Checkliste für Unternehmen

Vor dem Abschluss der Cyber-Versicherung

02.11.2015 von Ralph Dombach und Andreas Th. Fischer

Worauf achten Versicherer, bevor sie Unternehmen gegen Cyberrisiken absichern? Was müssen Anwender beachten, bevor sie eine Police abschließen können? Wir klären die wichtigsten Fragen.

Wer nach einem IT-Vorfall nicht im Regen stehen will, der benötigt eine passende Cyber-Versicherung. Dabei gibt es einige Punkte zu beachten.
Foto: Golden Dayz - shutterstock.com

Versicherungen, wie wir sie heute kennen, sind seit Mitte des 17. Jahrhundert bekannt. Ihr Ursprung geht auf klassische Feuer- und Transportweg-Versicherungen zurück, wie nach wie vor zum Portfolio vieler Versicherungs-Unternehmen gehören. Risiken, die eine Einzelpersonen, Gemeinschaft oder ein Unternehmen nicht tragen kann (oder will), übernimmt ein Versicherer. Im Laufe der Jahrhunderte entstanden so viele allgemeine und spezielle Versicherungen, die oft einen "Value Added Service" offerieren (wie die Bereitstellung eines Vermittlers bei einem Entführungsfall).

Zunehmende IT-Risiken

In den letzten Jahren müssen sich aber Unternehmen auch verstärkt mit IT-Risiken auseinandersetzen. Diese ergeben sich aus der IT-Nutzung selbst (Fehlbedienung, technisches Versagen) oder durch Bedrohung aus dem Cyberspace.

Fällt beispielsweise ein zentrales NAS-Speichersystem aus, führt dies möglicherweise zu einer eingeschränkten E-Mail-Kommunikation oder einer ungenügenden Datenverfügbarkeit (Betriebsunterbrechung). Dazu kommen nun auch Cyberrisiken, wie beispielsweise Datendiebstahl, Denial-of-Service-Attacken oder Seiteneffekte durch Computerviren.

Wer ersetzt etwa die Schäden durch die massiv zunehmenden Ransomware-Attacken?
Foto: Andrey_Popov - shutterstock.com

Versicherungsprinzip

Das Geschäft von Versicherungen ist das Risiko. Sie kalkulieren, mit welcher Wahrscheinlichkeit ein Risiko eintritt und welche Schäden dabei entstehen können. Aufgrund des errechneten Risikos ergibt sich eine Prämie, zu welcher der Versicherer bereit ist, das Risiko zu übernehmen und im eintretenden Schadensfall Ersatzleistungen erbringt. Das Geschäftsmodell einer Versicherung basiert also auf dem Konzept des Risikotransfers. Versicherungen sammeln von ihren Kunden Prämien ein und nutzen dieses Geld, um Risiken abzudecken, die im Falle eines Schadens oder einer Krankheit eintreten können.

Üblicherweise werden beide Parteien bestrebt sein, zusammenzuarbeiten. Empfiehlt beispielsweise die Versicherung eine technische Nachbesserung, die das Eintrittsrisiko senkt, führt dies in der Regel auch zu einer günstigeren Prämie für den Versicherungsnehmer.

Vorfälle und Versicherungen

Das Risiko durch Cyber-Angriffe ist in den vergangenen Jahren weiter gestiegen. So sind drei von zehn mittelständischen Unternehmen in Deutschland in den Jahren 2018 bis 2020 von Cyberkriminellen angegriffen worden. Das hat eine Anfang 2023 veröffentlichte Sonderauswertung des Mittelstandspanels der Staatsbank KfW ergeben.

