügung, die entsprechende Aufgaben an die IT stellt. Auch das Finanzamt arbeitet bevorzugt mit gesicherten Zahlen der Veranschlagten. Amtlich ausgedrückt gelten die Grunsätze ordnungsmäßiger DV-gestützter Buchführungssysteme (GoBS). Gefragt ist also die IT-Sicherheit.
Auch die Cyber-Musterbedingungen des Verbands werden hier ausdrücklich. Zu den Verpflichtungen der so Betreuten gehören ein aktueller Virenschutz, das unverzügliche Aufspielen von Sicherheits-Patches und wöchentliche Backups des digitalen Arbeitsmaterials. Zu letzterem gehören auch die getrennte Lagerung von Original und Kopie, sowie regelmäßige Tests zur Wiederherstellung der Systeme. Gerade die WannaCry-Ransomware hat gezeigt, dass das Aufspielen der Sicherheitskopien in der Praxis oft nicht funktioniert. Umgekehrt haben sich sowohl aktuelle Signaturen von Antivirus-Programmen und aktuelle Patchstände auf gewarteten Betriebssystemen als zuverlässige Schutzschilder herausgestellt.
Für den Login an Computern fordert der Verband persönliche Kennungen, komplexe Passwörter und Beschränkungen für Administratoren. Nur mit Namen hinter den Logfiles kann die Verantwortung für schädliche Aktionen zugewiesen werden. Für die Handhabung von Passwörtern gibt es Hilfestellung von verschiedenen Stellen. Unternehmen befinden sich auf der sicheren Seite, wenn sie den Empfehlungen des BSI oder der Branchengrößen wie Microsoft und SAP entsprechen. Ein Problemfeld besteht in den Accounts der Administratoren, denn der direkte Zugriff auf Betriebssysteme und Datenbanken ist der heilige Gral für alle kriminellen Hacker. Mindestens ebenso gefährlich kann aber der eigene Angestellte werden. Die Kassen fordern, dass die Vergabe solcher privilegierten Nutzerkonten nur in engen Grenzen erfolgen darf.
Besonders risikoreiche Systeme erfordern besondere Schritte. Das ist im Cyber-Muster immer der Fall, wenn die Rechner über das Internet erreichbar sind. Hier helfen Virenschutz und Firewall-Zonen speziell für Webserver. Als weiterer Fall werden Mobilgeräte genannt. Umsicht bei Laptops im Außendienst und Mobile Device Management für Smartphones können hier Abhilfe schaffen.
Nicht sehr sorgfältig handelt beispielsweise eine Unternehmensberatung, die seine Berater mit ungeschützten Notebooks ins Feld schickt. Einmal das Gerät im Zug vergessen - schon fallen einem unehrlichen Finder Namen und Finanzdaten der Kundschaft in die Hände. Wenn Schwergewichte der Industrie von so einem Verlust betroffen sind, können die Folgeschäden schnell in die Millionen gehen. In Rechnung gestellt werden beispielsweise Krisenkommunikation, Rechtsanwälte und das Monitoring von Bankkonten. Mit einer handelsüblichen Verschlüsselung der Festplatte wären die Inhalte für Unbefugte nicht verwertbar gewesen. Noch nicht einmal nach der sonst so strengen neuen EU-Datenschutzverordnung wäre hier eine Meldung nötig. Insofern überrascht die Botschaft "Laptop-Diebstahl" eines grossen Sachversicherers, der laut eigner Webseite in einem solchen Fall die Regulierung übernommen hat.
Häufig bekommen IT Abteilungen noch Extra-Aufgaben von Gesetzgebern und Industrieverbänden. Das betrifft beispielsweise Kreditkarten- und Patienteninformationen, sowie Regeln für Zulieferer von Automobilbauern oder Stromversorgern. Auch die Versicherer können bei einer Befragung zum Schluss kommen, dass Sonderauflagen notwendig sind ehe ein Vertrag zustande kommt. Solche individuellen Klauseln sind bei den heutigen Cyberversicherungs-Policen großer Konzerne eher die Regel als die Ausnahme. Wer solchen Bedingungen nicht nachkommt, riskiert seinen Versicherungsschutz.

