Auffangnetz

von Michael Haas

Beim Thema Cyberkriminalität ist aktive Prävention eine selbstverständliche Pflicht. Was bei vielen Security-Konzepten jedoch oft kaum Beachtung findet, ist ein zusätzliches Sicherheitspolster in Form einer Cyberversicherung. Dabei sind die Kosten dafür überschaubar, individuelle Angebote Usus und die Vorteile im Schadensfall nicht von der Hand zu weisen. Unser Einkaufsführer listet Faktoren, die IT-Verantwortliche vor dem Abschluss einer Police bedenken sollten.

Vor einer erfolgreichen Cyberattacke sind grundsätzlich weder Freiberufler, kleinere Firmen noch mittelständische oder große Unternehmen gefeit. Beim Risiko und den Auswirkungen bestehen in der Regel jedoch offensichtliche Unterschiede. Kleinere Firmen sind hier benachteiligt, weil sie häufig nicht über das notwendige Budget und Know-how verfügen, um umfassend wirksame Cybersicherheitsstrategien umzusetzen. Große Konzerne werden zwar mit höherer Wahrscheinlichkeit von Hackern angegriffen, können aber auf größere Ressourcen sowie eigene Rechts-, PR- und Technologieexperten zurückgreifen. Der Abschluss einer Cyberversicherung als Mittel zur Risikoeindämmung empfiehlt sich daher generell für jedes Unternehmen. Denn wenn es Angreifer erst einmal geschafft haben, in interne Sphären durchzudringen, sind die Folgen meist gleich: Mehrtägige Betriebsunterbrechungen und der Diebstahl oder Verlust von Daten gehören hierbei noch zu den geringsten Übeln. Steht die Attacke darüber hinaus in Zusammenhang mit einer Datenschutzverletzung, ruft das zusätzlich die Behörden auf den Plan.

Es hilft daher nicht, sich bei dem Thema in vermeintlicher Sicherheit zu wiegen oder den Kopf in den Sand zu stecken: Cyberkriminelle verzeichnen täglich Erfolge, indem sie gezielte sowie breit angelegte Angriffe ausführen und Zero-Day-Schwachstellen wie beispielsweise Log4- Shell ausnutzen. Während sich die Attacken vor der Corona-Pandemie noch vorrangig direkt auf die internen IT-Systeme am Firmensitz konzentrierten, geraten mittlerweile auch immer mehr Anwender im Home Office ins Visier.

Arten von Cyberversicherungen

Ransomware ist immer häufiger anzutreffen, entwickelt sich konsequent weiter und hat es längst nicht mehr nur auf Computer abgesehen. Darüber hinaus sind auch Smartphones, Fernseher und andere im Netzwerk befindlichen Geräte vor dieser Art von Malware, die Daten verschlüsselt und erst gegen Zahlung eines Lösegelds in Kryptowährung wieder freigibt, kaum noch sicher. Tritt der Fall der Fälle ein, sind die Folgen schwerwiegend: Liegt aufgrund der Datenverschlüsselung im Netzwerk erstmal die IT auf breiter Front lahm, werden Produktions- und Lieferketten sowie Zahlungsverkehre unterbrochen, die Kommunikation mit Partnern, Kunden sowie Anwendern kommt zum Erliegen und obendrein droht ein Vertrauensverlust. Die technischen Probleme lassen sich meist nicht innerhalb von 24 Stunden beheben.

Vor allem angesichts der hohen Lösegelder sollten Versicherungspolicen speziell für Ransomware eigentlich längst Teil des Sicherheitskonzepts jedes Unternehmens sein. Wenn all diese Voraussetzungen geschaffen sind, können auch Cyberversicherungen als zusätzliches Puzzleteil einer effektiven Sicherheitsstrategie ihren Zweck erfüllen. Neben Schutz bei Ransomware-Vorfällen bieten Versicherer folgende Arten von IT-Versicherungen:

- Hackerschutz: Versicherung gegen Cyberattacken und Hackerangriffe.

- Diebstahl und Betrug: Deckt die Zerstörung oder den Verlust von Daten des Versicherungsnehmers infolge eines kriminellen oder betrügerischen Cybervorfalls ab, einschließlich Gelddiebstahl oder -transfer.

- Forensik: Umfasst die notwendigen rechtlichen, technischen oder forensischen Dienstleistungen zur Feststellung eines Cyberangriffs.

- Betriebsunterbrechung: Erstattet Ertragsausfälle und verbundene Kosten, wenn der Geschäftsbetrieb des Versicherungsnehmers aufgrund eines Cybervorfalls oder Datenverlusts zum Erliegen kommt.

- Erpressung: Deckt die Kosten für die Untersuchung angedrohter Cyberangriffe gegen die Systeme des Versicherungsnehmers sowie für Zahlungen an Erpresser ab, wenn diese ankündigen, sensible Informationen abzugreifen und offenzulegen.

- Reputationsversicherung: Greift im Falle von Reputationsschäden und Verleumdung im Internet.