Dabei zeigte sich, dass besonders größere Unternehmen mit mehr als hundert Beschäftigten und solche mit besonders ausgeprägten Digitalisierungsaktivitäten Ziel der Cyber-Attacken waren. 43 Prozent der Unternehmen, die im Jahr 2020 mehr als 10.000 Euro für Digitalisierungsprojekte ausgegeben haben, wurden attackiert. Bei Firmen ohne derartige Investitionen betrug der Anteil der angegriffenen Betrieb nur 23 Prozent. Isnbesondere Ransomwarre- und DDoS-Attacken gehören aktuell zu den größten Gefahren. Die Experten rechnen bei der weiter zunehmenden Digitalisierung auch mit zusätzlichen kriminellen Machenschaften.

Der Lebenszyklus eines Cyberangriffs

Lebenszyklus einer Cyberattacke
Die IT-Security-Spezialisten von Palo Alto Networks haben den Lebenszyklus eines Hackerangriffs analysiert. In jeder der sechs Phasen einer Cyberattacke kann ein Unternehmen jedoch gezielt gegensteuern. Welche Maßnahmen und Werkzeuge dazu nötig sind, erfahren Sie hier.

1. Ausspionieren
Hacker verwenden oft Phishing-Taktiken oder extrahieren öffentliche Informationen aus dem Social-Media-Profil eines Mitarbeiters oder von Unternehmenswebsites. Diese Informationen verwenden die Cyberkriminellen, um gezielte, scheinbar legitime Anfragen zu versenden, die den Mitarbeiter auf bösartige Links locken oder dazu verleiten sollen einen infizierten Anhang zu öffnen. Die anschließend heruntergeladene Malware verwenden Cyberkriminelle um nach ausnutzbaren Schwachstellen zu suchen. Um den Lebenszyklus zu durchbrechen, können Unternehmen URL-Filter verwenden. Damit werden Angreifer daran gehindert, Social-Media- und Website-Informationen zu manipulieren. Zudem sollten Unternehmen den Netzwerkverkehrsfluss mithilfe von Intrusion-Prevention-Technologien kontrollieren, um Bedrohungen zu erkennen und Port-Scans und Host-Sweeps zu verhindern.

2. Vorbereitung & Auslieferung
Angreifer verwenden verschiedene Methoden wie die Einbettung von Intruder-Code in Dateien und E-Mails oder gezielt auf die Interessen des Einzelnen zugeschnittene Nachrichten. Hier können Unternehmen den Zyklus mit einer Firewall durchbrechen. Diese gewähren Einblick in den gesamten Datenverkehr und blockieren alle Hochrisiko-Anwendungen. Kombinierte Maßnahmen zur Bedrohungsabwehr wie IPS, Anti-Malware, Anti-CnC, DNS-Überwachung und Sink Holing sowie Datei- und Content-Blockierung können bekannte Exploits, Malware und eingehende Command-and-control-Kommunikation abwehren. Ergänzt werden können diese Maßnahmen durch eine cloudbasierte Malware-Analyse im Netzwerk.

3. Ausbeutung
Angreifer, die Zugriff auf das Netzwerk erlangt haben, könnten den Angriffscode aktivieren und die Zielmaschine unter ihre Kontrolle bringen. Endpunktschutz-Technologien können bekannte wie auch unbekannte Schwachstellen-Exploits blockieren. Sandboxing-Technologie stellt automatisch eine globale Bedrohungserkennung bereit, um Folgeangriffe auf andere Unternehmen zu verhindern. Auch an dieser Stelle kann sich der Zugriff auf eine dynamische Malware-Analyse-Cloud lohnen.

4. Installation
Angreifer etablieren privilegierte Operationen und Rootkits, führen Privileg-Eskalation durch und nisten sich dauerhaft ein im Netzwerk des Unternehmens. Unternehmen können Endpunktschutz-Technologien verwenden, um lokale Exploits zu verhindern, die zu Privileg-Eskalation und Passwortdiebstahl führen. Mit einer modernen Firewall lassen sich sichere Zonen mit strikter Benutzerzugriffskontrolle und fortlaufender Überwachung des Datenverkehrs zwischen den Zonen einrichten.

