Cyber-Versicherungen – Aktuelle Entwicklungen im IT-Security-Versicherungsgeschäft
Seit der Verlagerung von Mitarbeitern ins Homeoffice und der daraus resultierten weiteren Zunahme von Gefährdungen und Angriffen, verschärfen Sicherheitsvorfälle die Anforderungen für Abschlüsse einer Cyber-Versicherung. Was müssen Versicherungsnehmer jetzt beachten?
Von Otto Geißler, Augsburg
Nach dem Ausbruch der Corona-Krise wechselten zum Teil ganze Belegschaften vom Büro, in dem die Regeln der IT-Security
deutlich konsequenter kontrolliert werden, ins Homeoffice. Dies rief nicht nur Cyberkriminelle auf den Plan – es hatte auch Auswirkungen auf den Versicherungsmarkt. Zu den größten Herausforderungen im Homeoffice gehören unsichere Konnektivität, Zugangsprobleme von Mitarbeitern, Bandbreiten, Phishing, Social-Engineering sowie weitere menschliche Cyberrisiken. Aufgrund vielfacher Vorfälle – unabhängig davon, ob es sich um Netzwerkausfälle, Datenschutzverletzungen, Finanzbetrug oder Ransomware handelte – mussten die Versicherungsgeber vielfach für entstandene Schäden aufkommen.
Der Markt reagierte prompt mit höheren Preisen, genaueren Überprüfungen der Sicherheitskontrollen oder Einschränkungen des Versicherungsschutzes in Form von Mitversicherungen oder Sublimits für Ransomware. Allerdings haben sich die Anforderungen bereits vor der Corona-Krise deutlich verändert: Während sich die meisten Fragen zur Cyber-Versicherung anfangs auf die grundlegende Computersicherheit bezogen haben und die Assekuranzen lediglich prüften, ob Versicherungsnehmer über Firewalls und Virenschutz verfügten, wurde längst verstanden, dass Netzwerksicherheit viel mehr umfasst als das.
Einordnung
Cyber-Versicherungen haben ihren Ursprung in der sogenannten Errors-and-Omissions-(E&O)- Versicherung: einer eigenständigen Versicherungsform, die vor Fehlern und Mängeln im Dienstleistungsbereich schützt. E&O-Versicherungen
sind analog zu den Produkthaftpflichtversicherungen für Unternehmen aufgestellt, die physische oder digitale Produkte verkaufen.
Während einige Cyber-Versicherungspolicen spezifische Bestimmungen für E&O enthalten, verkauft eine große Anzahl der Assekuranzen diese als separate Policen. Die E&O-Versicherung deckt zum Beispiel nicht den Verlust von Daten Dritter, wie beispielsweise im Zusammenhang mit Kunden-Kreditkarten, ab – Unternehmen, die einen solchen Schutz benötigen, müssen eine
Cyber-Versicherung abschließen, die diesen ebenfalls erfasst. Da sich die Cyber-Risiken ständig verändern, variieren auch die Richtlinien der Assekuranzen.
Cyber-Versicherungspolicen werden meist von den gleichen Anbietern verkauft, die Betriebsversicherungen anbieten – etwa E&O-Versicherungen, Betriebshaftpflichtversicherungen und gewerbliche Sachversicherungen. Die meisten Policen umfassen eine Erstversicherung, die für Verluste aufkommt, die sich direkt auf ein Unternehmen auswirken. Wogegen eine Drittversicherung für Folgeschäden eintritt, die andere aufgrund ihrer Geschäftsbeziehung mit dem angegriffenen Unternehmen erleiden.
Cyber-Versicherungen sollen naturgemäß dabei helfen, finanzielle Verluste abzudecken, die aus Cyber-Attacken entstehen. Zudem unterstützt eine Cyber-Risikodeckung Geschädigte (je nach Police) bei den mit der Sanierung verbundenen Kosten, einschließlich der Zahlung für Rechtshilfe, Ermittler, Krisenkommunikatoren und Kundengutschriften beziehungsweise
Rückerstattungen.
Besonders Unternehmen, die Kundendaten oder persönlich identifizierbare Informationen (PII) und personenbezogene Daten online erstellen, speichern und verwalten, können von einer Cyber-Versicherung profitieren. Des Weiteren sollten produzierende Betriebe sowie E-Commerce-Unternehmen über einen Versicherungsschutz nachdenken, da Ausfallzeiten im Zusammenhang mit Cyber-Angriffen mitunter zu erheblichen Umsatz- und Kundenverlusten führen können.
