fazon - Fotolia

Sind Cyberversicherungen ein lohnender Schutz für Unternehmen?

Cyberversicherungen sind relativ neu. Es stellt sich die Frage, ob diese Angebote schon ausgereift sind und wo sie möglicherweise Schwächen haben?

„Es gibt heute nur noch zwei Arten von Unternehmen: Solche, die bereits gehackt wurden und solche, die noch gehackt werden.“ 1 Selbst wenn diese Aussage sehr provokant formuliert ist, ist es doch Tatsache, dass Unternehmen immer öfter Cyberattacken ausgesetzt sind. Längst sind es nicht mehr nur die großen Wirtschaftsbetriebe, auf die Angriffe wie Advanced Persistent Threats (APT) zielen: Vor allem sogenannte Hidden Champions rücken – aufgrund oft nicht adäquat getroffener Maßnahmen in Sachen Risiko-Management und Cyberabwehr – in den Fokus von Cyberkriminellen. Die finanziellen Schäden, die solche Attacken nach sich ziehen, können hierbei schnell in zwei bis dreistellige Millionenhöhe gehen und hohe Wellen schlagen – bis hin zur Insolvenz des Unternehmens. Doch was können Unternehmen tun, um sich zusätzlich zu schützen, sofern die internen Maßnahmen in Sachen Risiko-Management bereits an ihre Grenzen stoßen?

Ein Beispiel aus der Praxis: Ende 2014 sorgte der Datendiebstahl bei einer Hamburger Kreditkartenfirma für eine breite Medienresonanz, bei dem Datensätze mit Informationen von Antragsstellern wie eingescannte Personalausweise, Kontoauszüge und Telefonnummern gestohlen wurden. Nach heutigem Stand erfolgte der Angriff allerdings vom internen Firmennetz aus und nicht wie zunächst angenommen von außen. Entscheidend ist jedoch, dass das Start-up genau für derartige Vorfälle vorgesorgt und zusätzlich zu den bereits etablierten, internen Sicherheitsmaßnahmen eine spezielle Police gegen Angriffe aus dem Cyber Space, eine sogenannte Cyberversicherung, abgeschlossen hatte. Das Unternehmen konnte daher mit der Auszahlung eines zweistelligen Millionenbetrages rechnen und die entstandenen Aufwendungen und Kosten begleichen.

Nicht so glimpflich ging hingegen der 2011 erfolgte Angriff auf einen japanischen Elektronikkonzern aus, der rund um die Welt ebenfalls für Schlagzeilen sorgte: Hierbei wurden Millionen von Nutzerdaten aus Online Community sowie Webshop gestohlen und die Plattform für mehrere Wochen außer Gefecht gesetzt. Der dadurch entstandene Schaden lag im dreistelligen Millionenbereich. Der springende Punkt hier: Im Gegensatz zur Kreditkartenfirma aus Hamburg hatte das Unternehmen nur eine normale Haftpflichtversicherung abgeschlossen – nicht aber eine umfassende Cyberversicherung. Außerdem befanden sich die bereits getroffenen Sicherheitsvorkehrungen nicht auf dem aktuellen Stand, weshalb das Unternehmen die Folgen selbst zu verantworten und die Kosten des Angriffes zu tragen hatte.

Michael Zobel, NTT Com SecurityMichael Zobel, NTT Com
Security

Cyberversicherungen werden als große Chance für die Versicherungsbranche gesehen: Opfer einer Cyber-Attacke zu werden, zählt zu den größten Risiken, denn die Folgen sind nicht abschätzbar. Erster Versicherer auf dem deutschen Markt war Hiscox im Jahr 2008. Weitere Versicherungen wie AXA, Provinzial, Zurich Insurance, Munich Re und HDI haben bereits nachgezogen und bieten spezielle Policen an. Was aber ist charakteristisch für eine solche Cyberversicherung und was zeichnet sie aus?

Was eine Cyberversicherungen leisten kann

Cyberversicherungen bieten Unternehmen – je nach gewünschtem Schutzumfang – passgenaue Konzepte, um sich gegen die Risiken von Angriffen aus dem Cyber Space und die damit verbunden Folgen abzusichern. Es handelt sich somit nicht um ein Standardpaket, sondern um ein individuelles, bedarfsgerecht geschnürtes Angebot. Je nach Ausgangslage können Unternehmen zwischen verschiedenen Bausteinen wählen wie

  • der Absicherung gegen Kosten für die Betriebsunterbrechung,
  • der Wiederherstellung von Daten,
  • Krisenmanagement- und Erpressungskosten,
  • Kosten, die mit dem Verlust von vertraulichen Informationen verbunden sind,
  • der Beschädigung von Drittsystemen oder Strafzahlungen.

Cyberversicherungen dienen zum einen der Abdeckung von Eigenschäden, sichern zum anderen aber auch Schäden ab, für die Unternehmen gegenüber Kunden oder Dienstleistern haften müssen.

Die Deckung durch eine Cyberversicherung geht weit über die durch Cyberattacken verursachten Schäden hinaus, zum Beispiel beim Diebstahl von Kreditkartendaten: Ende 2013 verübten Hacker einen Angriff auf eine US-Supermarktkette, bei dem 56 Millionen Kreditkartendaten von Kunden gestohlen wurden. Die anfallenden Kosten für die Neuausstellung von Kreditkarten werden dem betroffenen Unternehmen von den Banken in Rechnung gestellt. Bei einer entsprechenden Police zahlt eine Cyberversicherung auch in solchen Fällen und trägt so zur Schadensminderung für das betroffene Unternehmen bei. Die Versicherungslaufzeit wird kurzfristig festgelegt, im Regelfall auf ein Jahr. Das hängt damit zusammen, dass Risiken aufgrund immer neuerer und sich zunehmend schneller verbreitender Bedrohungen nicht über einen langen Zeitraum hinweg einzuschätzen sind.

