In den letzten Jahren ist eine Versicherungsart recht populär geworden. Die sogenannte Cyber-Versicherung. Und bedenkt man die Zwischenfälle, von denen man immer häufiger hört, überlegen sich viele Unternehmen, sich damit gegen Auseinandersetzungen mit Hackern und anderen Gefahren aus dem Internet abzusichern. Denn gerade bei Erpressungsversuchen geht es in der Regel um eine Menge Geld.
Gliederung:
- Vor was schützt eine Cyber-Versicherung?
- Cyber-Angriffe auf Unternehmen können sehr teuer werden
- Die Anforderungen an ein Unternehmen für eine Cyber-Versicherung
- ISMS als Rückgrat für jedes Unternehmen
- Die Datensicherung als wichtiger Aspekt
- Virenschutz hat doch jeder
- Verwaltung der Benutzerrechte
- Erleichterung in vielen Bereichen durch eine IT-Dokumentation
Vor was schützt eine Cyber-Versicherung?
Eine Cyber-Versicherung kann erstmal einen Cyber-Angriff und den daraus entstehenden Schaden nicht direkt verhindern. In erster Linie sind diese Versicherungen dazu da, um einen finanziellen Schaden für den Betroffenen oder das Unternehmen abzufedern oder gänzlich abzuwenden.
Das kann in Einzelfällen auch ein Unternehmen vor dem finanziellen Ruin durchaus retten. Aber damit überhaupt eine Cyber-Versicherung für ein Unternehmen in Frage kommt, müssen auch bestimmte Voraussetzungen erfüllt sein. Denn eines ist so eine Versicherung ganz sicher nicht – ein Freibrief für Sorglosigkeit im Internet.
Anders als im Unternehmensumfeld sind die Anforderungen bei Privatpersonen relativ gering. Zumeist beschränkt sich das auf das Vorhandensein eines aktuellen Virenscanners. Da hier auch keine allzu Großen finanziellen Schäden anzunehmen sind, hält sich auch das Risiko für die Versicherung in Grenzen.
Cyber-Angriffe auf Unternehmen können sehr teuer werden
Will sich ein Unternehmen mit einer Cyber-Versicherung absichern, geht es zuerst einmal darum, eine für die Versicherung akzeptable Basis an Sicherheit zu gewährleisten. Das heißt im Umkehrschluss, dass die Security-Maßnahmen im Unternehmen unter Umständen erst einmal auf Vordermann gebracht werden müssen, bevor es überhaupt zu einem Abschluss einer Polizze mit einem Versicherungsunternehmen kommen kann.
Die Anforderungen an ein Unternehmen für eine Cyber-Versicherung
Die genauen Anforderungen und Bestimmungen, mit denen ein Versicherungsunternehmen sich bereit erklärt, eine vertragliche Bindung mit Ihrem Unternehmen einzugehen, ist immer sehr individuell auf Ihr Unternehmen abgestimmt.
Ausgehend von Umsatz, der Art und Menge an zu verarbeitenden Daten und besonderen Risiken wie Online-Handel, Datensammlung von Kunden- und Kreditkartendaten wird nicht nur die entsprechende Prämie berechnet, sondern auch nach den vorhandenen Sicherheitsmaßnahmen beurteilt.
Grundlegend muss das Unternehmen für einen ausreichenden Schutz vor Cyber-Angriffen gerüstet sein.
- Einen fortlaufenden Virenschutz, der stets auf dem aktuellsten Stand ist
- Eine Firewall, um unerwünschte eingehende und ausgehende Kommunikationsverbindungen zu unterbinden
- Ein Konzept mit fest definierten und abgestuften Zugriffsrechten
- Regelmäßig durchgeführte Datensicherungen auf externe Systeme
Je nach Versicherung und Umfang der Cyber-Versicherung müssen aber andere, in der Regel bereits bei vielen Unternehmen etablierte Sicherheitsmerkmale vorhanden sein.
Dazu gehören zum Beispiel ein Informationssicherheits-Managementsystem (ISMS), ein Konzept und Dokumentation von Outsourcing-Prozessen sowie eine professionelle Datensicherungsstrategie.
ISMS als Rückgrat für jedes Unternehmen
Wer sein Auto nicht absperrt und unbeaufsichtigt abstellt, handelt grob fahrlässig. Wird es gestohlen, steigt jede Versicherung aus. Ich denke, dieser Argumentation wird wohl jeder folgen.
Im IT-Bereich sieht es keinesfalls anders aus. Wer seine IT nicht vor unberechtigten Zugriffen schützt, geht auch leer aus, wenn es um Versicherungsleistungen geht.
Da sich im IT-Bereich die Schadenshöhe sehr schnell in Millionenhöhe bewegen kann, ist ein Mindestmaß an Schutz natürlich obligatorisch.
Eine umfassende IT-Sicherheitsmaßnahme ist eben nicht nur mit der Installation einer Firewall getan, sondern beinhaltet viele unterschiedliche Maßnahmen, die zusammen die IT-Sicherheit ergeben. Noch einen Schritt weiter geht dann die Zertifizierung nach ISO 27001. Hierzu empfehlen wir unseren Blogartikel ISMS nach ISO 27001 zu diesem Thema.