Deckungsumfang
Verschiedene Versicherungsanbieter bieten zum Teil deutlich voneinander abweichende Versicherungsleistungen an. In der Regel deckt eine Cyber-Versicherung jedoch die unmittelbaren Kosten, die mit einem Cyber-Angriff verbunden sind.
Im Allgemeinen soll sie vor vier Hauptrisiken schützen: Haftung für Netzwerksicherheit und Datenschutz, Unterbrechung des Netzwerkbetriebs, Medienhaftung sowie Fehler und Auslassungen – wobei die Haftung für Netzwerksicherheit und Datenschutz sowohl Eigen- als auch Fremdkosten umfassen kann.
- Netzwerksicherheit: Die Abdeckung der Netzwerksicherheit umfasst Eigenkosten sowie Ausgaben zum Beispiel für Gerichtskosten, IT-Forensik, Datenwiederherstellung et cetera.
- Datenschutz-Haftpflichtversicherung: Für die meisten Unternehmen steht eine Datenschutz-Haftpflichtversicherung im Vordergrund, besonders wenn deutliche Informations- oder Datenschutzrisiken vorliegen. Eine solche Versicherung schützt vor einer Haftung, die sich aus einem Cyber-Angriff oder einer Verletzung des Datenschutzgesetzes ergibt. Solche Drittkosten können beispielsweise aus Verbindlichkeiten im Rahmen einer vertraglichen Verpflichtung bis hin zu behördlichen Untersuchungen durch Regierungen und Strafverfolgungsbehörden entstehen. Eine Datenschutz-Haftpflichtversicherung übernimmt Kosten für die Verteidigung gegen Verbraucher-Sammelklagen sowie für einen möglichen Vergleich im Falle einer Attacke oder einer sonstigen Datenschutzverletzung.
- Unterbrechung des Netzwerkgeschäfts: Die Abdeckung von Unterbrechungen eines Netzwerkbetriebs bietet einen Versicherungsschutz für Unternehmen, die einem operativen Cyber-Risiko ausgesetzt sind. Wenn das Netzwerk des Unternehmens oder Providers aufgrund eines Online-Angriffs ausfällt, können entgangene Gewinne, Fixkosten und zusätzliche Kosten, die während der Beeinträchtigung entstanden sind, ausgeglichen werden. Dazu zählen unter anderem Systemfehler, wie ein fehlgeschlagener Software-Patch, oder menschliches Versagen.
- Fehler und Auslassungen: Eine Cyber-Attacke könnte den Versicherungsnehmer daran hindern, seine vertraglichen Verpflichtungen zu erfüllen beziehungsweise Dienstleistungen für seine Kunden zu erbringen. E&O-Versicherungen decken Ansprüche, die sich aus Fehlern bei der Erbringung oder aus der Nichterbringung von Dienstleistungen ergeben. Die Assekuranzen übernehmen dann Kosten der Rechtsverteidigung oder Entschädigungen aufgrund eines Rechtsstreits oder einer Streitigkeit mit Kunden.
Was Cyber-Versicherungen nicht abdecken
Wie bei allen Versicherungspolicen gibt es Ausschlüsse – auch eine Cyber-Versicherung ist gegenüber den tatsächlichen Risiken immer noch begrenzt, es lassen sich nie alle Cyber-Risiken abdecken. Von einer Regulierung sind in der Regel folgende Fälle ausgeschlossen: potenzielle zukünftige Gewinne, finanzieller Schaden, der durch den Verlust von geistigem Eigentum entsteht, Reputationskosten, die nach einem Cyber-Angriff auftreten sowie Kosten für die Verbesserung interner technischer Systeme – einschließlich Software- oder Sicherheits-Upgrades nach einem Cyber-Vorfall.
Kosten
In der Regel basiert die Preisgestaltung für Cyber-Versicherungen auf folgenden Faktoren: dem Jahresumsatz des Versicherten, der Art der gespeicherten Daten, dem Grad der bestehenden Netzwerksicherheit sowie der Branche. Schließlich sind bestimmte Sektoren der Wirtschaft anfälliger für Cyber-Kriminalität und erfordern aus diesem Grunde eine höhere Abdeckung. Unternehmen mit einem großen Volumen personenbezogener Unterlagen, wie zum Beispiel im Finanz- und Gesundheitswesen, sind beispielsweise einem höheren Risiko ausgesetzt als etwa die Gastronomie. Ein Unternehmen, das eine unzureichende IT-Security aufweist oder bereits in der Vergangenheit Opfer von Angreifern oder einer Datenschutzverletzungen wurde, dürfte wahrscheinlich mehr für eine Cyber-Versicherungspolice bezahlen als eines, das über einen guten Ruf verfügt, sich selbst zu schützen.