- Verlust und Wiederherstellung von Computerdaten: Greift bei physischen Schäden an Computern und zugehörigen Komponenten, einschließlich der Kosten für die Wiederherstellung von Daten, Hardware, Software und anderen Informationen, die bei einer Cyberattacke zerstört oder beschädigt wurden.

Kostenfaktoren einer Cyberversicherung

Die gute Nachricht ist, dass Versicherungsanbieter bei diesem Thema keinen One-Size-fits-all-Ansatz verfolgen, ganz im Gegenteil: Jede Cyberversicherung lässt sich auf individuelle Bedürfnisse anpassen, wobei vor allem folgende fünf Schlüsselfaktoren eine maßgebliche Rolle spielen. Zunächst wäre hier die Branche des Versicherten zu nennen. Es gibt Branchen, die anfälliger für Cyberangriffe sind als andere. Hierzu zählen beispielsweise die öffentliche Verwaltung, der Technologiesektor und das Gesundheitswesen. Versicherer ziehen jedoch nicht nur die Häufigkeit geglückter Angriffe in bestimmten Märkten ins Kalkül, sondern auch das potenzielle Ausmaß des Schadens. So liegt die Wahrscheinlichkeit, im Finanzbereich Opfer einer Cyberattacke zu werden, vielleicht niedriger als in anderen Industrien. Dafür sind die mit einem erfolgreichen Übergriff einhergehenden Kosten meist extrem hoch. Für Unternehmen, die einer solchen "Risikogruppe" angehören, ist der Abschluss einer entsprechenden Police daher meist teurer.

Der zweite Faktor ist die Unternehmensgröße, denn mit der Anzahl der Mitarbeiter, Systeme und Endgeräte wächst auch die Bedrohungsfläche einer Firma. Je größer und komplexer sich eine Organisation und die ihr zugrundeliegende IT-Infrastruktur gestalten, desto höher ist auch die Wahrscheinlichkeit, Opfer eines Cyberangriffs zu werden. Entsprechend beziehen Versicherer solche Variablen bei ihrer Angebotserstellung mit ein.

Punkt 3 geht mit der Tatsache einher, dass ein Unternehmen, das von verschiedenen Ländern aus operiert oder dessen Mitarbeiter an unterschiedlichen Orten der Welt im Einsatz sind, deutlich höheren Risiken ausgesetzt ist. Dies erfordert in der Regel die Einführung vielfältiger – an den jeweiligen Kontext und die örtlichen Vorschriften angepasster – Sicherheitsmaßnahmen. Gerade im Hinblick auf die Datenschutzbestimmungen gibt es eklatante Unterschiede zwischen einzelnen Staaten. Gleichzeitig gilt es, die Zunahme der Fernarbeit zu berücksichtigen, da sich dadurch die Angriffsfläche jenseits des klassischen Unternehmensperimeters vergrößert und insbesondere dem Schutz von VPN-Verbindungen ganz neue Aufmerksamkeit entgegengebracht werden muss. Auch diese Entwicklung schlägt sich auf den Versicherungstarif nieder.

Viertens sind die Gesamteinnahmen eines Unternehmens nicht selten ausschlaggebend bei der Bestimmung des maximalen Versicherungsschutzes, den ein Versicherer im definierten Eintrittsfall gewährt. Und daran orientiert sich natürlich auch der Preis der Police. Last but not least gibt es Abstufungen hinsichtlich des konkreten Versicherungsfalls. Policen werden beispielsweise an die Häufigkeit oder Schwere der Bedrohungen und des davon ausgehenden Risikos angepasst. Die Absicherung gegenüber hochentwickelten Cyberangriffen kann dabei um einiges kostspieliger zu Buche schlagen als die Abdeckung von Schäden, die von gängigeren und leichter erkennbaren Bedrohungen ausgelöst werden. Hier sind das Einschleusen von Ransomware via E-Mail-Phishing oder der Diebstahl der Einwahldaten eines Mitarbeiters gute Beispiele. Die konkreten Tarife und Bestimmungen hängen also entscheidend von der individuellen Situation des Versicherungsnehmers ab.

Die Kosten einer Cyberversicherung sind stark mit den genannten Faktoren verbunden. Der jährliche Beitrag kann bei Freiberuflern und Kleinstunternehmen ab etwa 200 Euro beginnen. Bei kleinen und mittleren Unternehmen können höhere drei- beziehungsweise niedrige vierstellige Beträge und bei Großunternehmen mehrere Tausend Euro anfallen.

Umfänge des Versicherungsschutzes

Im Allgemeinen decken Cyberversicherungen Schäden von Dritten ab, was sehr nützlich ist, wenn ein Cyberangriff auf ein Unternehmen dessen Kunden betrifft. Manchmal kommen sie auch für direkte Verluste auf, wobei spezifische Folgekosten eines Angriffs im Fokus stehen. Je nach Versicherung umfasst dies beispielsweise die Wiederherstellung von Daten, den Ersatz von Hard- und Software oder die Beauftragung von forensischen Ermittlern, externen Anwälten und Kommunikationsberatern. Teilweise werden sogar reine Bedienungsfehler abgedeckt, etwa wenn ein Mitarbeiter versehentlich eine Datenbank löscht.

