IT Security kennt viele Klauseln
Die neuen Versicherungs-Policen für den Cyberraum werfen bei Assekuranzen wie ihren Kunden viele Fragen auf. Der Pool an Vergleichsfällen und Erfahrungswerten zum Thema ist allerdings nicht üppig. Wie abwägbar sind Risiken und Prüfaufwand für die Versicherer? Oder wird das im Kleingedruckten auf die Gegenseite abgewälzt? Was muss die IT alles tun und welche Nachweise sind erforderlich? Wird gar eine komplette Zertifizierung der unternehmensweiten Informationssicherheit nach ISO 27001 verlangt?
Auffällig in den Musterbedingungen für die Cyberversicherung ist der Fokus, der auf Software-Lösungen wie Antivirus, Firewall und Programm-Updates gelegt wird. Mit der Anschaffung solcher Produkte ist die Sache aberbei weitem nicht erledigt. Für die Feinjustierung, Wartung, den Betrieb und Notfallpläne müssen auch die internen Abläufe und die Organisationsstruktur der Versicherten stimmen. Und die der (zunehmend in Anspruch genommenen) Dienstleister.
Ein Beispiel sind privilegierte Zugänge, wo die Prozesse von HR und IT ineinander greifen müssen. Wenn ein Administrator das Unternehmen verlässt, muss dessen Zugang umgehend gesperrt werden. Von Banken verlangt die Bafin ein regelmäßiges Auslesen Ihrer IT nach privilegierten Usern mit anschließenden Abgleich der tatsächlichen Berechtigung.
Schon ein Fake-Anruf als vermeintlicher Geschäftsführer oder eine E-Mail mit gefälschtem Anhang führen kriminelle Hacker oft zum Ziel. Viele Arten von Hackerangriffen haben gemeinsam, dass sie ihre volle Wirkung erst mit Tätigwerden des Angegriffenen entfalten. Bei der zunehmend auftretenden CEO-Fraud-Masche werden gutgläubige Buchhalter dazu veranlasst, Zahlungen anzuweisen. Mit schöner Regelmäßigkeit kommen solche Anweisungen "von ganz oben", sind "eilig" und "geheim".
In den USA lehnte ein Versicherer in einem Fall die Regulierung eines so entstandenen Schadens ab, da die Überweisung freiwillig geleistet worden sei. In einem anderen Fall wurden die Schäden nach einem mehrstufigen Hackerangriff nicht reguliert, weil die Klausel eines direkten Betrugsfalls nicht erfüllt war.
- 5. HBO
Der US-Pay-TV-Sender gerät 2017 nicht zum ersten Mal ins Visier krimineller Hacker. Unveröffentlichte Episoden des Serienhits „Game of Thrones“ werden dabei geleakt und die persönlichen Daten mehrerer Schauspieler kompromittiert. <br><br /> Die verantwortlichen Cyberkriminellen drohen mit weiteren Veröffentlichungen und versuchen so sechs Millionen Dollar von HBO zu erpressen. Ohne Erfolg. Im Nachgang der Attacke berichten verschiedene Ex-Mitarbeiter des Unternehmens von einem allgemein eher laxen Umgang mit der IT-Sicherheit. <br><br /> - 4. NSA
Bei der National Security Agency (NSA) dreht sich alles um Geheimhaltung. Möchte man meinen. Dennoch wird die US-Behörde 2017 gleich von mehreren Datenpannen ereilt. Zuerst veröffentlicht Wikileaks im März tausende von geheimen Dokumenten, die unter anderem Auskunft über die Beziehungen zwischen NSA und CIA Auskunft geben, dann gelangen Medienberichten zufolge geheime Dokumente zu den Methoden und Verteidigungsmaßnahmen der NSA über einen Vertragspartner in die Hände russischer Hacker. <br><br /> Ende November 2017 wird schließlich bekannt, dass circa 100 Gigabyte an Daten (die detaillierte Auskunft über ein militärisches Geheimprojekt enthalten), ungeschützt auf einem AWS-Server vorgehalten werden. <br><br /> - 3. Uber
