Cyberversicherung als Rettung des Datenschutzes
Dramatische Angriffe auf die Cybersicherheit bedrohten in den vergangenen Jahren Großkonzerne genauso wie kleine und mittlere Unternehmen. Betroffene Betriebe stehen vor immensen finanziellen Schäden – vom angekratzten Ruf ganz zu schweigen. Da kommt man nicht umhin, über eine Cyberversicherung nachzudenken. Lohnt sich diese für jedes Unternehmen? Was leisten solche Versicherungen überhaupt? Wir haben uns für Sie auf dem Markt umgesehen.
Cyberangriffe: WannaCry & Co.
Die meisten Cyberangriffe werden vielen Opfern nicht einmal auffallen: Es gibt viele Malware-Varianten, die sich unauffällig verhalten, um den Datendiebstahl erst mal abzuschließen, bevor sie auffliegen. Bei anderen Cyberangriffen ist es unmöglich, sie nicht zu entdecken. Wenn auf dem Bildschirm eines Mitarbeiters plötzlich eine Lösegeldforderung auftaucht, um verschlüsselte Daten wieder zu entschlüsseln, kann man den Erpressungstrojaner nicht mehr leugnen. Viele Angriffe dieser Art tauchten in jüngster Vergangenheit auf. Werfen wir einen Blick auf die spektakulärsten Cyberangriffe des vergangenen Jahrzehnts:
Ransomware WannaCry
WannaCry geht als größter Angriff mit einem Erpressungstrojaner in die Cybergeschichte ein. Die Ransomware sorgte dafür, dass die Allgemeinheit plötzlich über Cybersicherheit sprach. Durch Exploits der Hackergruppe Equation Group wurde ein Kryptotrojaner erschaffen, der sich rasant durchs World Wide Web und durch lokale Netzwerke verbreiten konnte.
Binnen vier Tagen legte WannaCry über 200.000 Rechner in mehr als 150 Ländern lahm. Auch kritische Infrastrukturen waren darunter zu finden: in einigen Krankenhäusern verschlüsselte WannaCry sämtliche Gerätschaften einschließlich medizinischem Equipment. In zahlreichen Fabriken standen die Produktionen still. WannaCry gilt mit großem Abstand als einer der gefährlichsten Attacken mit enorm weitreichenden Konsequenzen.
NotPetya/ ExPetr: Teurer geht’s nicht mehr
Nicht zu spaßen war auch mit der Epidemie, die ExPetr, besser bekannt als NotPetya, auslöste. Wieder handelt es sich um Kryptoransomware. Diese Cyberattacke geht als die kostspieligste in die jüngere Geschichte ein. Von der Vorgehensweise unterschied sich nichts von dem Vorgänger WannaCry: Wieder waren es die Exploits EternalRomance und EternalBlue, durch die sich ein Wurm durchs Internet bewegen konnte und unwiderruflich alles verschlüsselte, was ihm in den Weg kam.
Die Anzahl infizierter Geräte war deutlich geringer als bei WannaCry. Einer der ursprünglichen Ausbreitungsvektoren für NotPetya war die Finanzsoftware MeDoc. Die Cyberkriminellen konnten Kontrolle über den Updateserver der Software gewinnen. In der Folge erhielten viele Unternehmen, die mit dieser Software arbeiteten, Malware zugespielt, die als Update getarnt war. So konnte sie sich übers ganze Netzwerk ausbreiten.
Während der Schaden von WannaCry auf schätzungsweise 4 – 8 Milliarden US-Dollar beziffert wird, geht man bei NotPetya von einem Schaden in Höhe von 10 Milliarden US-Dollar aus. Damit beförderte sich NotPetya auf den ersten Platz der kostspieligsten globalen Cyberangriffe der Geschichte.
Stuxnet – komplexe Malware
Die Malware Stuxnet kennen Sie sicherlich. Sie ist die wohl bekannteste Malware in unserer Übersicht. Als äußerst komplexe und vielschichtige Malware gelang es den Cyberkriminellen mit Stuxnet, die Leittechnik zum Anreichern von Uran im Iran außer Kraft zu setzen. Für mehrere Jahre wurde somit das Nuklearprogramm des Landes ausgebremst.