Die meisten Cyberversicherungen fangen derzeit jedoch bei Weitem nicht alle in dem Zusammenhang entstandenen Schäden ab. So gibt es beispielsweise Policen mit einer Versicherungssumme von bis zu zehn Millionen Euro, die im Falle der Cybererpressung durch Ransomware jedoch nur 500.000 Euro abfedern – in einem Szenario wie bei MediaMarkt und Saturn, in dem die Erpresser Ende 2021 angeblich 50 Millionen US-Dollar in Bitcoin forderten, wäre dies ein Tropfen auf dem heißen Stein. Jedoch entwickelt sich der Markt hier schnell weiter und meist geht es in erster Linie zunächst darum, die Hauptrisiken zu prüfen, denen eine Organisation ausgesetzt ist, um entsprechende Angebote überhaupt erstellen zu können.

Cyberversicherung: Nur mit MFA

Um in den Genuss eines solchen Versicherungsschutzes zu kommen, ist ein Mindestmaß an implementierten Sicherheitsmaßnahmen jedoch stets die Pflicht. Dazu gehört unter anderem Endpoint Detection and Response (EDR) zum Schutz von Endgeräten, der über ein herkömmliches Antiviren-Programm hinausgeht. Nur damit lassen sich verdächtige Vorgänge am Endgerät effektiv aufspüren. Zunehmend ein Muss ist auch eine Multifaktor-Authentifizierung (MFA), da diese für den Schutz der Konten und Anmeldeinformationen des Unternehmens von entscheidender Bedeutung ist. Schließlich entstehen zahlreiche Datenschutzverletzungen erst dadurch, dass Cyberkriminelle Zugang zu Systemen erhalten, weil die Passwörter zu schwach sind und eine zusätzliche Sicherheitsebene fehlt oder weil es ihnen gelingt, Zugangsdaten zu stehlen.

Kompromittierte Passwörter oder Anmelde-IDs stellen für nicht wenige Unternehmen die sprichwörtliche Achillesferse dar. Schließlich verwenden Mitarbeiter oft dasselbe Passwort für mehrere Systeme, nutzen zu einfache Phrasen, teilen ihre Anmeldedaten mit anderen oder geben Informationen versehentlich an Cyberkriminelle weiter. All dem schiebt MFA effektiv einen Riegel vor. Bis zu 99,9 Prozent der von kompromittierten Konten ausgehenden Angriffe lassen sich mit Multifaktor-Authentifizierung abwehren. Denn selbst wenn ein Angreifer – möglicherweise im Zuge von Phishing – in den Besitz von Anmeldedaten eines Benutzers gelangt, vereitelt die Abfrage eines zusätzlichen Authentifizierungsfaktors – zum Beispiel die Bestätigung einer Push-Nachricht auf dem zugeordneten Smartphone des jeweiligen Mitarbeiters – seine Pläne.

Auf diesem Thema liegt ein besonderer Fokus der Versicherer, da solche Datenschutzverletzungen Unternehmen (und damit die Versicherungsgesellschaft) häufig am meisten kosten. Denn es geht nicht nur darum, den durch die Sicherheitslücke resultierenden Schaden an sich zu kompensieren. In manchen Fällen stehen darüber hinaus millionenschwere Bußgelder im Raum, die von Behörden wegen mangelnder Sorgfalt beim Datenschutz verhängt werden. Ein gutes Beispiel dafür sind die 20 Millionen Pfund Strafe, die British Airways aufgrund einer Datenschutzverletzung im Jahr 2020 zahlen musste. Genau aus diesem Grund legen Versicherer – und auch immer mehr Anbieter von Unternehmenssoftware wie Salesforce – Wert darauf, dass Firmen, die ihre Dienste in Anspruch nehmen wollen, über einen zuverlässigen und leistungsstarken MFA-Dienst verfügen. Es empfiehlt sich für Unternehmen, den Status ihres eigenen Sicherheitskonzepts nicht nur auf dem Papier, sondern auch hinsichtlich der praktischen Umsetzung kritisch zu überprüfen – und das am besten vor der Anfrage bei einem Versicherer.

Fazit

Vor allem angesichts der hohen Lösegelder, die Cyberkriminelle fordern, sollten Versicherungen speziell für Ransomware eigentlich längst Teil des Sicherheitskonzepts jedes Unternehmens sein. Das gilt umso mehr, da sich die Kosten einer solchen Police im Vergleich zu den möglichen Schäden im Rahmen halten. Wenn die für den Abschluss genannten Voraussetzungen geschaffen sind, erfüllen auch Cyberversicherungen als zusätzliches Puzzleteil einer effektiven Sicherheitsstrategie ihren Zweck und sorgen dafür, dass IT-Verantwortliche wie Unternehmenslenker in dieser Hinsicht künftig ruhig schlafen können.

Einkaufsführer Cyberversicherungen

Auffangnetz

Arten von Cyberversicherungen

Arten von Cyberversicherungen

Kostenfaktoren einer Cyberversicherung

Umfänge des Versicherungsschutzes

Cyberversicherung: Nur mit MFA

Fazit