Bedingungen und Audits
Da Versicherungen dieser Art noch relativ neu sind, variieren die Policen zudem deutlich von Anbieter zu Anbieter. Daher sollten Unternehmen die jeweiligen Richtliniendetails der Assekuranzen genau prüfen, um sicherzustellen, dass sie die erforderlichen Schutzmaßnahmen und Bestimmungen enthalten. Darüber hinaus sollten Unternehmen bewerten, ob diese Richtlinien ausreichenden Schutz gegenüber bekannten sowie auch neu auftretenden Cyber-Vorfällen und Bedrohungsprofilen bieten.
Um sich für eine Versicherungspolice zu qualifizieren, muss sich der Interessent in der Regel einem Sicherheits-Audit durch die Versicherungsgesellschaft unterziehen – dessen Ergebnisse fließen dann in die Deckungsarten des Cyber-Versicherers oder die Prämienkosten ein.
Fragestellungen eines Sicherheitsaudits
Folgende Punkte werden in der Regel für die Beantragung einer Cyber-Versicherung von den Assekuranzen im Zusammenhang mit einem Sicherheitsaudit abgefragt:
- Durchführung regelmäßiger Backups: Im Zeitalter von Ransomware ist eine Methode zur Wiederherstellung von Daten eine besonders wichtige Voraussetzung dafür, dass solche Angriffe einigermaßen glimpflich ablaufen können. Bei manchen Ransomware-Attacken wurde berichtet, dass selbst nach Erhalt der Schlüsseldaten eine Wiederherstellung von einer Sicherungskopie erforderlich war, da der Entschlüsselungsprozess zu lange dauerte.
- Verwendung einer Zwei-Faktor-Authentifizierung: Gerade in den Zeiten der Arbeit aus dem Homeoffice sind sich Versicherer der Risiken von Fernzugriffen bewusst und wollen sicherstellen, dass eine Zwei-Faktor-Authentifizierung (2FA) verwendet wird, wenn Zugangsdaten von außerhalb des Büros für den Fernzugriff auf das Unternehmen eingegeben werden.
- Anzahl der PII-Datensätze im Netzwerk: Persönlich identifizierbare Informationen (PII) können sensibel oder nicht sensibel sein. Zu den sensiblen persönlichen Informationen gehören etwa der vollständige Name, die Mitgliedsnummern der Sozialversicherungen, Reisepass-, Führerschein- und Adressdaten, Kreditkarteninformationen sowie Finanzinformationen und medizinische Daten. Je nach Unternehmen, Branche und den im Netzwerk gespeicherten Daten ist ein Überblick zu solchen Daten im Netzwerk zu erstellen.
- Regelmäßige Schulungen zur Betrugsbekämpfung: Damit soll sichergestellt werden, dass das Unternehmen seinen Mitarbeitern die Gelegenheit geben will, mögliche Social-Engineering-Versuche zum Diebstahl von Anmeldedaten oder zwecks Betrug zu erkennen.
- Verfahren zur Änderungen von Kontodaten: Eine 2FA muss Teil eines Zahlungsprozesses sein und wird auch für jede externe Finanz- oder Banktransaktion empfohlen. Sie sollte zudem bei Änderungen von Kontodaten, wie Kontonummern und Telefonnummern, oder zur Anforderung von Kontaktinformationen verwendet werden.
- Office 365 im Einsatz: Für Unternehmen, die Office 365 nutzen, empfiehlt es sich, die Office 365 Advanced Threat Protection zu verwenden. Zudem sollte auch hier für alle Benutzer eine 2FA obligatorisch sein.
- Zugriff auf E-Mails über eine Webanwendung auf einem nicht unternehmenseigenen Gerät: In großen Unternehmen wird oft die Verwendung separater Geräte für den Bürozugang ermöglicht. Telefone waren früher eine Bastion des sicheren Zugangs, werden aber heute als Risiko für das Netzwerk angesehen. Wenn ein E-Mail-Zugang über ein unternehmensfremdes Gerät erlaubt ist, verlangen viele Versicherungsanbieter jedoch, dass dieser durch 2FA geschützt wird.
