Cyber Resilience - Wie schützen sich Versicherer als mögliches Angriffsziel von Hackern?
Für Versicherungsunternehmen in Deutschland hat sich die Cyber-Bedrohungslage in den vergangenen Jahren kontinuierlich erhöht. Die Mannigfaltigkeit an Cyber-Angriffen sowie die zunehmende Professionalisierung stellen hierbei eine zusätzliche Verschärfung der Bedrohung dar. Die Etablierung und stete Weiterentwicklung einer Cyber-Resilience-Strategie ist daher fundamental, erklären zwei Experten der Gothaer in ihrem Gastbeitrag – Udo Wegerhoff (Produktmanager & Senior Underwriter Cyber) sowie Marc Hartemink (Information Security Officer).
Ransomware-Attacken, bei denen über eine Schadsoftware Daten verschlüsselt werden, sind derzeit als maßgebliche Treiber der Cyber-Schadenereignisse anzusehen. Gemäß der Botschaft in vielen Erpressungsschreiben aus Ransomware-Angriffen „it‘s just a business“ werden Cyber-Angriffe von kriminellen Organisationen als finanziell motiviertes Geschäftsmodell oder aus politischen Gründen durchgeführt. Dabei verfügen die Angreifenden über umfangreiche Ressourcen und bieten ihre Dienstleistungen gezielt im Darknet an.
Anzeige
Cyber-Resilience-Strategien werden für Unternehmen immer wichtiger
Als Reaktion auf diese Entwicklung ist ein Umdenken sowie eine Veränderung der Abwehrstrategie vor zukünftigen Cyber-Angriffen erforderlich. Das Ziel: Die Erhöhung der Widerstandskraft und die Fähigkeit, sich gegen professionelle und zielgerichtete Cyber-Angriffe zu schützen. Zur Erreichung dieser Cyber-Resilience muss ein ganzheitlicher Ansatz in Bezug auf die eigenen Prozesse, Technologien und die Organisation etabliert werden.
Im ersten Schritt müssen die geschäftskritischen Prozesse analysiert, dann die individuellen Risiken identifiziert und in Bezug auf Bedrohungsszenarien bewertet werden. Daraufhin sind Notfallpläne zu erstellen, die sowohl eine kurzfristige als auch zielgerichtete Reaktion auf Cyber-Angriffe ermöglichen. Für die Absicherung von Versicherungsunternehmen ist ein Informationssicherheitsmanagementsystem (ISMS) auf Basis anerkannter Standards zu betreiben.
Der Praxischeck: Prüfung der Wirksamkeit der Cyber-Resilience-Strategie
Wenn eine Cyber-Resilience-Strategie definiert und umgesetzt wurde, sollte sie auf ihre Wirksamkeit überprüft werden. Die Königsdisziplin stellt hierbei das sogenannte Red Team Assessment (RTA) dar – im Rahmen dessen greift ein beauftragtes, externes Unternehmen das eigene Unternehmen zielgerichtet an. Anders als beim klassischen Penetrationstest, bei dem Sicherheitslücken identifiziert werden sollen, zielt ein RTA nicht ausschließlich auf die technischen Schutzmaßnahmen ab. Vielmehr überprüft das RTA auch die prozessualen und organisatorischen Maßnahmen. Es werden beispielsweise die IT-Infrastruktur sowie die Mitarbeitenden, aber auch der Standort oder die Unternehmensstruktur auf mögliche Schwachstellen geprüft. Es handelt sich also um einen ganzheitlichen Ansatz, der alle möglichen Einfallstore für Cyberkriminelle berücksichtigt.
