computerwoche.de

IT-Strategie

IT-Security & Cyber-Risk-Versicherung

Unternehmen gegen Hacker versichern

06.11.2015
Von 
Der Diplom-Physiker Oliver Schonschek ist freier IT-Fachjournalist und IT-Analyst in Bad Ems.
Alle Posts des Autors Email: Connect:

"Cyber-Versicherung kein Freifahrtschein"

Cyber-Risk-Versicherungen werden von verschiedenen IT-Sicherheitsexperten nicht nur positiv gesehen. Kritiker befürchten, dass sich Unternehmen zu sehr auf ihren Versicherungsschutz verlassen und IT-Sicherheitslücken nicht durch optimierte oder zusätzliche Security-Maßnahmen schließen, sondern einfach auf die Cyber Risk Insurance vertrauen. Mit diesem Verhalten wollen nicht nur Security-Verantwortliche aufräumen, indem sie erklären, dass eine Cyber-Versicherungspolice kein IT-Sicherheitskonzept darstellt.

Auch Versicherungsgesellschaften sehen ihre Produkte nicht als Security-Maßnahmen, sondern als Ergänzung der weiterhin zwingend erforderlichen IT-Security. "Eine Cyber-Versicherung ist selbstverständlich kein Freifahrtschein für den unbesorgten Umgang mit Daten. So sollten Versicherungsnehmer wöchentlich alle Daten sichern und das Backup prüfen. Darüber hinaus sollte eingesetzte Software regelmäßig aktualisiert werden. Auch eine aktuelle, professionelle Antivirensoftware ist unverzichtbar", so Dirk Kalinowski, Experte für IT- und Cyberversicherungen bei AXA.

Ein Blick in die Versicherungsbedingungen zeigt in der Regel schnell, dass Unternehmen als Versicherungsnehmer gewisse Pflichten in der IT-Sicherheit haben, um in den Genuss der Versicherungsleistungen zu kommen. Oftmals sind Security Reviews im Vorfeld des Versicherungsvertrages vorgesehen. Zudem kann der Nachweis vorhandener Security-Maßnahmen die Höhe der Versicherungsprämie senken.

Unvollständige Security-Maßnahmen, wie sie zum Beispiel eine Bitkom-Studie offenbart hat, müssen durch zusätzliche Security ergänzt werden. Cyber-Risk-Versicherungen schließen solche Lücken nicht, sondern dienen der Absicherung von Restrisiken nach der Optimierung der IT-Security.
Unvollständige Security-Maßnahmen, wie sie zum Beispiel eine Bitkom-Studie offenbart hat, müssen durch zusätzliche Security ergänzt werden. Cyber-Risk-Versicherungen schließen solche Lücken nicht, sondern dienen der Absicherung von Restrisiken nach der Optimierung der IT-Security.
Foto: Bitkom

Notwendiges Zusammenspiel zwischen Security, Risikomanagement und Cyber-Versicherung:

  • Gemeinsame Identifizierung der IT-Risiken, die durch Security-Maßnahmen angegangen werden können, und der Restrisiken, die versichert werden sollen

  • Prüfung der tatsächlichen Security-Situation (Security Risk Review)

  • Abgleich der vorhandenen Security mit den Pflichten des Versicherungsnehmers

  • Ergänzung fehlender Security-Maßnahmen, ggf. durch Security Services, die der Versicherer im Versicherungspaket mit anbietet

  • Prüfung, ob die Versicherungsprämie durch zusätzliche Security reduziert werden kann

  • Abgleich, welche IT-Risiken tatsächlich im Versicherungsumfang enthalten sind

  • Prüfung, wie die bestehende Versicherung angepasst werden kann, wenn neue Gefahren auftreten

  • Prüfung, wie die bestehende Versicherung angepasst werden kann, wenn neue Security-Lösungen eingesetzt werden

IT-Security & Restrisiko-Versicherung bilden Team

Das notwendige Zusammenspiel von Cyber-Risk-Versicherung und Security-Maßnahmen wird besonders deutlich, wenn man sich die Kooperationen auf dem Markt ansieht, die zwischen Versicherern und Security-Providern entstehen:

Bei der Hiscox Cyber Versicherung gibt es nicht nur einen finanziellen Versicherungsschutz als Eigenschadenversicherung und Cyber-Haftpflichtversicherung. Im Schadenfall unterstützt HiSolutions, ein Anbieter im Bereich Abwehr von Cyberattacken und Wiederherstellung verlorener Daten.

Swiss Re Corporate Solutions arbeitet mit IBM Security zusammen, um für Unternehmen weltweit Cyber-Risk-Protection-Produkte und -Services bereitzustellen. IBM bewertet in einem Assessment die externen und internen Schwachstellen von Kunden für Cyber-Attacken und liefert so die Grundlage, Risiken zu minimieren. IBM und Swiss Re Corporate Solutions planen auch Services, um den Schutz von Kunden gegen Cyber-Bedrohungen zu verbessern.

Aon Risk Solutions nimmt an dem Wide Impact Cyber Security Risk Framework (WISER) teil, einem Projekt im Rahmen des EU Horizon 2020 Programms. Die WISER Risk Plattform soll Unternehmen bei der Suche und Bewertung kritischer Schwachstellen helfen.

Der Security-Anbieter FireEye verfügt über ein spezielles Cyber Risk Insurance Team und arbeitet mit verschiedenen Versicherungsgesellschaften zusammen. Während FireEye die Sicherheitsrisiko-Analyse übernimmt, im Fall einer Datenpanne bei den notwendigen Reaktionen unterstützt und mit seinen Lösungen das Risiko erfolgreicher Attacken reduzieren will, kümmern sich die Versicherungen um die Absicherung der Restrisiken.

Kudelski Security wurde von Zurich Insurance Group (Zurich) als einer der Cyber-Security-Partner ausgewählt, um gemeinsam eine Versicherungslösung anzubieten, die die Unternehmen auch durch Security Services vor möglichen Attacken schützt.

Unternehmen in Deutschland sind zahlreichen Attacken ausgesetzt. Studien wie die von Bitkom zeigen, wo insbesondere Bedarf an zusätzlichen Security-Maßnahmen, aber auch an einem Versicherungsschutz gegen die Restrisiken bestehen kann.
Unternehmen in Deutschland sind zahlreichen Attacken ausgesetzt. Studien wie die von Bitkom zeigen, wo insbesondere Bedarf an zusätzlichen Security-Maßnahmen, aber auch an einem Versicherungsschutz gegen die Restrisiken bestehen kann.
Foto: Bitkom