- Einsatz von SPF bei eingehenden E-Mails: Das Sender-Policy-Framework (SPF) ist ein Verfahren zur E-Mail-Authentifizierung, die Spammer daran hindern soll, Nachrichten in fremdem Namen zu versenden.
- Aufbewahrung verschlüsselter Backups getrennt vom Netzwerk: Assekuranzen wollen nicht nur wissen, ob Backups verschlüsselt und getrennt vom Netzwerk aufbewahrt werden, sondern auch, ob sie offline oder über einen spezialisierten Cloud-Service vorgehalten werden. Zudem wird bei Unternehmen nach Wiederherstellungs-Tests der wichtigsten Dienstkonfigurationen und Daten gefragt. Denn noch immer prüfen die meisten Unternehmen den gesamten Wiederherstellungsprozess erst dann, wenn sie sich in einem Katastrophenfall befinden. Versicherer möchten jedoch, dass ihre Kunden über einen vollständig getesteten Notfallwiederherstellungsplan verfügen.
- Verwendung von Endpunktschutz im Netzwerk: Zumindest sollte hier der Schutz privilegierter Benutzerkonten per 2FA erfolgen.
- Installationszeit kritischer Patches mit hohem Schweregrad: Updates sollten dennoch nicht ohne Weiteres sofort installiert werden – vielmehr empfiehlt es sich, Aktualisierungen zuerst zu testen und dann sicherzustellen, dass keine unerwünschten Nebenwirkungen auftreten.
- Security-Operations-Center (SOC): In der Regel umfasst ein SOC als zentralisierte Abteilung Mitarbeiter, Prozesse und Technik zur Verwaltung und Verbesserung der Sicherheitslage eines Unternehmens. Assekuranzen fordern heute zumindest eine spezialisierte Abteilung, deren einzige Aufgabe darin besteht, Cyber-Bedrohungen zu überwachen, zu erkennen, zu untersuchen und auf sie zu reagieren. Falls keine oder nicht genügend lokale Ressourcen für ein SOC vorhanden sind, sollte man einen Drittanbieter beauftragen. Achtung: Auch Versicherer wissen mittlerweile, dass Netzwerkbetriebszentren (NOCs) und SOCs nicht dasselbe sind: Während Erstere für die allgemeine Verfügbarkeit, Wartung und Leistung des Netzwerks verantwortlich sind, schützen nur Letztere Unternehmensnetzwerke, -systeme und -daten explizit vor Sicherheitsbedrohungen.
- Ransomware-Angriffe erkennen und verhindern: Zu deren Verhinderung sollten Unternehmen verschiedene Maßnahmen ergreifen – allem voran Mitarbeiterschulungen, keine Administratorrechte für normale User erteilen, Intrusion-Detection- und -Prevention-Systeme (IDS/IPS) installieren und konfigurieren, Anti-Malware-Software, Endpunktschutz und andere Sicherheitsmechanismen sowie Datenbanken auf dem neuesten Stand halten, regelmäßig Server und Workstations nach veralteten Tools scannen und neueste Patches so schnell wie möglich anwenden.
Fazit
Aufgrund der rasant zunehmenden Digitalisierung sind Cyber-Risiken und Schadenszenarien einem kontinuierlichen und ebenso rasantem Wandel unterworfen – daher wird es nie ein Patentrezept zur Absicherung digitaler Abläufe und Geschäftsmodelle geben. Für alle Risikoeigner ist es deshalb umso wichtiger, aus vergangenen Vorfällen zu lernen und bevorstehende Cybersicherheits-Trends, -Bedrohungen und -Schwachstellen rechtzeitig zu erkennen.
Cyber-Versicherer haben bereits bewiesen, dass sie ein Teil der Problemlösung sein können, wenn es darum geht, Resilienz aufzubauen und Vorsorgeleistungen über alle Branchen hinweg anzubieten. Die Umsetzung dazu geforderter Maßnahmen und Kontrollen kann als eine Art „digitaler Impfstoff“ verstanden werden – da dieser nicht immer ausreichen kann, muss die Versicherungswirtschaft verbleibende Risiken zusätzlich abdecken.
Dipl.-Betriebswirt Otto Geißler ist freier Journalist