Im November 2017 wird bekannt, dass der Fahrdienstleister bereits 2016 gehackt wurde. Dabei werden die Informationen von weltweit 57 Millionen Kunden gestohlen. <br><br /> Statt den Vorfall zu melden, geht man bei Uber lieber seinen "eigenen" Weg, bezahlt den kriminellen Hackern Schweigegeld in Höhe von 100.000 Dollar und kehrt das Geschehene unter den Teppich. Uber-CEO Dara Khosrowshahi behauptet zunächst, nichts von den Vorgängen gewusst zu haben – wenig später wollen Medienberichte diese Behauptung widerlegen. <br><br /> - 2. Equifax
Der US-Finanzdienstleister sorgt 2017 für einen traurigen Hack-Höhepunkt, als die Daten von circa 143 Millionen Kunden kompromittiert werden. Die Datensätze enthalten Namen, Geburtsdaten, Sozialversicherungsnummern, Adressen, Führerschein- und Kreditkartendaten. <br><br /> Ein Paradies für Identitätsdiebstahl, das durch eine ungepatchte Sicherheitslücke in Apache Struts geschaffen wird – und vermutlich über Monate unentdeckt bleibt. Auch das Zeitfenster, das Equifax verstreichen lässt, bevor es den Vorfall meldet, ist „kritisch“: Am 29. Juli wird der Hackerangriff bemerkt, am 7. September die Öffentlichkeit informiert. Passend dazu wird wenig später bekannt, dass das Unternehmen bereits im Dezember 2016 vor Sicherheitslücken und möglichen Hacks gewarnt worden war. <br><br /> - 1. WannaCry & Petya
WannaCry ist die bislang größte Ransomware-Attacke, die Mitte Mai 2017 Unternehmen, Behörden, Institutionen und Krankenhäuser in mehr als 150 Ländern weltweit heimsucht. Bei der Angriffswelle kommen gestohlene NSA-Hacking-Tools zum Einsatz, die eine Schwachstelle im Windows-SMB-Protokoll ausnutzen. Letztlich kann WannCry durch das mehr oder weniger zufällige Auffinden eines „Kill Switch“ entschärft werden. <br><br /> Ende Juni 2017 verbreitet sich dann eine neue Ransomware-Variante, die dieselbe Sicherheitslücke wie WannaCry ausnutzt. Wieder sind viele Unternehmen, Regierungsinstitutionen und Krankenhäuser betroffen. Die schnelle Ausbreitung über eine bereits bekannte (und ausgenutzte) Sicherheitslücke rückt ein weiteres Mal die vielerorts laxen Security-Prozesse ins Rampenlicht. <br><br />
Was ist, wenn das Personal die Gefahren nicht kennt, die beispielsweise durch Social-Engineering-Angriffe drohen? Ist das eine Fahrlässigkeit des Unternehmens und somit die Folgen wie Datenverlust und der Ausfall der IT nicht versichert? Auf der anderen Seite des Spektrums ist die regelmäßige Aufklärung der Angestellten in einigen Cyberversicherungs-Paketen inkludiert.
Viele ähnlich gelagerte Fragen zur IT-Sicherheit im laufenden Betrieb lassen sich stellen: Wie sicher sind die Räume in denen die Server und Sicherungskopien verwahrt werden? Hat der neue Administrator vielleicht schon mal seinen Arbeitgeber betrogen, aber niemand hat Referenzen und polizeiliches Führungszeugnis geprüft? Die Musterbedingungen lassen diese Fragen jedenfalls weitgehend unbeantwortet. Die Anschaffung von Virenschutz- und Firewall-Lösungen alleine, ist in der Praxis jedenfalls nicht geeignet, die Datensicherheit dauerhaft zu gewährleisten.
Welche Cyberversicherungs-Police für welches Unternehmen geeignet ist, kann wie so oft pauschal nicht beantwortet werden. Sicher ist jedoch, dass man sich zu diesem Thema besser vor als nach einem Hackerangriff Gedanken machen sollte. Fakt ist auch, dass viele Konzerne solche Policen bereits in ihr Sicherheitspaket einbauen. Ganz billig kommt ein solcher Schutz allerdings nicht. In den USA werden die Prämien mit 1,2 Prozent des Gesamtumsatzes veranschlagt. In der Gesundheitsvorsorge mit ihren Patienteninformationen steigt dieser Wert bereits auf 2,8 Prozent. (fm)