FAQ Cyber-Versicherung
IT-Risiken richtig versichern
Bild: ©Stockwerk / Fotolia.comIT-Risiken abzuschätzen und bestmöglich abzusichern steht ganz oben auf den Agenden der IT- und Sicherheitsverantwortlichen vieler Unternehmen. Laut dem aktuellen Risk-Barometer der Allianz zählen IT-bedingte Zwischenfälle gemeinsam mit Betriebsunterbrechungen zu den größten Geschäftsrisiken weltweit. Um dem entgegenzuwirken, gilt es, durch geeignete Sicherheitsmaßnahmen die digitale Angriffsfläche zu verringern. Für die verbleibenden Restrisiken bieten zahlreiche Versicherer Cyber-Policen an. Fälle wie der laufende Rechtsstreit zwischen dem Lebensmittelkonzern Mondelez und der Zurich Insurance Group zeigen allerdings, dass Cyber-Versicherungen nicht zwangsläufig einspringen, wenn sie gebraucht werden. Der Süßwarenkonzern (Milka, Oreo, Toblerone) hatte sich bei einer US-Tochter von Zurich mit einer Deckungssumme von 100 Millionen Dollar gegen Schäden aus Ausfällen der IT-Systeme versichert, wobei Schadsoftware ausdrücklich mit eingeschlossen war. 2017 fiel Mondelez dem Krypto-Trojaner 'NotPetya' zum Opfer und bezifferte den Schaden auf insgesamt 180 Millionen Dollar. Zurich zahlte einen ersten Teil der Versicherungssumme aus, weigerte sich dann aber, auch den Rest zu überweisen. Laut dem Versicherer sei 'NotPetya' als 'kriegsähnliche Handlung in Kriegs- oder Friedenszeiten' durch einen staatlichen Akteur anzusehen, da die Industrie Russland als Urheber hinter der Ransomware ausgemacht hatte. Solche Schäden sind üblicherweise von Versicherungspolicen ausgeschlossen. Zurich steht nun in der Pflicht, vor Gericht zu beweisen, dass es sich tatsächlich um so einen Ausnahmefall handelt und damit der Schaden nicht gedeckt ist. An diesem Beispiel wird deutlich, dass Unternehmen sehr genau prüfen müssen, welche Cyber-Versicherung für sie die Richtige ist, wann der Schutz genau wirkt und unter welchen Bedingungen er erlischt. Zudem fordern Versicherer, dass ihre Klienten bestimmte Sicherheitsvorkehrungen treffen. Wie sich Unternehmen vorbereiten und welche Stolperfallen sie umgehen sollten, erfahren Sie im Folgenden. In einem ersten Schritt gilt es festzustellen, was genau versichert werden soll. Die Allianz für Cyber-Sicherheit (ACS) des BSI widmet in ihrem Vorstands-Handbuch 'Management von Cyber-Risiken' Teile des fünften Kapitels dieser Frage. Der Entscheidungsprozess geht mit einer detaillierten Risikoabwägung einher und wird anhand dieser Diskussionspunkte abgehandelt:
Bei welchen Daten und Informationen, Systemen und Geschäftsabläufen besteht Bereitschaft, ihren Verlust oder ihre Beschädigung zu akzeptieren?
Wie sollten Investitionen zur Cyber-Risikominderung auf grundlegende und fortgeschrittene Schutzmaßnahmen aufgeteilt werden?
Welche Optionen stehen zur Verfügung, um bei der Minderung bestimmter Cyber-Risiken zu unterstützen?
Welche Optionen stehen zur Verfügung, um bei der Übertragung bestimmter Cyber-Risiken zu unterstützen?
Wie sollten die Auswirkungen von Cyber-Sicherheitsvorfällen bewertet werden?