Derzeit ist der Versicherungsmarkt für Cyber-Policen in den USA dem europäischen und auch dem deutschen Markt noch um einiges voraus. Doch auch hierzulande ziehen die Unternehmen nach: Eine aggressive Attacke aus dem Cyber Space veranlasste Deutschlands größten Stahlkonzern, sich gegen Produktionsausfälle durch Cyber-Attacken im zweistelligen Millionenbereich zu versichern. Und auch ein großer Automobilzulieferer versicherte sich als erstes deutsches Unternehmen mit einer Deckungssumme im dreistelligen Millionenbereich.

Generell handelt es sich bei Cyberversicherungen um ein sensibles Thema: Details zu Sicherheits- und Schutzvorkehrungen gibt kein Unternehmen gerne preis. Allerdings veranlasst die schnelle Entwicklung der Gefahrenlandschaft immer mehr Unternehmen zum Abschluss derartiger Versicherungen, denn selbst die besten Abwehrmechanismen garantieren keinen hundertprozentigen Schutz. Es stellt sich daher die Frage, welche Kriterien Unternehmen erfüllen müssen, um eine Cyberversicherung abschließen zu können. Dem Versicherungsangebot muss eine genaue Risikoanalyse vorausgehen, aus der hervorgeht, welche Maßnahmen zur Risikominimierung das Unternehmen bereits getroffen hat und ob der grundlegende Schutz gewährleistet ist. Unternehmen sollten spezifische Sicherheitsanforderungen erfüllen, wie den Einsatz von Firewalls, Incident Management, Asset Management sowie den adäquaten Umgang mit sensiblen Informationen und deren Schutzmaßnahmen.

Was eine Cyberversicherungen nicht leistet

Festzuhalten bleibt jedoch, dass selbst der Abschluss einer zusätzlichen Cyberversicherung keine 100-prozentige Schutzgarantie für ein Unternehmen ist. Ein Restrisiko bleibt immer bestehen. Bei einer Cyberversicherung geht es vor allem darum, Schäden zu minimieren und Existenzbedrohungen abzufedern, den Betrieb wieder herzustellen und zu gewährleisten - also vor den Folgen von Cyberattacken zu schützen und nicht vor dem Auftreten von Sicherheitsverletzungen. Ist ein mittelständisches Unternehmen beispielsweise mehrere Tage nicht in der Lage, den Geschäftsbetrieb aufrecht zu erhalten, ist im Zweifelsfall die Existenz bedroht oder sogar zerstört. Gerade in Produktionsumgebungen zählt der Ausfall der IT aufgrund damit verbundener Einschränkungen oder Produktionsausfälle zu den gravierendsten Risikofaktoren.

Trotz der Erschließung des deutschen Marktes durch Hiscox 2008 ist das Konzept der Cyberversicherungen noch lange nicht ausgereift: Derzeit gibt es noch keine Marktdurchdringung. Dennoch ist davon auszugehen, dass der Cyberversicherungsmarkt aufgrund von Intensität und Raffinesse der schnelllebigen Bedrohungslandschaft in den kommenden Jahren deutlich wachsen wird. Markt und Anbieter selbst befinden sich derzeit allerdings noch immer in einer Art Test- und Versuchsphase: Sowohl Prämienfestlegung als auch Bedingungsausgestaltung beruhen mangels ausreichender und langfristiger Erfahrungen noch nicht auf gesicherten Erkenntnissen und Schadenszenarien. Es fehlen Statistiken und Auswertungen, einige prinzipielle Hürden sind noch zu stemmen: Im Falle von Informationsdiebstahl ist es schwierig, diese mit einem konkreten Wert zu bemessen, Eintrittswahrscheinlichkeit und gezahlte Summe sind schwierig zu deklarieren, auch das Restrisiko kann nicht ganz einfach berechnet werden. Hier wird eine Mischkalkulation erstellt, die sich danach richtet, was ein Unternehmen versichern will, in welcher Höhe die Deckungssumme bemessen sein soll und was für ein Restrisiko besteht. Es muss also nachjustiert werden, und zwar sowohl von Versicherungs- als auch von Unternehmensseite. Dazu beitragen wird auch das IT-Sicherheitsgesetz, das im Juli 2015 verabschiedet wurde: Große Infrastrukturunterhalter aus den Bereichen Telekommunikation, Energie- und Wasserwirtschaft, aber auch Personen-Transportunternehmen sowie Banken und das Gesundheitswesen müssen demnach CyberaAngriffe zukünftig melden.

1 Jörg Heidemann (Hrsg.)/Wilfried Flagmeier (Autor): Sonderheft Cyberversicherungen, Wolters Kluwer 2014, S. 5.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+ und Facebook!

Über den Autor:
Michael Zobel ist Senior Solution Manager, CISSP, CISA bei NTT Com Security, einem weltweiten Unternehmen für Informationssicherheit und Risikomanagement. Das Angebot umfasst Managed Security, Unternehmensinfrastruktur und Dienstleistungen für Beratung und Technologieintegration. Das Unternehmen ist Teil der NTT Communications Group, einem der größten Telekommunikationsunternehmen der Welt.

Erfahren Sie mehr über IT-Sicherheits-Management

- GOOGLE-ANZEIGEN

ComputerWeekly.de

Close