Über USB-Flashlaufwerke verbreitete sich der Wurm unmerklich und fand sogar Wege auf Rechner, die weder mit dem Internet noch mit einem Lokalnetzwerk verbunden waren. Nichts und niemand konnte bis dato mit der Raffinesse und Komplexität des Stuxnet-Angriffs mithalten.
Stuxnet geriet außer Kontrolle. Hunderttausende Computer weltweit wurden infiziert – jedoch ausschließlich jene, die Steuerungen und Software aus dem Hause Siemens verwendeten. Befand sich Stuxnet auf einem solchen Gerät, wurden die Steuerungen kurzerhand umprogrammiert und physisch zerstört.
DarkHotel bedroht durch öffentliche WLAN-Netzwerke
Spätestens zu Beginn der Urlaubssaison beginnen sie: Die Warnungen darüber, wie unsicher öffentliche WLAN-Netzwerke in Bus und Bahn, an Flughäfen oder in Cafés sind. Offenbar meinen viele Anwender jedoch, dies treffe nicht auf WLAN-Netzwerke in Hotels zu. Ein fataler Fehler, der vielen Top-Managern und hochrangigen Mitarbeitern zum Verhängnis werden sollte, als die Spyware DarkHotel mit einzog.
Die Nutzer wurden während der Verbindung mit dem Hotelnetzwerk aufgefordert, ein Update für eine Software zu installieren. Wurde dieses scheinbar legitime Update installiert, wurden die Geräte mit der Spyware DarkHotel infiziert. Die Cyberkriminellen hatten die Spyware wenige Tage zuvor ins Hotelnetzwerk eingeschleust. Da die Spyware Tastatureingaben protokolliert, gelingen den Cyberkriminellen gezielte Phishing-Angriffe.
Mirai-Botnetz: Infektion des IoTs
Botnetze existieren schon sehr, sehr lange. Mit der Entwicklung des Internets der Dinge (Internet of Things, IoT) erhielten Cyberkriminelle aber neue Impulse für den Einsatz dieser Botnetze. Es kamen Geräte auf den Markt, die in keinster Weise gesichert waren – keine Antiviren-Programme, die sie schützten, keine abgesicherten Netzwerke, in die sie eintauchten. Ein gefundenes Fressen für Cyberkriminelle!
Der Angriff durch die Mirai-Botnetze basieren auf einer Malware namens Mirai. Dies bedeutet auf Japanisch so viel wie „Zukunft“. Die Masseninfektion, die hier ausgelöst wurde, nahm unfassbare Ausmaße an. Die Besitzer dieses riesigen Botnetzes beschlossen im Oktober 2016, die Fähigkeiten ihrer Malware auszutesten. Millionen digitale Router, Videorekorder, IP-Kameras und weitere „smarte“ Geräte wurden dazu veranlasst, den DNS-Diensteanbieter Dyn mit Anfragen zu bombardieren, also einen DDoS-Angriff auszulösen.
Dyn konnte dem nicht standhalten. Weder das DNS, noch die darauf angewiesenen Dienste waren verfügbar. Von dem Angriff waren zahlreiche US-Giganten wie Twitter, PayPal, Spotify, Netflix und weitere betroffen. Dyn selbst konnte sich zwar wieder erholen, jedoch waren die massiven DDoS-Angriffe Auslöser für eine neue Diskussion über Sicherheit bei smarten Gadgets.
Schafft die Cyberversicherung einen entsprechenden Schutz?
Angesichts dieser Gefahren erscheint es sinnvoll, wenn sich Unternehmen mit der Cyberversicherung beschäftigen. Im Folgenden geben wir Ihnen einige Denkanstöße rund um die Cyberversicherung, zeigen Ihnen aber auch Alternativen auf.