Gegenüber dem Manager Magazin betont IT-Fachanwalt Lutz Martin Keppeler, wie wichtig die IT-Abteilung in diesem Zusammenhang ist. Ihr fällt die Aufgabe zu, "genau zu analysieren, welche Systeme relevant sind und in welcher Zeit sie wiederhergestellt werden können." Außerdem müssen sie sicherstellen, dass das IT-System des Unternehmens den vorgegebenen Anforderungen an IT-Sicherheit der Versicherer entspricht. Die Versicherer bieten Policen nach unterschiedlichen Kriterien an. Als Faustregel gilt: Je sensibler die gesammelten und verarbeiteten Daten sind, desto besser müssen sie geschützt werden. Im Einzelnen rät der Gesamtverband der Deutschen Versicherungswirtschaft (GDV) dazu, mindestens acht allgemeine Sicherheitsstandards umzusetzen, die Versicherer in aller Regel voraussetzen:
Antivirenprogramme sind stets auf dem neuesten Stand zu halten.
Mindestens einmal wöchentlich muss eine Datensicherung erfolgen.
Updates und Sicherheits-Patches für Software und Plugins sind möglichst direkt nach dem Erscheinen einzuspielen.
Firmen-Server müssen durch eine Firewall sowie Security-Monitoring- und Intrusion-Prevention-Lösungen gesichert sein.
Firmen müssen IT-Administratorenzugänge einrichten und Zugriffsrechte strikt beschränken.
Individuelle Mitarbeiterzugänge sind mit eigenen Zugangsdaten einzurichten und Sammel-Accounts mit Standardpasswörtern sollen vermieden werden.
Anwender sollten dazu gezwungen werden, komplexe Passwörter zu benutzen (Mindestlänge, Ziffern, Groß/Kleinschreibung, Sonderzeichen, regelmäßige Änderung).
Mobilgeräte sowie Datenträger sind voll zu verschlüsseln und durch eigene Passwörter bzw. Zwei-Faktor-Authentifizierung (2FA) zu sichern.
Um den Zustand der eigenen IT-Sicherheit zu ermitteln, bietet der Verband einen kostenlosen Cyber-Sicherheitscheck an. Umfang und Inhalt des Fragebogens passen sich den individuellen Risiken an. Am Ende jedes Abschnitts folgt eine Einschätzung, wie gut es um die IT-Sicherheit des Unternehmens bestellt ist und welche Verbesserungsmaßnahmen sich anbieten. Zudem zeigt der Test am Ende, wie andere Unternehmen abgeschnitten haben und in welchem Verhältnis das eigene Ergebnis zum Durchschnitt steht. Der GDV listet aktuell 38 Versicherer und deren Produktportfolios für spezielle Cyber-Versicherungen. Dementsprechend vielfältig und komplex sind die Angebote. Als Orientierungshilfe haben die Versicherungsberater der Agentur Franke und Bornberg eine notenbasierte Bewertungsmatrix für Policen erarbeitet. Um eine gute oder sehr gute Bewertung zu erhalten, musste ein Tarif die folgenden Leistungen abdecken können:
Betriebsunterbrechung: Deckung von Ertragsausfällen
Drittschäden: Deckung auch für immaterielle Schäden
Mehrere Versicherungsverträge: keine Subsidiarität (durchgängiger Versicherungsschutz durch den Abschluss verschiedener Versicherungen bei unterschiedlichen Versicherungsgesellschaften) der Cyber-Deckung
Rückwärtsdeckung: Deckungsausschluss nur für vor Abschluss bekannte Ursachen und Schäden (nicht für solche, die hätten bekannt sein müssen)
Wiederherstellung von IT-Systemen: Zeitliche Befristung der Wiederherstellung auf nicht weniger als zwölf Monate nach Schadenfeststellung
Ist eine passende Versicherung gefunden, wird diese beim Kunden die Risiken erfassen, anhand derer die Leistungen und Kosten definiert werden. Dies geschieht meist anhand eines Fragebogens, der je nach Versicherer und Unternehmensgröße unterschiedlich umfang- und detailreich ausfällt. Einen guten Überblick, worauf es den meisten Versicherungen ankommt, bietet der unverbindliche Musterfragenbogen des GDV. Er umfasst allgemeine Fragen zum Geschäfts- und Risikofeld, die bestimmen, in welche von drei verschiedenen Risikokategorien das Unternehmen fällt. Dabei wird z.B. abgefragt, ob Daten Dritter verarbeitet, Dienstleister