Cyber-Versicherung: Es steht und fällt mit der Cyber-Sicherheitsanalyse
Viele Unternehmen kennen das Risiko, das von Cyber-Attacken ausgeht, und rechnen sogar damit, Ziel eines solchen Angriffs zu werden. Wirklich vorbereitet sind die meisten darauf allerdings nicht. Dabei ist der Schutz vor Angriffen nur die halbe Miete: Ebenso wichtig ist die Absicherung gegen eventuelle Schäden. Warum eine Cyber-Sicherheitsanalyse essentiell ist und worauf es dabei ankommt, erklärt Vincenz Klemm, Geschäftsführer vom Assekuradeur Baobab Insurance.
Die Gefahrenlandschaft und die Möglichkeiten von Hackern, an Unternehmensdaten zu kommen, ändern sich schnell. Sich zu 100 % vor Angriffen zu schützen, ist für Unternehmen daher nur schwer möglich. Dennoch sollten sie sich für den Fall der Fälle absichern – mit einer Versicherung sowie den nötigen Cyber-Sicherheitsmaßnahmen. Um die richtige Versicherung zu finden und überhaupt herauszufinden, wie das Unternehmen mit der bestehenden IT-Infrastruktur aktuell gegen Hackerangriffe aufgestellt ist, ist die Durchführung einer Cyber-Sicherheitsanalyse für Unternehmen essentiell. Letztere etwa finden durch die Analyse erst heraus, wie das Cyber-Risiko bei den Unternehmensgegebenheiten aussieht und wie sie sich dagegen schützen können. Dabei gilt es festzustellen, welche Sicherheitslücken in der IT-Infrastruktur bestehen, welche Auswirkungen diese für das Unternehmen haben könnten und wie sie schnellstmöglich geschlossen werden können, um das Risiko eines erfolgreichen Cyber-Angriffs zu reduzieren.
Anzeige
Das größte Problem für KMU sind Ransomware-Attacken. Hacker-Gruppen verschaffen sich Zugang zu Unternehmensdaten und verschlüsseln diese, so dass das Unternehmen keine Einsicht mehr in kritische Systeme (wie Lagerhaltung, Rechnungsstellung, Kommunikation) hat. Das Unternehmen ist damit lahmgelegt und die Betriebsunterbrechung tritt ein. An jedem betroffenen Tag geht Umsatz verloren – hier spricht man von einem typischen Eigenschaden. Die Hacker verlangen Lösegeld und drohen meist noch mit Veröffentlichung der Daten, um zusätzlichen Druck aufzubauen. Sofern das betroffene Unternehmen keine Backups hat und keinen Wiederherstellungsprozess einleiten kann, kann diese Betriebsunterbrechung übrigens mehrere Tage bis Wochen dauern.
Ein Drittschaden hingegen resultiert aus einem Haftpflichtanspruch, den ein Dritter, häufig Lieferanten, Kunden oder eigene Mitarbeiter nach einer Cyber-Attacke gegen das Unternehmen stellt.
Die Cyber-Sicherheitsanalyse als Basis des Versicherungsschutzes
Bei der Analyse wird also festgestellt, wofür das Unternehmen die Versicherung braucht, jedoch auch, ob es zum aktuellen Zeitpunkt überhaupt versicherbar ist. Denn um versicherbar zu sein, muss es gewisse Sicherheitsstandards erfüllen, die Cyber-Attacken entgegenwirken. Die Cyber-Sicherheitsanalyse identifiziert mithilfe eines Deep Scans die bestehenden und fehlenden Sicherheitsmaßnahmen des Unternehmens. Einige Unternehmen sind hier nicht gut genug aufgestellt und daher nicht auf Anhieb versicherbar. Die Analyse zeigt auf, wo Verbesserungsbedarf besteht und welche Standards erfüllt werden müssen, um eine Versicherung abschließen zu können.
Priorisierung der Cyber-Sicherheit
Viele Anbieter von Cyber-Versicherungen legen bei der Analyse ein besonderes Augenmerk auf die Branche, in der das Unternehmen tätig ist und machen die Versicherbarkeit davon abhängig. Hat es hier beispielsweise zwei Logistikunternehmen getroffen, gilt in den Augen einiger Versicherer diese gesamte Branche als risikobehaftet. Baobab Insurance hat dabei einen differenzierten Ansatz entwickelt und priorisiert allen voran die Cyber-Sicherheit selbst. Dazu gehört auch, dass die oft zu komplexe Sicherheitsanalyse optimiert wird: Komplexe Fragebögen, die Makler mit ihren Kunden durchgehen müssen, wurden verkürzt, stattdessen werden Sicherheitslücken des Unternehmens mit einem auf einer KI basierenden Deep Scan bereits identifiziert und in ein Risikomodell überführt. Die Branche spielt dabei zwar eine Rolle, wird aber im Vergleich zu den weiteren Aspekten, die es zu beachten gilt, anders gewichtet.
Wie sichern sich Unternehmen am besten ab?
Die beste Maßnahme sind nutzbare Backups von Unternehmensdaten: Kann man nach einem Angriff Daten von vor einer Woche wieder aufspielen, ist die Betriebsunterbrechung nicht so lang. Sind die Daten allerdings 90 Tage alt, wird es schwieriger, die neuesten Kundendaten sind bereits weg. Die Backup-Frequenz ist also immens wichtig. Ebenso wie deren Nutzbarkeit, die frühzeitig getestet werden sollte, um beim Aufspielen des Backups keine böse Überraschung zu erleben. Neben den laufend genutzten Daten sollten die Backups ebenfalls gut gesichert werden, denn auch Hacker wissen um deren Wichtigkeit. Unzureichende Sicherheit könnte dazu führen, dass die Backup-Daten bei einem Cyber-Angriff mit verschlüsselt und damit unbrauchbar gemacht werden. Damit Unternehmen wissen, was sie im Notfall tun müssen, sollten sie zum einen wissen, wer dafür verantwortlich ist und zum anderen einen Maßnahmenplan in ihrer Unternehmensstruktur haben.
Ablauf der Cyber-Sicherheitsanalyse
Die Sicherheitsanalyse ist Teil des Underwritings und für Makler daher ganz einfach – auch wenn sie neu im Cyber-Thema sind. Nach der Analyse und der Beantwortung einiger Fragen erhalten sie einen klar strukturierten und leicht verständlichen Report sowie eine Quotierung, die sie dem Kunden vorlegen können. Unternehmen können darin ihre Cyber-Sicherheit sowie ihre Möglichkeit zur Versicherung gegen Cyber-Angriffe einsehen. Aspekte, die bei der Entscheidung für einen Versicherer mit den Kundenwünschen und Empfehlungen des Maklers übereinkommen müssen. Ist dem Unternehmen etwa ein deutschsprachiger Incident--Response-Service oder ein kontinuierliches Monitoring der IT wichtig, sollte der Makler dies in seiner Empfehlung berücksichtigen. So kann er dank der Cyber-Sicherheitsanalyse kompetent beraten und bietet seinen Unternehmenskunden Schutz und Absicherung.
Anzeige