Was ist eine Cyberversicherung und was leistet sie?
Eine Cyberversicherung hat das Ziel, Schäden finanziell aufzufangen, die durch verschiedene IT-Sicherheitsvorfälle entstehen können. Dabei hängen die Art und Höhe der Abdeckung von der jeweiligen Police ab. In einigen Fällen sind auch Schäden Dritter mitversichert, etwa dann, wenn Ihre Organisation durch einen Hackerangriff Malware an Ihre Kunden weitergeleitet hat. Weitere Leistungen können sein:
- Entschädigung bei Betriebsunterbrechung: Nach einem gelungenen Cyberangriff steht beispielsweise die Produktion still. Auch im Büro geht nichts: Die Rechner streiken. Hier springt die Cyberversicherung ein und erbringt einen vorher vereinbarten Tagessatz solange, bis alles wieder läuft. Unternehmen werden also für entgangene Gewinne entschädigt, können aber gleichzeitig laufende Kosten begleichen.
- Kostenerstattung für die Datenwiederherstellung: Das Wiederherstellen von Systemen und Daten ist zeit- und nervenaufreibend. Es braucht mitunter auch teure Spezialisten, um Daten aufwändig rekonstruieren zu können. Sowohl für die Kosten dieser Rekonstruktion, als auch für die der Wiederherstellung der Computersysteme kommt die Cyberversicherung auf.
- Drittschäden: Neben dem oben erwähnten Beispiel kann es auch passieren, dass Kundendaten aus dem Firmennetzwerk gestohlen werden. Dafür kann das Unternehmen haftbar gemacht werden. Auch hier springt die Cyberversicherung ein, entschädigt betroffene Kunden, wehrt jedoch auch unberechtigte Forderungen ab. Erleiden Kunden aufgrund von ausbleibenden Lieferungen Schäden, können – je nach Police – auch hier die Versicherungen einspringen.
- IT-Forensik: Nach einem Cyberangriff ist schnelle Hilfe Gold wert! Das Versicherungsunternehmen schickt speziell geschulte IT-Forensiker, die die Ursache eines Angriffs untersuchen. Dies ist Voraussetzung, um das komplette Ausmaß eines Schadens beurteilen zu können und mögliche Folgeschäden zu verhindern. IT-Forensiker sind darüber hinaus dafür verantwortlich, gerichtsfeste Beweise zu sichern.
- Rechtsberatung: Unternehmen sind seit der DSGVO dazu verpflichtet, sich im Falle eines Diebstahls sensibler Daten vor den Betroffenen und der Datenschutzbehörde zu erklären. Die Cyberversicherung kann Anwälte stellen, die dafür sorgen, dass sich ein Unternehmen rechtlich nicht angreifbar macht. Diese Anwälte, Experten auf dem Gebiet IT und Datenschutz, werden für ihre Beratung von der Versicherung entlohnt.
- Krisenkommunikation und Callcenter: Cyberangriffe größeren Ausmaßes schaffen es sehr schnell in die Presse – einschließlich der Nennung betroffener Unternehmen. Um mit dieser ungewollten Aufmerksamkeit geschickt umzugehen, vermitteln und zahlen einige Cyberversicherungen Krisenkommunikatoren. Sie haben die Aufgabe, den Imageschaden möglichst gering zu halten. Haben Kunden Fragen zu einem bekanntgewordenen Cyberangriff, kann der Versicherer auch den Einsatz eines Callcenters bezahlen.
Um eine solche Police abschließen zu können, ist in aller Regel eine Bestandsaufnahme der aktuellen Situation zur IT-Sicherheit im Unternehmen notwendig. Aber auch ein Mindestmaß an Schutz der hauseigenen IT-Infrastruktur müssen Unternehmen vorweisen können. Für Kleinbetriebe gibt es häufig Standardtarife, die eine solche Bestandsaufnahme womöglich überflüssig werden lassen können. Der Markt für Cyberversicherungen ist sehr in Bewegung, weshalb es sich lohnt, Angebote zu vergleichen.