beauftragt oder automatisierte Produktionssysteme verwendet werden. Die Abschnitte zu den Kategorien vertiefen die Fragestellungen zu den jeweiligen Themen. Abschließend folgt ein Block mit Zusatzfragen zu bestimmten Aspekten, wie der Verwendung privater Geräte oder Details zum E-Commerce-Bereich. Der eingangs beschriebene Rechtsstreit zwischen Mondelez und Zurich macht deutlich, dass es bei Cyber-Versicherungen auf das Kleingedruckte ankommt. Vor allem der standardmäßige Ausschluss von 'kriegerischen Handlungen' aus den meisten Policen wird in der IT zunehmend problematisch. Malware, selbst wenn sie ursprünglich staatlich initiiert wurde, gelangt früher oder später auf die Marktplätze im Darknet und steht gewöhnlichen Kriminellen zur Verfügung. Es ist schwierig, staatliche Angriffe von denen der Trittbrettfahrer zu unterscheiden. Zwar liegt es an den Versicherern, im Zweifelsfall den Nachweis dafür zu erbringen, der Prozess kostet jedoch Zeit und Geld. Beides sind Ressourcen, die Unternehmen nach einem Zwischenfall oft nicht haben. Die Betriebe sollten im Vorfeld mit dem Versicherer klären, wie in unklaren Fällen verfahren wird und welche Verzögerungen oder eventuelle Mehrkosten das mit sich bringt.
Bild: ©Stockwerk / Fotolia.comIT-Risiken abzuschätzen und bestmöglich abzusichern steht ganz oben auf den Agenden der IT- und Sicherheitsverantwortlichen vieler Unternehmen. Laut dem aktuellen Risk-Barometer der Allianz zählen IT-bedingte Zwischenfälle gemeinsam mit Betriebsunterbrechungen zu den größten Geschäftsrisiken weltweit. Um dem entgegenzuwirken, gilt es, durch geeignete Sicherheitsmaßnahmen die digitale Angriffsfläche zu verringern. Für die verbleibenden Restrisiken bieten zahlreiche Versicherer Cyber-Policen an. Fälle wie der laufende Rechtsstreit zwischen dem Lebensmittelkonzern Mondelez und der Zurich Insurance Group zeigen allerdings, dass Cyber-Versicherungen nicht zwangsläufig einspringen, wenn sie gebraucht werden. Der Süßwarenkonzern (Milka, Oreo, Toblerone) hatte sich bei einer US-Tochter von Zurich mit einer Deckungssumme von 100 Millionen Dollar gegen Schäden aus Ausfällen der IT-Systeme versichert, wobei Schadsoftware ausdrücklich mit eingeschlossen war. 2017 fiel Mondelez dem Krypto-Trojaner 'NotPetya' zum Opfer und bezifferte den Schaden auf insgesamt 180 Millionen Dollar. Zurich zahlte einen ersten Teil der Versicherungssumme aus, weigerte sich dann aber, auch den Rest zu überweisen. Laut dem Versicherer sei 'NotPetya' als 'kriegsähnliche Handlung in Kriegs- oder Friedenszeiten' durch einen staatlichen Akteur anzusehen, da die Industrie Russland als Urheber hinter der Ransomware ausgemacht hatte. Solche Schäden sind üblicherweise von Versicherungspolicen ausgeschlossen. Zurich steht nun in der Pflicht, vor Gericht zu beweisen, dass es sich tatsächlich um so einen Ausnahmefall handelt und damit der Schaden nicht gedeckt ist. An diesem Beispiel wird deutlich, dass Unternehmen sehr genau prüfen müssen, welche Cyber-Versicherung für sie die Richtige ist, wann der Schutz genau wirkt und unter welchen Bedingungen er erlischt. Zudem fordern Versicherer, dass ihre Klienten bestimmte Sicherheitsvorkehrungen treffen. Wie sich Unternehmen vorbereiten und welche Stolperfallen sie umgehen sollten, erfahren Sie im Folgenden. In einem ersten Schritt gilt es festzustellen, was genau versichert werden soll. Die Allianz für Cyber-Sicherheit (ACS) des BSI widmet in ihrem Vorstands-Handbuch 'Management von Cyber-Risiken' Teile des fünften Kapitels dieser Frage. Der Entscheidungsprozess geht mit einer detaillierten Risikoabwägung einher und wird anhand dieser Diskussionspunkte abgehandelt:
Bei welchen Daten und Informationen, Systemen und Geschäftsabläufen besteht Bereitschaft, ihren Verlust oder ihre Beschädigung zu akzeptieren?