5. Command & control
Angreifer richten einen Rückkanal zum Server ein. Auf diese Weise können Daten zwischen infizierten Geräten und dem Server ausgetauscht werden. Es gibt verschiedene Möglichkeiten, um den Angriffszyklus an diesem Punkt zu durchbrechen. Unternehmen können ausgehende Command-and-control-Kommunikation durch Anti-CnC-Signaturen blockieren. URL-Filterung kann die Kommunikation mit bekannten bösartigen URLs verhindern. Outbound-Kommunikation kann zu internen Honey Pots umgeleitet werden, um kompromittierte Hosts zu erkennen und zu blockieren.

6. Aktivitäten am Angriffsziel
Angreifer manipulieren das Netzwerk für ihre eigenen Zwecke. Es gibt viele Motive für Cyberangriffe, wie etwa Datenextraktion, Zerstörung von kritischen Infrastrukturen oder Erpressung. Unternehmen mit feingliedriger Anwendungs- und Benutzerüberwachung können Dateiübertragungs-Richtlinien durchsetzen, um bekannte Archivierungs- und Übertragungstaktiken von Hackern zu verhindern. Dies begrenzt die Freiheit der Angreifer, sich mit Tools und Skripten seitlich im Netzwerk zu bewegen.

Ein Hacker-Angriff auf den US-Krankenversicherer Anthem mit nachfolgendem Datendiebstahl war mit einer Cyber-Versicherung abgesichert. Aber Schätzungen gehen davon aus, dass keine 100 Prozent Deckung erreicht wird, da die Schadensansprüche die Deckungssumme von 100 Millionen Dollar überschreiten. Der US-Mobilfunkriese AT&T musste 25 Millionen Dollar in einem Vergleich bezahlen, als Strafe für die Verfehlungen von Mitarbeitern (Verkauf/Weitergabe von Daten an Dritte). Eine Versicherung und die Optimierung des internen Monitorings wären sicherlich preiswerter gewesen.

Abgedeckte Bedrohungen

Cyber-Versicherungen basieren auf einem Standardangebot, welches üblicherweise individuell angepasst wird, da jeder Kunde ein spezifisches Risiko hat. Zu den Bedrohungen, die durch eine Cyber-Versicherung abgedeckt werden zählen zum Beispiel:

Betriebsunterbrechung (beispielsweise als Folge eines Hacker-Angriffs)
Verlust von Datenträgern und Geräten
Erstattung der Kosten für Datenwiederherstellung nach Datendiebstahl
Haftpflichtschutz bei Ansprüchen Dritter (Fremdschaden)
Kostenübernahme der erforderliche Maßnahmen um die Ursachen für den Schaden aufzuklären

Zusätzlich zum Basis-Schutz werden aber auch bei einer Cyber-Versicherung Zusatzmodule angeboten, die eine weitreichendere Schadensregulierung erlauben. Einige Versicherungen bieten Module an, die beispielsweise Kosten abdecken, die eine Rechtsberatung verursacht, aber auch Kosten für Öffentlichkeitsarbeit zur Reputationswiederherstellung oder Ausgaben durch behördliche Forderungen bei einem Vorfall.

Üblicher Leistungsumfang von Cyber-Versicherungen

Der Leistungsumfang von Cyber-Versicherungen variiert je nach Versicherungsunternehmen und Versicherungspolice. Zu den häufigsten Angeboten gehören:

Kosten für die Beseitigung von Schäden: Beispielsweise die Kosten für die Wiederherstellung von Daten, die Beseitigung von Malware und die Reparatur beschädigter Systeme.

Kosten für forensische Untersuchungen: Versicherungen decken in der Regel auch die Kosten für forensische Untersuchungen, um die Ursache eines Cyber-Angriffs zu ermitteln.

Kosten für die Kommunikation mit Kunden und Geschäftspartnern: Manche Versicherungen decken auch die Kosten für die Kommunikation mit Kunden und Geschäftspartnern, da diese nach den Vorgaben der DSGVO ebenfalls über einen Cyber-Angriff informiert werden müssen.