Vor- und Nachteile einer Cyberversicherung
Die Vorteile einer Cyberversicherung ergeben sich, wenn man sich ihr Leistungsspektrum ansieht: Neben geldwerten Entschädigungen und Kostenerstattungen erhält man auch Beratungen, wie im Falle eines Cyberangriffs vorzugehen ist. Unternehmen erhalten Experten wie Anwälte, IT-Forensiker, Krisenkommunikatoren oder Datenschutzbeauftragte an die Seite, die sie mit Rat und Tat unterstützen. In leistungsstärkeren Tarifen kommt auch der Umgang mit Lösegeldforderungen bei Erpressungsversuchen mittels Trojaner hinzu. Auch Sachschäden an der IT-Hardware lassen sich in einigen Tarifen übernehmen. Diese Flexibilität und das bedarfsgerechte Zuschneiden sind weitere Vorteile einer Cyberversicherung.
Erliegen Sie bitte jedoch nicht dem Gedanken, eine Cyberversicherung nimmt Ihnen die Aufgabe ab, Ihre IT-Infrastruktur sinnvoll abzusichern. Das Gegenteil ist der Fall: Um eine Cyberversicherung überhaupt erst abschließen zu können, benötigt Ihre IT-Infrastruktur ein Mindestmaß an Sicherheit. Die verschiedenen Anbieter setzen unterschiedliche Maßnahmen voraus. In aller Regel sind es jedoch die folgenden Kriterien, auf die Sie achten sollten:
- Virenschutz und Firewall sind installiert sowie auf einem aktuellen Stand
- Sie führen regelmäßige Datensicherungen durch
- Sie kontrollieren die Zugriffsrechte in Ihrem Betrieb
- Sie nutzen ein effizientes Passwortmanagement
Eine Cyberversicherung schützt Sie auch nicht vor dem Hackerangriff selbst, sondern lediglich vor seinen finanziellen Folgen. Auch die Kosten der Versicherung können als Nachteil genannt werden. Einem Bericht von Haufe zufolge können die Kosten für eine solche Police zwischen 500 bis 100.000 Euro pro Jahr liegen. Die Prämie Ihrer Cyberversicherung hängt von verschiedenen Faktoren ab:
- Von der Größe Ihres Unternehmens und/ oder der Mitarbeiterzahl
- Vom Jahresumsatz Ihrer Organisation
- Vom konkreten Leistungsumfang Ihrer Police
- Von der individuell vereinbarten Versicherungssumme sowie der Höhe der Selbstbeteiligung
- Von der Vertragslaufzeit (oft gibt es Rabatte bei längeren Laufzeiten) und der Zahlweise (größere Zahlungsintervalle führen zu Rabatten)
- Vom Versicherungsunternehmen – je nach Versicherer variieren die Prämien immens, vergleichen lohnt sich
Angesichts dieses Überblicks über die Vor- und Nachteile von Cyberversicherungen kommt man nicht umhin, sich zu fragen, wie sinnvoll der Abschluss einer solchen Versicherung ist. Wie gesagt: Vor dem Hackerangriff selbst bewahrt einen die Versicherung nicht. Womöglich wäre es da sinnvoller, in einen eigens für die IT-Sicherheit Verantwortlichen zu investieren. Dieser kann schon vorher ansetzen und dafür zuständig sein, Cyberrisiken wie Hackerangriffe durch Verschlüsselung und andere Maßnahmen zu verringern. Welche Lösung für welchen Betrieb in Frage kommt, muss individuell geklärt werden. Behalten Sie jedoch im Hinterkopf, dass eine Versicherung dann hilft, wenn das Kind bereits in den Brunnen gefallen ist. Eine Fachkraft hingegen sorgt dafür, dass es gar nicht erst soweit kommen muss.
Für welche Unternehmen/ Unternehmensgröße ist die Cyberversicherung empfehlenswert?