Die Durchführung von verdeckten Red Team Assessments ist sicherlich ein sehr realitätsnahes Vorgehen, das ein authentisches Bild der Widerstandsfähigkeit des eigenen Unternehmens im Falle eines gezielten Cyber-Angriffes darstellt. Ergänzend zu der Durchführung eines solchen Assessments ist das Szenario „Cyber-Angriff“ ebenfalls im Notfallmanagement zu berücksichtigen und im Krisenstab zu trainieren. Das theoretische Szenario eines gezielten Cyber-Angriffes wird dabei simuliert, sodass auch weitere Abteilungen und Organisationseinheiten außerhalb der Informationssicherheit und der IT-Security, wie zum Beispiel die Unternehmenskommunikation oder die Rechtsabteilung, involviert werden.
Einen 100-prozentigen Schutz gibt es nicht
Trotz aller ergriffenen Maßnahmen zur Erhöhung der Cyber-Resilience kann ein erfolgreicher Cyber-Angriff niemals gänzlich ausgeschlossen werden.
Dies zeigen beispielhaft die Angriffe auf Versicherer in der jüngsten Vergangenheit: So ist der Versicherer Die Haftpflichtkasse im Sommer 2021 Opfer eines groß angelegten Hackerangriffs geworden. Im Zuge dessen sei das Unternehmen „lahmgelegt“ worden. Im Frühjahr dieses Jahres hat es auch die Basler Versicherung Baloise erwischt. Allein diese Beispiele zeigen, dass es einen 100-prozentigen Schutz nicht gibt. Eine Cyber-Versicherung bietet dabei neben der versicherungstechnischen Absicherung der Restrisiken weitere Komponenten zur Erhöhung der Cyber-Resilience, wobei sich die Deckungsbausteine je nach Anbieter unterscheiden.
Das Restrisiko absichern
Die Cyber-Versicherung beinhaltet zum einen umfassenden Haftpflichtschutz bei Drittschäden – zum Beispiel die Klärung von Schadensersatzansprüchen von Kunden des Unternehmens oder die Kostenübernahme bei behördlichen Verfahren wegen Datenrechtsverletzungen.
Zum anderen bietet die Cyber-Versicherung auch Schutz für eine Vielzahl von Eigenschäden, wie zum Beispiel die Übernahme des Schadens durch eine Betriebsunterbrechung oder eine vorsorgliche Systemabschaltung aufgrund eines Hacker-Angriffs. Auch die Wiederherstellung von Daten und Programmen, die Absicherung von finanziellen Verlusten durch Cyber-Diebstahl und Cyber-Betrug oder auch die Mitversicherung von Cyber-Schäden durch dienstlich genutztes privates IT-Equipment kann abgesichert werden.
Assistance-Leistungen sind besonders gefragt
Eines der wesentlichen Argumente zum Abschluss einer Cyber-Versicherung besteht allerdings in der Besonderheit der Assistance-Leistungen der Cyber-Versicherung: Laut KMU-Studie 2022 der Gothaer geben 52 Prozent der Befragten KMU an, Assistance-Leistungen wie Datenwiederherstellung und Krisenberatung als wichtigstes Kriterium für einen Abschluss einer Cyber-Versicherung einzuschätzen.
Im Schadenfall stellt die 24/7-Cyber-Hotline und der bestehende Dienstleisterpool sicher, dass sofort Spezialist*innen für die diversen Anforderungen zur Verfügung stehen und dass alle relevanten, auch zeitkritischen, Maßnahmen umgehend und rechtskonform durchgeführt werden. Zu dem Dienstleisterpool gehören Spezialist*innen für IT/Cyber-Sicherheit, Forensik, Krisenmanagement und Public-Relations, Datenschutz oder IT-Recht.
Zur Bewertung des Risikos wird vor Abschluss der Versicherung in der Regel auch eine Risikoanalyse zur Ermittlung von Schwachstellen und der Formulierung relevanter Maßnahmen durchgeführt. Dies kann deutlich dazu beitragen, die Cyber-Resilienz eines Unternehmens nochmals zu erhöhen und das Risiko eines erfolgreichen Angriffs zu reduzieren.
Anzeige
Für die Absicherung entsprechender Restrisiken ist somit auch für Versicherungsunternehmen selbst der Abschluss einer Cyber-Versicherung dringend zu empfehlen.