Kosten für Rechtsstreitigkeiten: Versicherungen kümmern sich meist auch um die Kosten für Rechtsstreitigkeiten, die sich aus einem Cyber-Angriff ergeben.

Kosten für Public Relations: Einige Versicherungen übernehmen die Kosten für Public Relations, um das Image des Kunden nach einer Cyber-Attacke wiederherzustellen.

Nicht alle Cyber-Versicherungen bieten natürlich den gleichen Leistungsumfang. Manche Leistungen sind nur gegen einen höheren Prämienzuschlag erhältlich. Es ist daher empfehlenswert, die Bedingungen und Leistungen der ins Auge gefassten Cyber-Versicherung sorgfältig zu prüfen, bevor Sie eine Entscheidung treffen.

Worauf achtet eine Versicherung vor Abschluss?

Vereinfacht gesagt, prüft die Versicherung, ob der Kunde in diversen Disziplinen sein Möglichstes getan hat, um Cyber-Bedrohungen entgegenzuwirken. Zu den analysierten Themen zählen beispielsweise:

Geschäftsfeld (Branche, Global tätig, Mitarbeiteranzahl, Umsatz, Öffentliches Image etc.)
Klientel/Kunden des Versicherten ( Privat, Handel, Staat)
IT-Umfeld (Technik und Organisation; Fremdmitarbeiter)
Sicherheitsmaßnahmen (Mitarbeiterschulungen, Security-Konzepte, Security-Verpflichtung für Mitarbeiter etc.)
Qualitätsmerkmale wie Zertifizierungen und anerkannte Audits (Dokumentationen)
Umsetzung von gesetzlichen Vorgaben
Notfall-Planung (Ausweichkapazitäten, Desaster-Recovery-Planung, Ersatzgeräte etc.)

Einen Eindruck, welche Themen eine Erstdatenerfassung betrachtet, vermittelt die Checklisten der Versicherungsunternehmen AXA (PDF).

Nicht selten führen Experten der Versicherung auch Penetration-Tests durch, um die Daten der Kunden zu verifizieren.
Foto: Panchenko Vladimir - shutterstock.com

Üblicherweise werden noch Experten der Versicherung oder beauftragte Partner die Daten beim Kunden verifizieren und offene Punkte klären. Dazu führen die Experten Interviews durch, prüfen Konfigurationen, analysieren Daten und führen Schwachstellen-Checks (Pentests) aus.

Auch Cyber-Vorfälle aus der Vergangenheit (Spionage, Datendiebstahl) oder das aktuelle Erscheinungsbild (Kampagnen, Aussagen, Investitionen etc.) können für eine Risikokalkulation in Betracht gezogen werden. All das führt dann beim Versichere dazu, das er ein Maßgeschneiderte Deckung bietet, die dem Kunden eine individuelle Absicherung gegen Cyberrisiken bietet.

Braucht ein Unternehmen eine Cyber-Versicherung?

Cyberrisiken sind auf dem Vormarsch. Dies zeigen die Vorfälle der vergangenen Jahre und auch die Ergebnisse von Marktforschungsinstituten. Auch das "Allianz Risk Barometer" platziert Cyber-Kriminalität ganz weit vorne bei den größten globalen Geschäftsrisiken.

Man sollte immer daran denken - eine Cyber-Versicherung ersetzt keinen Investitionen in IT Sicherheit - eine Cyber-Versicherung ist eine additive Investition für den möglichen Versicherungsfall um Kosten von Folgeschäden zu minimieren!

Und was macht Otto-Normaluser?

Was für die Unternehmen sinnvoll ist, nützt doch auch dem privaten Anwender - oder? Am Markt sind viele Anbieter mit Offerten vertreten, wie beispielsweise die ARAG mit Ihren Paketen web@aktiv und web@aktivplus, die eine Internet-Rechtsschutzversicherung bieten.

