Cyber-Versicherung – lohnt sich das?
Carlos Rieder, Security Consultant
Der Mensch ist oft gutgläubig und deshalb leicht manipulierbar. Dieser Umstand wird auch für Cyber Angriffe ausgenutzt. Mit gezielter Ausbildung wird der gesunde Menschenverstand der Mitarbeitenden geschärft und die nötige Awareness bezüglich IT-Risiken sichergestellt.
Heute bieten die meisten Versicherungsgesellschaften eine Cyber-Versicherung an. Die früheren IT-Versicherungen waren von geringem Nutzen, da praktisch alle wahrscheinlichen Vorkommnisse (z. B Virenbefall) nicht versichert waren. Vor wenigen Jahren war die Deckung dieser damals neuen Cyber-Versicherungen noch deutlich besser, wenn nicht sogar grosszügig, und teilweise war auch die Lösegeldzahlung inkludiert. Aufgrund der massiven Zunahme der Schadenfälle wurden auch die Deckungslimits massiv nach unten angepasst. Die Variantenvielfalt ist gross, und somit empfiehlt sich, hier genau zu prüfen, was versichert ist und was nicht.
Was ist zu beachten?
Versicherungsumfang
-
Wirtschaftliche Schäden durch Betriebsunterbrüche
-
Kosten für die Datenwiederherstellung
-
Kosten für die Systemwiederherstellung
-
Datenmissbrauch (Schadenersatzansprüche Dritter)
-
Lieferverzug
-
Serviceausfall und -verzug
Inkludierte Dienstleistungen
-
Verfügungstellung von IT-Forensikexperten zur schnellen Problemlösung
-
Rechtsschutz (spezialisierte Rechtsanwälte aus den Bereichen IT und Datenschutz)
-
Unterstützung durch Kommunikations- und PR-Spezialisten
-
Übernahme der Lösegeldzahlung bei Cyber-Erpressung
Zusätzliche Leistungen
-
Zugang zu Online-Awareness-Programmen für Mitarbeitende
-
Präventive Cyber-Assistance in Form von Hotlines oder Checklisten
Voraussetzungen für eine Cyberversicherung
-
Regelmässige Datensicherung auf externe Medien (idealerweise Offline-Backup). Besonders wichtig sind regelmässige Wiederherstellungs-Tests, um zu prüfen, ob die Daten zuverlässig wieder eingespielt werden können.
-
Zeitnahe Installation von verfügbaren Updates (regelmässiges Einspielen aller Sicherheits-Patches zur Verhinderung von Schwachstellen)
-
Virenschutz auf allen Systemen, Clients wie Server
-
Firewall zur Einschränkung des eingehenden und ausgehenden Datenverkehrs
-
Zugriffskonzept (Einschränkung der Berechtigungen auf die zur Erfüllung der Aufgaben nötigen Informationen)
-
Notfallplanung: Überlegungen, was zu tun ist, falls doch einmal etwas passiert, idealerweise szenarienbasiert, z. B. bei Ausfall der Server-Systeme resp. der Serviceprovider, Abfluss sensitiver Informationen (Geschäftsgeheimnisse, Kundendaten) und Cyber-Erpressung
Ergänzende Hinweise
Weiter ist zu beachten, dass keine Überschneidungen mit Leistungen bestehender Versicherungen wie z. B. einer Betriebsausfall-Versicherung vorliegen.
Wie immer gilt es beim Versicherungsabschluss korrekte Angaben zu machen, um nicht im Schadensfall Leistungseinbussen hinnehmen zu müssen.
Ist ein Security Operation Center (SOC) Teil des Sicherheitskonzepts, muss bei einem Vorfall die Aufgabenteilung zwischen Versicherung und SOC klar definiert sein.
Eine Cyber-Versicherung ersetzt in keinem Fall die vorgängig beschriebenen Mindest-sicherheitsmassnahmen, sondern ergänzt diese im Schadensfall.