Wie sollten Investitionen zur Cyber-Risikominderung auf grundlegende und fortgeschrittene Schutzmaßnahmen aufgeteilt werden?
Welche Optionen stehen zur Verfügung, um bei der Minderung bestimmter Cyber-Risiken zu unterstützen?
Welche Optionen stehen zur Verfügung, um bei der Übertragung bestimmter Cyber-Risiken zu unterstützen?
Wie sollten die Auswirkungen von Cyber-Sicherheitsvorfällen bewertet werden?
Gegenüber dem Manager Magazin betont IT-Fachanwalt Lutz Martin Keppeler, wie wichtig die IT-Abteilung in diesem Zusammenhang ist. Ihr fällt die Aufgabe zu, "genau zu analysieren, welche Systeme relevant sind und in welcher Zeit sie wiederhergestellt werden können." Außerdem müssen sie sicherstellen, dass das IT-System des Unternehmens den vorgegebenen Anforderungen an IT-Sicherheit der Versicherer entspricht. Die Versicherer bieten Policen nach unterschiedlichen Kriterien an. Als Faustregel gilt: Je sensibler die gesammelten und verarbeiteten Daten sind, desto besser müssen sie geschützt werden. Im Einzelnen rät der Gesamtverband der Deutschen Versicherungswirtschaft (GDV) dazu, mindestens acht allgemeine Sicherheitsstandards umzusetzen, die Versicherer in aller Regel voraussetzen:
Antivirenprogramme sind stets auf dem neuesten Stand zu halten.
Mindestens einmal wöchentlich muss eine Datensicherung erfolgen.
Updates und Sicherheits-Patches für Software und Plugins sind möglichst direkt nach dem Erscheinen einzuspielen.
Firmen-Server müssen durch eine Firewall sowie Security-Monitoring- und Intrusion-Prevention-Lösungen gesichert sein.
Firmen müssen IT-Administratorenzugänge einrichten und Zugriffsrechte strikt beschränken.
Individuelle Mitarbeiterzugänge sind mit eigenen Zugangsdaten einzurichten und Sammel-Accounts mit Standardpasswörtern sollen vermieden werden.
Anwender sollten dazu gezwungen werden, komplexe Passwörter zu benutzen (Mindestlänge, Ziffern, Groß/Kleinschreibung, Sonderzeichen, regelmäßige Änderung).
Mobilgeräte sowie Datenträger sind voll zu verschlüsseln und durch eigene Passwörter bzw. Zwei-Faktor-Authentifizierung (2FA) zu sichern.