Ein fixer Bestandteil von solchen Maßnahmen oder Zertifizierungen sind regelmäßige Berichterstattungen und Meldungen an die Versicherungsgesellschaften. Dabei werden zwar nicht alle Details wie bei einem Audit abverlangt, aber zumindest müssen Veränderung bei der Datensicherungsstrategie oder dem ISMS-Verfahren gemeldet werden.
Wer hier bereits eine automatische IT-Inventarisierung und -Dokumentation etabliert hat, benötigt hierzu kaum Aufwand. Da bei einer professionellen IT-Dokumentationslösung dieser Vorgang in regelmäßigen Abständen automatisch abläuft, sind die Informationen in der Regel auf Knopfdruck verfügbar.
Die Datensicherung als wichtiger Aspekt
Wie auch schon in unseren Blogartikeln über Bestmöglicher Schutz vor Hackerangriffen verdeutlicht, sind trotz aller Maßnahmen auch Ausnahmesituationen möglich, in denen der Super-GAU (größter anzunehmender Unfall) eintreten kann. Sind die Sicherheitssysteme außer Gefecht gesetzt worden und es wurde tatsächlich Schaden angerichtet, ist der letzte Fels in der Brandung eine gut durchdachte und einwandfrei funktionierende Datensicherung.
Aber Achtung. Niemand sollte den Fehler machen und Datensicherung mit Datenausfallsicherung zu verwechseln. Eine doppelte Datenhaltung, bei der die Daten täglich neu überschrieben und synchronisiert werden, hilft allenfalls, wenn ein Speicherort nicht mehr zugänglich ist. Im Falle einer Festplatte oder SSD würde das bedeuten, dass ein technischer Defekt vorliegen würde.
Werden aber durch mysteriöse Umstände Daten gelöscht oder gar verschlüsselt, wird dies auch mit dem Sicherheitsspeicherort passieren.
Eine richtige Datensicherung beinhaltet die Möglichkeit, auf alte Datenbestände zurückzugreifen und gelöschte Dateien wieder aus dem Daten-Nirwana zurückzuholen. Je nach Strategie kann dabei auch auf Datensicherungen zurückgegriffen werden, die bereits Jahre alt sind. Werden also aktuelle Daten gelöscht oder verschlüsselt, ist eine Wiederherstellung nur durch eine akkurate Datensicherung möglich. Und sonst durch nichts. Abgesehen von einer Lösegeldzahlung bei Erpressungsversuchen.
Ja, eine Versicherung kann hier sogar finanziellen Schaden abwenden, sofern das Unternehmen und der IT-Verantwortliche nicht grob fahrlässig gehandelt haben. Jedoch kann auch die beste Versicherung der Welt keine verlorenen Daten wiederherstellen. Viele Daten sind oft unwiederbringlich verloren. Auch die Reputation eines Unternehmens, das gehackt wurde, kann man kaum mit finanziellen Mitteln wieder herstellen. Auch keine Versicherung.
Virenschutz hat doch jeder
Auch beim Thema Virenschutz gibt es einiges zu beachten (siehe Blogartikel „Sicherheitslücken durch veraltete Virenscanner“). Wer zum Beispiel Warnungen missachtet, einen Kaspersky-Antivirenschutz nicht weiter zu verwenden, einfach ignoriert, dem wird auch seitens der Versicherung Ungemach drohen.
Verwaltung der Benutzerrechte
Und natürlich gehört in jedes Unternehmen eine gut funktionierende Benutzerverwaltung. Auch das ist längst nicht in jedem Unternehmen etabliert. Denn es geht dabei nicht nur um das Vergeben von Rechten, sondern auch um das regelmäßige Kontrollieren, ob die Rechte noch richtig vergeben sind. Gerne werden User-Accounts auch gerne nach Ausscheiden des Kollegen noch im System geführt. Oder es existiert noch ein Zugang zu Dateien der alten Abteilung, obwohl der oder die Kollege/Kollegin längst nicht mehr in der Buchhaltung sitzt.
Auch hier steckt der Teufel im Detail und die Sicherheitslücken machen sich auf diese Weise gerne breit. Dazu verweisen wir auch gerne wieder auf einen unserer Blogartikel mit dem Titel „Sicherheitslücken durch veraltete Virenscanner“
Erleichterung in vielen Bereichen durch eine IT-Dokumentation
Für einige mag das nach einem alten Hut aussehen, aber die Basis für jede saubere und vor allem sichere IT-Umgebung ist eine professionielle IT-Dokumentation.
Denn mit einer professionellen Lösung wie Docusnap erübrigen sich viele grundsätzliche Fragen, die auch von Versicherungen gestellt werden.
- Softwareversionen und Sicherheitspatches
- Versionen von Virenscannern auf allen Geräten
- Ergebnisse der täglichen Datensicherungen
- Firmwareversionen von Appliances
- Dokumentation von durchgeführten Änderungen (In- und Outsourcing)
- Regelmäßige Berichtserstattung mit automatischem Berichtsversand
- Aktueller Stand über IT-Hard- und -Software auf Knopfdruck
- Kontrolle der Benutzerberechtigung über alle Systeme