Cyberversicherung

Sicherheitsaudits verringern Risiken

Es gibt kaum ein belastbares Lagebild von Schäden und Verwüstungen, die kriminelle Hacker bei ihren Angriffe in den Netzwerken und Datenbanken hinterlassen. Zusätzlich wechseln die Angreifer immer öfter und immer schneller ihre Methoden und Angriffsziele. Deshalb sind Risikoanalyse und Schadensversicherung schwierig zu kalkulieren.

Von Christin Hohmeier

· 2018

Bis vor knapp einem Jahr galten große ERP-Systeme als relativ sicher. Doch seitdem berichten Sicherheitsexperten von einem explosionsartigen Anstieg von Schadsoftware, die direkt und ausschließlich die ERP-Systeme der beiden weltweit größten Hersteller angreift. Meistens erfol-
gen diese Attacken an Schwachstellen, die schon seit Jahren bekannt sind – allerdings von vielen IT-Verantwortlichen nie mit Sicherheitsupdates repariert wurden.

Viele IT-Abteilungen verlassen sich scheinbar viel zu selbstverständlich auf die Hersteller der jeweiligen ERP-Anwendungen und deren große Namen. So lassen sie häufig über lange Zeit hinweg bekannte und dokumentierte Schwachstellen in den Anwendungen offen. Für die Cyberkriminellen werden diese Programme immer wieder ein Ausgangspunkt für Angriffe. Gleichzeitig wachsen mit den mobilen Anwendungen die Angriffsflächen. Experten weisen darauf hin, dass die Zahl unsicherer, falsch konfigurierter und damit frei zugänglicher ERP-Awendungen im Netz enorm sei.

Grafik zu IT-Sicherheitsmaßnahmen — Quelle: Commerzbank, 2018

Versicherer kennen die Cyberbedrohungen

Den Versicherungen sind solche Probleme und Risiken natürlich bekannt. Um die zu versichernden Risiken im Rahmen von Cyberversicherungen zu verringern, stellen sie der Vertragsunterzeichnung einen Sicherheits-Check der Systeme voran. Sie beauftragen externe Dienstleister den „Ist“-Zustand der Unternehmens-IT zu analysieren. Zu dieser Analyse gehört auch die Ermittlung eines organisatorischen Reifegrades und die möglichen Abwehrstrategien für den Fall eines Angriffs.

Laut Argumentation der Versicherungen bieten diese Sicherheitsaudits für die Versicherten zwei Vorteile: Die Versicherungen bemessen die Höhe einer Police am Risiko, falls der neue Kunde tatsächlich Opfer einer Cyberattacke wird. Für beide Vertragspartner sind Sicherheits-Checks ein Anhaltspunkt einzuschätzen und zu bewerten, wie angreifbar ein versichertes System ist. Zum Zweiten können die Versicherten auch im Rahmen von turnusmäßigen Audits nachweisen, in welcher Weise sie regelmäßig und strukturiert ihre eigene Sicherheit erhöhen. Damit halten sie die Versicherungsbeiträge stabil. Gleichzeitig können im Falle eines Cyberangriffes die Ergebnisse des Audits für eine Vorher-Nachher-Analyse herangezogen werden.

Dabei ist ganz klar, dass im Idealfall der Abschluss einer Cyberversicherung das Management motiviert, die Systeme aufzuräumen, regelmäßig abzusichern, um mit immer höheren Sicherheitsstandards von niedrigeren Versicherungsprämien zu profitieren.

Cyberversicherung: Versicherte Schäden

Das Spektrum von Cyberattacken ist so breit, dass die Absicherung aller Risiken unmöglich scheint. Versicherungsnehmer können im Allgemeinen folgende Schäden versichern:

• Betriebsunterbrechungen nach einem Cyberangriff: Bis alle Systeme wieder laufen, zahlt die Versicherung einen Tagessatz.

• Kosten für die Datenwiederherstellung: Die Cyberversicherung kommt für Wiederherstellung der Daten auf.

• „Drittschäden“: Entschädigung der Betroffenen und Abwehr unberechtigter Forderungen.

• Kosten der IT-Forensik: IT-Forensiker sichern gerichtsfest alle Beweise.

• Datenschutzverletzungen: Die Cyberversicherung hilft mit spezialisierten Anwälten.

• Kosten eines Krisenkommunikators

Erschienen in

IT-Sicherheit

am 24. September 2018 in „Handelsblatt“

Die Redaktion des Reflex Verlages klärt mit der Publikation IT-Sicherheit über die sicherheitskritischen Bereiche komplexer IT-Landschaften auf. Zudem zeigt sie Entscheidern, wo in die richtigen und notwendigen Technologien, Services und Lösungen investiert werden muss, um für...

Jetzt anfordern