IT Security kennt viele Klauseln

Die neuen Versicherungs-Policen für den Cyberraum werfen bei Assekuranzen wie ihren Kunden viele Fragen auf. Der Pool an Vergleichsfällen und Erfahrungswerten zum Thema ist allerdings nicht üppig. Wie abwägbar sind Risiken und Prüfaufwand für die Versicherer? Oder wird das im Kleingedruckten auf die Gegenseite abgewälzt? Was muss die IT alles tun und welche Nachweise sind erforderlich? Wird gar eine komplette Zertifizierung der unternehmensweiten Informationssicherheit nach ISO 27001 verlangt?
Auffällig in den Musterbedingungen für die Cyberversicherung ist der Fokus, der auf Software-Lösungen wie Antivirus, Firewall und Programm-Updates gelegt wird. Mit der Anschaffung solcher Produkte ist die Sache aberbei weitem nicht erledigt. Für die Feinjustierung, Wartung, den Betrieb und Notfallpläne müssen auch die internen Abläufe und die Organisationsstruktur der Versicherten stimmen. Und die der (zunehmend in Anspruch genommenen) Dienstleister. Ein Beispiel sind privilegierte Zugänge, wo die Prozesse von HR und IT ineinander greifen müssen. Wenn ein Administrator das Unternehmen verlässt, muss dessen Zugang umgehend gesperrt werden. Von Banken verlangt die Bafin ein regelmäßiges Auslesen Ihrer IT nach privilegierten Usern mit anschließenden Abgleich der tatsächlichen Berechtigung.
Schon ein Fake-Anruf als vermeintlicher Geschäftsführer oder eine E-Mail mit gefälschtem Anhang führen kriminelle Hacker oft zum Ziel. Viele Arten von Hackerangriffen haben gemeinsam, dass sie ihre volle Wirkung erst mit Tätigwerden des Angegriffenen entfalten. Bei der zunehmend auftretenden CEO-Fraud-Masche werden gutgläubige Buchhalter dazu veranlasst, Zahlungen anzuweisen. Mit schöner Regelmäßigkeit kommen solche Anweisungen "von ganz oben", sind "eilig" und "geheim". In den USA lehnte ein Versicherer in einem Fall die Regulierung eines so entstandenen Schadens ab, da die Überweisung freiwillig geleistet worden sei. In einem anderen Fall wurden die Schäden nach einem mehrstufigen Hackerangriff nicht reguliert, weil die Klausel eines direkten Betrugsfalls nicht erfüllt war.
Was ist, wenn das Personal die Gefahren nicht kennt, die beispielsweise durch Social-Engineering-Angriffe drohen? Ist das eine Fahrlässigkeit des Unternehmens und somit die Folgen wie Datenverlust und der Ausfall der IT nicht versichert? Auf der anderen Seite des Spektrums ist die regelmäßige Aufklärung der Angestellten in einigen Cyberversicherungs-Paketen inkludiert. Viele ähnlich gelagerte Fragen zur IT-Sicherheit im laufenden Betrieb lassen sich stellen: Wie sicher sind die Räume in denen die Server und Sicherungskopien verwahrt werden? Hat der neue Administrator vielleicht schon mal seinen Arbeitgeber betrogen, aber niemand hat Referenzen und polizeiliches Führungszeugnis geprüft? Die Musterbedingungen lassen diese Fragen jedenfalls weitgehend unbeantwortet. Die Anschaffung von Virenschutz- und Firewall-Lösungen alleine, ist in der Praxis jedenfalls nicht geeignet, die Datensicherheit dauerhaft zu gewährleisten.
Welche Cyberversicherungs-Police für welches Unternehmen geeignet ist, kann wie so oft pauschal nicht beantwortet werden. Sicher ist jedoch, dass man sich zu diesem Thema besser vor als nach einem Hackerangriff Gedanken machen sollte. Fakt ist auch, dass viele Konzerne solche Policen bereits in ihr Sicherheitspaket einbauen. Ganz billig kommt ein solcher Schutz allerdings nicht. In den USA werden die Prämien mit 1,2 Prozent des Gesamtumsatzes veranschlagt. In der Gesundheitsvorsorge mit ihren Patienteninformationen steigt dieser Wert bereits auf 2,8 Prozent.

Quelle:
Computerwoche

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.