Auch Privatpersonen sollten über den Erwerb einer Cyber-Versicherung nachdenken und sich gründlich informieren.
Foto: fizkes - shutterstock.com

Prinzipiell sind Versicherungen einen sinnvolle Sache, aber wie üblich gilt, man sollte in den Policen lesen, was versichert wird. Manche Risiken werden gegegebenenfalls durch private Haftpflicht-, Hausrat- oder Rechtsschutz-Versicherungen bereits abgedeckt.

Auch sollte man prüfen, ob nur eigene Schäden reguliert werden, oder auch die Schäden die man selbst bei Dritten verursacht. Denn der versehentliche Versand eines Computervirus per E-Mail kann zu einer Betriebsunterbrechung beim Empfänger führen.

Preislich liegen Privat-Cyber-Versicherungen in der Regel um die 100 Euro Jahresbeitrag. Es gibt aber auch schon Angebote, die nur 5 Euro im Monat kosten. Für einen Familienschutz eine akzeptabel Investition. Für Einzelpersonen kann aber auch der Kauf einer USB-Festplatte, eines Backup-Programms und einer Virenschutz-Suite eine Alternative für den Ernstfall sein.

Anforderungen an die Wahl einer Cyber-Versicherung

Unsere Checklisten helfen Ihnen bei der Wahl der optimal passenden Cyber-Versicherung.
Foto: Pasuwan - shutterstock.com

Wenn Sie eine Cyber-Versicherung abschließen möchten, greifen Sie auf die folgende Checkliste zurück. Sie stellt sicher, dass Sie die richtige Versicherung für Ihr Unternehmen finden:

Überprüfen Sie Ihre Bedürfnisse: Überlegen Sie sich, welche Risiken und welche Art von Schäden Sie absichern möchten.
Überprüfen Sie den Leistungsumfang: Stellen Sie sicher, dass die von Ihnen ausgewählte Versicherung alle Schäden und Kosten umfasst, die Sie absichern möchten.
Vergleichen Sie Angebote: Vergleichen Sie Angebote verschiedener Versicherungsunternehmen.
Überprüfen Sie die Kosten: Überprüfen Sie, ob die Prämien für die von Ihnen ausgewählte Versicherung nicht Ihr geplantes Budget übersteigen.
Überprüfen Sie den Versicherungsgeber: Überprüfen Sie auch, ob das von Ihnen ausgewählte Versicherungsunternehmen finanziell stabil und erfahren im Bereich Cyber-Versicherungen ist.

Checkliste für den Abschluss einer Cyber-Versicherung

Prüfen Sie vor Abschluss einer Cyber-Versicherung außerdem:

ob die maximale Deckungssumme für Schäden ausreichend kalkuliert ist.
welche Schäden bereits durch bestehende Versicherungen (z.B. Elektronik-Versicherung) bereits abgedeckt sind.
welchen Aufwand/Kosten Sie haben, um die erforderlichen Unterlagen und Daten für die Versicherung zur Kalkulation eines Angebotes bereitzustellen.
wie hoch Ihren Aufwendungen für eine gegebenenfalls erforderliche Re-Evaluierung sind und in welchem Zyklus sie anfällt.
ob Sie bekannte Risiken von der Versicherung ausnehmen sollten, da diese eine geringe Eintrittswahrscheinlichkeit haben und teuer zu versichern sind
ob Eigenschäden abgesichert sind, auch wenn es sich um selbst verursachte Schäden handelt.
bis zu welcher Summe eine Eigenbeteiligung an einem Schaden noch Sinn macht.
mit wem Sie eine Versicherung abschließen, wer als Muttergesellschaft Ihres Anbieters fungiert.
ab wann Ihre Versicherung greift und wie die Regelungen zur Nachhaftung und Rückwärtsdeckung aussehen (Zeitpunkt von Schadenursache und Schadeneintritt).
In welcher Form und Frist Sie Schäden oder auch einen Verdacht auf einen Schaden melden müssen, um Ihre Ansprüche zu wahren.