Nicht so lange Früher dachten nur wenige Unternehmen überhaupt über den Abschluss einer Versicherung nach, um ihr finanzielles Risiko durch einen Cyber-Vorfall zu mindern, und für diejenigen, die dies taten, war der Abschluss einer Police so einfach wie das Ausfüllen eines Antrags und das Ausstellen eines Schecks. Diese Tage sind jetzt deutlich im Rückspiegel. Heutzutage beeilen sich Unternehmen überall, eine Cyberversicherung abzuschließen – die Wert des globalen Cyber-Versicherungsmarktes erreichte im Jahr 2022 13,33 Milliarden US-Dollar und soll bis 2030 auf 84,62 Milliarden US-Dollar ansteigen.
Allerdings führte die gestiegene Anzahl an Policen in Verbindung mit der starken Zunahme kostspieliger Angriffe zu höheren Kosten für Anbieter von Cybersicherheitsversicherungen. Um ihre Verluste einzudämmen, verlangen Versicherungsunternehmen heute häufig den Nachweis, dass eine Organisation verschiedene Sicherheitsmaßnahmen implementiert hat, um zum Abschluss einer Police berechtigt zu sein.
Anstatt sich den Risikobewertungen potenzieller Cyber-Versicherungsanbieter zu widersetzen oder sie zu verübeln, sollten IT-Führungskräfte diese als Chance zur Stärkung der Sicherheitslage ihres Unternehmens betrachten.
Eine Cyberversicherung beinhaltet eine Risikobewertung
In der gesamten Versicherungsbranche variieren die Versicherungsanforderungen und Prämien je nach Risikobewertung. Beispielsweise könnte der Einbau eines Diebstahlschutzsystems die Kosten für die Versicherung eines teuren Sportwagens senken. Eine Person, die in einem Überschwemmungsgebiet lebt, muss damit rechnen, mehr für die Police eines Hausbesitzers zu zahlen als jemand, der ein ähnliches Haus auf einer Anhöhe hat – oder sie ist möglicherweise überhaupt nicht in der Lage, eine Police abzuschließen, wie Hausbesitzer in Bundesstaaten wie Florida feststellen müssen.
Das Gleiche gilt für die Cyberversicherung. Ein Versicherer stellt möglicherweise höhere Sicherheitsanforderungen an ein Unternehmen, das große Mengen personenbezogener Daten (PII) hostet, als an ein Unternehmen ähnlicher Größe mit weit weniger PII. Und Organisationen, denen es an ausreichenden Sicherheitskontrollen mangelt, um das Risiko auf ein für einen Versicherer akzeptables Maß zu senken, haben möglicherweise keinen Anspruch auf eine Police um jeden Preis.
Was eine Cyberversicherung eigentlich abdeckt
Das Hauptaugenmerk einer Cyber-Versicherung liegt offensichtlich auf der Absicherung der finanziellen Risiken eines Schadensfalls. In der Regel können Sie davon ausgehen, dass die Versicherung die unmittelbaren Kosten übernimmt, die dem Unternehmen als direkte Folge des Cyber-Ereignisses entstehen, wie zum Beispiel:
- Forensische Analyse und Reaktion auf Vorfälle. Einige Versicherer verlangen, dass Sie spezielle Managed-Incident-Response-Dienste in Anspruch nehmen.
- Wiederherstellung von Daten und Systemen, die durch tatsächlichen Verlust und Zerstörung verursacht wurden.
- Kosten der Ausfallzeit aufgrund des Cyber-Ereignisses.
- Kosten, die durch Verstöße gegen sensible Daten entstehen, wie z. B. die Abwicklung von PR-Aktivitäten, die Benachrichtigung betroffener Kunden oder sogar die Bereitstellung von Kreditüberwachungsdiensten für Kunden.
- Rechtsdienstleistungen und bestimmte Arten der Haftung für regulierte Daten, einschließlich der Deckung der Kosten für Zivilklagen.
Es ist wichtig zu beachten, dass die Versicherung einige der länger anhaltenden Auswirkungen des Ereignisses selten oder nie abdeckt, wie z. B. zukünftige Gewinnverluste aufgrund des Diebstahls von geistigem Eigentum oder die Notwendigkeit, nach dem Ereignis in Verbesserungen des Cybersicherheitsprogramms zu investieren.
Es besteht kein Konsens über die Erstattung einer Lösegeldzahlung. Nicht alle Versicherer übernehmen diese Art von Kosten. Einige Experten argumentieren, dass dadurch weitere Angriffe gefördert und kriminelle Aktivitäten finanziert werden könnten. In manchen Rechtsordnungen geht die Diskussion darüber hin und her, ob die Zahlung von Lösegeld überhaupt verboten werden sollte.
Wie bei jeder Versicherungspolice können Sie mit zusätzlichen Klauseln rechnen. Hierzu zählen beispielsweise der Höchstbetrag, den sie abdecken, die Verpflichtung, ein ordnungsgemäßes Verfahren mit den Strafverfolgungsbehörden zu durchlaufen, oder die Beteiligung an professionellen Lösegeldverhandlungsdiensten.
Die unverzichtbaren Sicherheitsmaßnahmen für Cyberversicherungen
Ein kürzlich Netwrix-Studie enthüllt nützliche Details über den heutigen Prozess der Qualifizierung für eine Cyberversicherung. Es stellte sich heraus, dass 50 % der Unternehmen mit Cyberversicherung zusätzliche Sicherheitsmaßnahmen implementierten, entweder um die Anforderungen der von ihnen ausgewählten Police zu erfüllen oder einfach nur, um überhaupt Anspruch auf eine Police zu haben. Die folgende Abbildung zeigt die spezifischen Anforderungen, die sie erfüllen mussten:
Bildnachweis: Netwrix/Netwrix Hybrid Trends Sicherheitsbericht 2023
Betrachten Sie diese Liste nicht als umfassend oder maßgeblich. Beispielsweise bedeutet die Implementierung von MFA nicht unbedingt, dass MFA für alle Benutzer erforderlich ist. Ein Versicherer verlangt möglicherweise eine zusätzliche Authentifizierung nur für Benutzer mit privilegiertem Zugriff auf sensible Daten und Systeme. Bedenken Sie außerdem, dass diese Steuerelemente miteinander verknüpft sind. Um beispielsweise MFA für den Zugriff auf bestimmte Datentypen zu verlangen, müssen Sie wissen, wo sich sensible und regulierte Daten befinden, und die Kontrolle über Benutzer- und Administratorrechte haben.