Cybersecurity-Versicherungen versprechen Unternehmen die Absicherung gegen Schäden eines erfolgreichen Cyberangriffs. Was oft erst im Kleingedruckten deutlich zur Sprache kommt: Für eine wirksame Police sind mittlerweile hohe Sicherheitsstandards erforderlich – und bei einem Incident ist die Kostenübernahme keineswegs garantiert. Unternehmen sollten genau prüfen, welche Bedingungen für einen wirksamen Versicherungsschutz erfüllt sein müssen. Letztlich bleiben fast immer unwägbare Risiken und Fallstricke und die Kosten lohnen sich nicht. Daher ist es meist sinnvoller, das Budget lieber gleich in die eigene IT-Security-Infrastruktur zu investieren.
Cybersecurity-Versicherungen: Die Retter in der Not?
Da Cyberangriffe für Unternehmen jeder Größe und Branche eine erhebliche Bedrohung darstellen, erscheint auf den ersten Blick der Abschluss einer Cyberversicherung durchaus sinnvoll. Dadurch werden nominell finanzielle Schäden abgedeckt, die durch Datenverluste, Betriebsunterbrechungen oder Lösegeldforderungen im Zuge von Ransomwareangriffen entstehen. Überdies kann auch eine Kostenübernahme für forensische Untersuchungen, Datenwiederherstellung, Krisenmanagement sowie Haftpflichtansprüche Dritter vereinbart werden, sofern Kundendaten betroffen sind. Optional leisten einige Anbieter auch Unterstützung bei PR-Maßnahmen zur Schadensbegrenzung und zum Reputationsschutz.
Der Teufel steckt im Kleingedruckten
In Anbetracht der großen Schadenssummen und des hohen Risikos von Cyberattacken klingen die Angebote der Versicherer scheinbar sehr vielversprechend. Doch bei näherer Betrachtung tritt so manches Manko einer Cyberversicherung zu Tage. Die Versicherungsprämien können schnell sehr kostspielig werden, speziell wenn eine bestimmte Unternehmensgröße überschritten wird oder das Unternehmen zu einer kritischen Branche gehört. Zudem ist keineswegs gewährleistet, dass eine abgeschlossene Cyberversicherung auch eine garantierte Absicherung bietet. Erfahrungsgemäß übernehmen Versicherer nicht automatisch alle Schäden und scheuen die Schadensregulierung wie der Teufel das Weihwasser. So können beispielsweise Selbstverschulden oder grobe Fahrlässigkeit zum Ausschluss des Versicherungsschutzes führen, genauso, wenn der Schaden vorhersehbar war. Allerdings entscheidet der Versicherer, was das im Einzelfall konkret bedeutet. Der Haken daran: Letztendlich lässt sich jeder erfolgreiche Cyberangriff auf irgendeine Schwachstelle oder Fehlverhalten zurückführen – was nahezu jede Leistungspflicht des Versicherungsanbieters aushebelt. Auch wenn Unternehmen bei einem Cyberangriff sofortige Gegenmaßnahmen ohne vorherige Zustimmung der Versicherung einleiten, kann dies als weiteres Ausschlusskriterium gelten – was hinsichtlich des Handlungsdrucks während eines Notfalls, wenn die IT schon lichterloh brennt, zu einem echten Dilemma führt. Auch Deckungslücken bei externen Dienstleistern gilt es näher zu betrachten.
Besser nicht in Policen vertrauen, sondern in moderne Security-Systeme
Ohnehin werden geschätzt ca. 70 Prozent der interessierten Unternehmen von vornherein von den Versicherungsgesellschaften abgelehnt, da diese bei der Vorsondierung grundlegende Sicherheitskriterien nicht erfüllen. Es bleibt den Firmen also gar nichts anderes übrig, als in eine intelligente Sicherheitsstrategie, effektive Systeme zur Angriffserkennung und proaktive Sicherheitsmaßnahmen zu investieren. Dazu gehören beispielsweise Vorkehrungen für Incident Response sowie die Schaffung klarer Prozesse und Verantwortlichkeiten. Auch der Faktor Mensch als schwächstes Glied in der Security-Kette darf nicht außer Acht bleiben: Um Phishing und Social Engineering zu unterbinden, sind Mitarbeiterschulungen unerlässlich. Elementar ist die Einführung einer Zwei-Faktor-Authentisierung für alle kritischen Systeme. Ferner sorgen Managed Detection and Response (MDR) und SOC as a Service (Security Operations Center) für eine frühzeitige Erkennung und Abwehr von Bedrohungen. Zudem sind kontinuierliche Pentests notwendig, um die IT-Security-Infrastruktur auf Schwachstellen zu validieren. Mit diesen Maßnahmen kann das Risiko deutlich verringert werden, dass geschäftskritische Kosten und Schäden aufgrund von Cyberangriffen entstehen.
Das Rad nicht neu erfinden: Externes Experten-Know-how nutzen
Die Anforderungen einer Cyberversicherung hinsichtlich Angriffserkennung selbst zu erfüllen, ist für mittelständische Unternehmen fast ein Ding der Unmöglichkeit. Aber auch wenn ohne Vorgaben einer Versicherung die Notwendigkeit eines SOC verstanden wurde: Der Aufbau und Betrieb einer solchen Organisation ist äußerst komplex, zeit- und kostenintensiv und erfordert viel Know-how. Daher ist es ratsam, einen spezialisierten Partner ins Boot zu holen, der MDR- und SOC-Dienste mit geschultem Fachpersonal unter Einsatz branchenführender Technologie aus einem eigenen Cyber Defense Center heraus betreibt. Der Dienstleister sollte dabei in der Lage sein, die Sicherheitsstrategie individuell auf die Anforderungen des Unternehmens zuzuschneiden und herstellerunabhängig Logquellen aus verschiedenen Infrastruktursystemen und Cloud-Umgebungen anzubinden.
Fazit: Direkt in Cybersecurity investieren
Für den Abschluss einer Cyberversicherung müssen Unternehmen eine ausgereifte IT-Sicherheitsstrategie entwickelt haben und die Implementierung grundlegender Sicherheitsmaßnahmen vorweisen können. Firmen sollten sich daher gut überlegen, ob sich Kosten und Nutzen einer Cyberversicherung überhaupt rentieren. Sofern ausreichend Budget vorhanden ist und die Versicherungsgesellschaft nicht zu viele Ausschlusskriterien im Kleingedruckten versteckt hat, bietet die Kombination aus Cyberversicherung und einer durchdachten IT-Sicherheitsstrategie eine optimale Absicherung. Im Falle von Budgetrestriktionen und wenn man sich für das eine oder das andere entscheiden muss, ist eine direkte Investition in die eigene Security-Infrastruktur sicher die bessere Wahl. Dabei sollte in jedem Fall der Einsatz von modernen Security Services wie MDR und SOC bevorzugt werden. Ein externer Experte wie indevis hilft bei der Implementierung und unterstützt dabei, sowohl die eigenen Anforderungen als auch die Erwartungen von Versicherern zu erfüllen.