Ob man sich für oder gegen eine Cyberversicherung entscheidet, sollte nicht unbedingt von der Unternehmensgröße anhängen. Interessant ist sie grundsätzlich für jedes Unternehmen, welches mit sensiblen Daten umgeht und in denen der Geschäftsbetrieb von einer zuverlässigen Verfügbarkeit abhängt. Die Entscheidung für oder gegen die Cyberversicherung sollte also in Abhängigkeit der Informationen gefällt werden, die verarbeitet werden, sowie von der Abhängigkeit von der Verfügbarkeit von Daten und der IT-Infrastruktur. Übrigens: Bei einigen Branchen verweigern sich auch die Versicherungsanbieter. Ist das Risiko zu hoch, wie es bei Finanzdienstleistern häufig der Fall ist, kann sich das Versicherungsunternehmen weigern, eine Cyberversicherung abzuschließen.
Gerade in KMU kann es vorkommen, dass es keinen einzigen Ansprechpartner für die IT gibt. Hier kann die Cyberversicherung eine wertvolle Ergänzung sein: Viele Policen sind mit Notfall-Beratungen ausgerüstet. Im Falle eines Angriffs werden entweder Experten ins Unternehmen geschickt oder unterstützen zumindest telefonisch, um das weitere Vorgehen zu beratschlagen. Es gibt auch Policen, die das Einführen sinnvoller Sicherheitsmaßnahmen nach einer Cyberattacke beinhalten.
Unternehmen, die intern wenige oder keinen Ansprechpartner für die IT-Sicherheit haben, finden also auch beratende Unterstützung in der Cyberversicherung. Firmen jedoch, die eigene IT-Experten beschäftigen, sind oftmals gut beraten, deren Kenntnisse zur Abwehr zu nutzen. Eine Möglichkeit auch für KMU ohne eigene Fachkräfte sind externe IT-Experten, die unabhängig von einer Cyberversicherung für das Unternehmen tätig werden.
Eine Absicherung für den Fall der Fälle kann sinnvoll sein, in erster Linie sollte es jedoch darum gehen, bestehende Risiken auf ein Minimum zu senken.
Welche Cyberversicherungen sind vertrauenswürdig?
Der Gesamtverband der Deutschen Versicherungswirtschaft e. V. (GDV) listet aktuell 39 Anbieter für Cyberversicherungen – Tendenz steigend. Die Angebote sind komplex und vielfältig. Der GDV beschreibt auf seiner Website jedoch gut, was Cyberversicherungen standardmäßig abdecken sollten. Lesen Sie unbedingt auch das Kleingedruckte und achten Sie auf Fallstricke:
- Ausschluss „kriegerischer Handlungen“: Ein solcher Ausschluss wird zunehmend problematisch. Früher oder später landet Malware auf den Marktplätzen im Darknet und steht somit Kriminellen zur Verfügung – auch wenn sie ursprünglich staatlichen Ursprungs war. Eine Unterscheidung von staatlichen Angriffen zu Trittbrettfahrern wird immer schwieriger. Klären Sie im Vorfeld, wie mit solch unklaren Fällen umgegangen wird.
- Cloud-Ausfälle: Das klingt gut, jedoch gilt es, Details zu prüfen. Es gibt Angebote, die Cloud-SaaS-Services ausschließen oder nur DoS-Angriffe auf den Cloud-Anbieter zahlen. Die Deckungssumme kann bei Angriffen auf den Cloud-Betreiber eingeschränkt sein, andere schließen Szenarien dieser Art gänzlich aus.
- Schutz gegen vorsätzliche IT-Zwischenfälle: Auch hier ist Vorsicht geboten. Einige Tarife schützen zwar dagegen, wenn die Mitarbeiter dem Betrieb willentlich schaden, schließen jedoch Unternehmensrepräsentanten wie Inhaber, Vorstände oder Geschäftsführer aus. Andere Policen schließen mutwillige Schäden durch Mitarbeiter komplett aus, schützen aber dann, wenn ein Mitarbeiter einem anderen Versicherungsnehmer vorsätzlich schadet.