Um den Zustand der eigenen IT-Sicherheit zu ermitteln, bietet der Verband einen kostenlosen Cyber-Sicherheitscheck an. Umfang und Inhalt des Fragebogens passen sich den individuellen Risiken an. Am Ende jedes Abschnitts folgt eine Einschätzung, wie gut es um die IT-Sicherheit des Unternehmens bestellt ist und welche Verbesserungsmaßnahmen sich anbieten. Zudem zeigt der Test am Ende, wie andere Unternehmen abgeschnitten haben und in welchem Verhältnis das eigene Ergebnis zum Durchschnitt steht. Der GDV listet aktuell 38 Versicherer und deren Produktportfolios für spezielle Cyber-Versicherungen. Dementsprechend vielfältig und komplex sind die Angebote. Als Orientierungshilfe haben die Versicherungsberater der Agentur Franke und Bornberg eine notenbasierte Bewertungsmatrix für Policen erarbeitet. Um eine gute oder sehr gute Bewertung zu erhalten, musste ein Tarif die folgenden Leistungen abdecken können:
Betriebsunterbrechung: Deckung von Ertragsausfällen
Drittschäden: Deckung auch für immaterielle Schäden
Mehrere Versicherungsverträge: keine Subsidiarität (durchgängiger Versicherungsschutz durch den Abschluss verschiedener Versicherungen bei unterschiedlichen Versicherungsgesellschaften) der Cyber-Deckung
Rückwärtsdeckung: Deckungsausschluss nur für vor Abschluss bekannte Ursachen und Schäden (nicht für solche, die hätten bekannt sein müssen)
Wiederherstellung von IT-Systemen: Zeitliche Befristung der Wiederherstellung auf nicht weniger als zwölf Monate nach Schadenfeststellung
Ist eine passende Versicherung gefunden, wird diese beim Kunden die Risiken erfassen, anhand derer die Leistungen und Kosten definiert werden. Dies geschieht meist anhand eines Fragebogens, der je nach Versicherer und Unternehmensgröße unterschiedlich umfang- und detailreich ausfällt. Einen guten Überblick, worauf es den meisten Versicherungen ankommt, bietet der unverbindliche Musterfragenbogen des GDV. Er umfasst allgemeine Fragen zum Geschäfts- und Risikofeld, die bestimmen, in welche von drei verschiedenen Risikokategorien das Unternehmen fällt. Dabei wird z.B. abgefragt, ob Daten Dritter verarbeitet, Dienstleister beauftragt oder automatisierte Produktionssysteme verwendet werden. Die Abschnitte zu den Kategorien vertiefen die Fragestellungen zu den jeweiligen Themen. Abschließend folgt ein Block mit Zusatzfragen zu bestimmten Aspekten, wie der Verwendung privater Geräte oder Details zum E-Commerce-Bereich. Der eingangs beschriebene Rechtsstreit zwischen Mondelez und Zurich macht deutlich, dass es bei Cyber-Versicherungen auf das Kleingedruckte ankommt. Vor allem der standardmäßige Ausschluss von 'kriegerischen Handlungen' aus den meisten Policen wird in der IT zunehmend problematisch. Malware, selbst wenn sie ursprünglich staatlich initiiert wurde, gelangt früher oder später auf die Marktplätze im Darknet und steht gewöhnlichen Kriminellen zur Verfügung. Es ist schwierig, staatliche Angriffe von denen der Trittbrettfahrer zu unterscheiden. Zwar liegt es an den Versicherern, im Zweifelsfall den Nachweis dafür zu erbringen, der Prozess kostet jedoch Zeit und Geld. Beides sind Ressourcen, die Unternehmen nach einem Zwischenfall oft nicht haben. Die Betriebe sollten im Vorfeld mit dem Versicherer klären, wie in unklaren Fällen verfahren wird und welche Verzögerungen oder eventuelle Mehrkosten das mit sich bringt.
IDG BUSINESS MEDIA GMBH
Dieser Artikel erschien in INDUSTRIAL SECURITY NEWS 2 2019 - 21.02.19.Für weitere Artikel besuchen Sie