Cyberversicherungen: Sinnvoll oder doch nach Alternativen suchen?
Cyberversicherungen kommen dann zum Tragen, wenn es in Unternehmen zu IT-Sicherheitsvorfällen kam, die in der Police abgedeckt sind. Ist das nun sinnvoll oder nicht?
Spätestens seit Inkrafttreten der EU-Datenschutz-Grundverordnung (DSGVO) haben Unternehmen ein Regelwerk an die Hand bekommen, mit welchen Mitteln und Maßnahmen sensible Daten geschützt und Datenverlusten vorgebeugt werden kann. Es werden technisch-organisatorische Maßnahmen explizit genannt oder lassen sich zumindest daraus ableiten. Wie überall im Leben gilt auch in der IT-Sicherheit Ihres Unternehmens: Vorbeugen ist besser als heilen. Bevor Sie überhaupt über den Abschluss einer Cyberversicherung nachdenken, gilt es, die IT sinnvoll abzusichern:
- Verschlüsseln Sie! Sowohl Ihre Daten (-sicherungen), wie auch Ihre Kommunikation (z. B. mit E-Mail-Zertifikaten) und Ihre Website (mit SSL-Zertifikaten). Idealerweise sind auch die Daten in der von Ihnen genutzten Cloud verschlüsselt.
- Sensibilisieren Sie Ihr Team! Die bestgesicherte IT kann nicht sicher sein, wenn der Mensch, der sie bedient, sie nicht anwenden kann. Investieren Sie in Security Awareness-Schulungen, vielleicht sogar in eine speziell ausgebildete IT-Sicherheits-Fachkraft.
- Zertifizierungen zeigen nicht nur in der Außenwirkung, wie wichtig Ihnen die Themen Datenschutz und IT-Sicherheit sind, sondern sie beugen auch teuren Bußgeldern vor, falls dennoch sensible Daten gestohlen werden können. Während der weltweit anerkannte ISO 27001-Standard oft in mittleren und Großkonzernen gewählt wird, finden KMU mit ISIS12 eine angepasste Zertifizierung.
- Setzen Sie auf einen effizienten Virenschutz und eine gute Firewall.
- Halten Sie sämtliche Software auf einem aktuellen Stand.
- Identifizieren Sie Schatten-IT und stellen Sie Richtlinien auf, wie damit umgegangen wird.
- Stellen Sie eine unternehmensweite Sicherheitsrichtlinie auf. Lassen Sie allen Mitarbeitern diese Richtlinie zukommen.
- Erstellen Sie auch eine Passwortrichtlinie. Tipps dazu erhalten Sie in unserem Beitrag „Passwortrichtlinie: Ihr Weg zu besserem Datenschutz„.
- Überlegen Sie sich, mit einem IT-Sicherheitsbeauftragten (extern oder intern) zusammenzuarbeiten. Worauf es dabei ankommt, haben wir im Beitrag „IT-Sicherheitsbeauftragter: Ist er für die Aufgabe geeignet?“ zusammengefasst.
- Führen Sie regelmäßige Datensicherungen durch und verschlüsseln Sie die Sicherungen.
- Erarbeiten Sie ein Konzept fürs Zugriffsmanagement und setzen Sie diese Zugriffsrechte in Ihrem Unternehmen durch.
Haben Sie all diese Aufgaben bewältigt, überlegen Sie sich, welche Risiken Sie absichern möchten. Auf der Website des GDV finden Sie die Anbieter übersichtlich aufgelistet. So können Sie sich die Angebote der verschiedenen Cyberversicherungen mit geringem Aufwand einholen. Grundsätzlich spricht nichts gegen eine gute Cyberversicherung, solange sie als das begriffen wird, was sie ist: Eine Absicherung für den Schadensfall. Einem Schaden vorbeugen können nur Sie allein – gerne mit uns als Partner an Ihrer Seite. Nehmen Sie gerne Kontakt zu uns auf; unsere Experten beraten Sie unverbindlich und bedarfsgerecht.