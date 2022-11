Cyberversicherungen sind umstritten. Was sie leisten können und was nicht, bewertet Jochen Rummel, Director Sales D/A/CH, Illusive Networks, in einem Gastbeitrag.

Cyberversicherungen sollen Unternehmen in erster Linie vor den Folgen eines Cyberangriffs schützen. Als Teil des Risikomanagements haben sie vor allem die Aufgabe, das wirtschaftliche Überleben von Unternehmen zu sichern, wenn diese Opfer einer Cyberattacke geworden sind. Gerade mittelständische und kleine Unternehmen (KMU/SMB) stehen zunehmend im Fokus von Cyberkriminellen und können sich in den meisten Fällen keinen umfassenden Sicherheits- und IT-Apparat leisten wie beispielsweise große Dax-Konzerne. Was Cyberversicherungen allerdings nicht können, ist, präventive Maßnahmen und Sicherheitsvorkehrungen kompensieren.

Mehr Attacken, höherer Professionalisierungsgrad der Angreifer, hohe Besorgnis bei Unternehmen – was also tun?

Etliche Studien und Statistiken dokumentieren eindringlich, wie realistisch es mittlerweile ist, selbst Opfer einer Cyberattacke zu werden. Nach einer repräsentativen Studie des Bitcom von 2021 ist der deutschen Wirtschaft durch Cyberattacken allein im Jahr 2020 ein Schaden von 220 Milliarden Euro entstanden. Erpressung, Systemausfälle und Betriebsstörungen haben sich mehr als vervierfacht, Tendenz stark steigend. In seinem jüngsten Lagebericht vermeldet das Bundesamt für Sicherheit in der Informationstechnik (BSI) zudem eine stark steigende Anzahl von Schadprogramm-Varianten (mit bis zu 553.000 neuen Varianten pro Tag der höchste jemals gemessene Wert) und generell eine Professionalisierung der Angriffe.

Nicht zuletzt durch die allgegenwärtigen Ransomware-Attacken rollt eine Kostenwelle auf Unternehmen zu, die kaum mehr überschaubar ist. Im Jahr 2021 lag die Zahl der Ransomware-Angriffe auf Unternehmen weltweit bei etwa 20 Angriffen pro Sekunde. Allein in Deutschland waren es rund 34 Millionen(!) Ransomware-Attacken.

Trotzdem gibt es beim Thema IT-Sicherheit offensichtlich Nachbesserungsbedarf. So zeigen sich laut einer Umfrage, die IDC im September dieses Jahres unter Sicherheitsspezialisten durchgeführt hat, zwar 60 % angesichts der aktuellen Sicherheitslage besorgt, und 32 % wurden nicht nur Opfer einer erfolgreichen Ransomware-Attacke, sondern 88 % von ihnen verloren auch ihre Backups.

Sind IT und Infrastruktur eines Unternehmens nicht ausreichend geschützt, geht es bei vielen Unternehmen schnell an die wirtschaftliche Existenz. Man kann sich leicht vorstellen, was passiert, wenn die IT beispielsweise für Wochen komplett ausfällt, die Datensicherung nicht ausreicht oder ebenfalls verloren ist. Dazu kommt eine Reihe weiterer Kosten für Forensik, Rekonstruktion und Neuaufbau, gegebenenfalls noch Schadensersatzforderungen, Produktionsausfälle und Kundenverlust. Nebst Reputationsverlust und juristischen Konsequenzen wegen Verstößen gegen die DSGVO, mögliche Schadensersatzforderungen und eine steigende Wahrscheinlichkeit, Geschäftspartner aufgrund von Produktionsunterbrechungen zu verlieren.

Das hat allerdings vielerorts zu einem Trugschluss geführt: Nämlich eher in Cyberversicherungen zu investieren als in nahtlos ineinandergreifende und präventive Sicherheitsmaßnahmen. Laut der bereits zitierten IDC-Umfrage sind 42 % der Befragten bereits versichert und weitere 38 % planen entsprechende Investitionen spätestens innerhalb der kommenden 12 Monate. Gleichzeitig ist die Zahlungsbereitschaft bei Ransomware-Angriffen unvermindert hoch. Stolze 80 % der Betroffenen zahlte Lösegeld, 49 % davon, weil es schneller geht.

Was Cyberversicherungen leisten, und was nicht

Cyberversicherungen sollen dafür sorgen, dass die Folgen eines Angriffes abgemildert werden. Davon profitieren vor allem mittelständische Unternehmen und KMU/SMB, weil für sie ein Cyberangriff schnell existenzgefährdend wird. Eine Cyberversicherung kann hier zum Rettungsanker werden.

Allerdings sollte man nicht außer Acht lassen, dass sich die Versicherer offensichtlich selbst verkalkuliert haben oder doch zumindest branchenweit Ernüchterung eingekehrt ist. Grund ist die schiere Zahl der Cyberattacken. Laut Angaben einer von Censuswide unter IT-Experten durchgeführten Befragung haben bereits 80 % der Kunden Ansprüche geltend gemacht – und das wirkt sich direkt auf die Höhe der Prämien aus.

Cyberversicherungen schützen wie gesagt vor allem vor den wirtschaftlichen Folgen eines Angriffs. Nach Angaben des Identity Theft Resource Center haben sich Ransomware-Angriffe im Jahr 2020 verdoppelt, und im Jahr 2021 dann ein weiteres Mal. Diese Steigerung geht zu einem Gutteil auf die Herausforderungen zurück, denen Firmen sich aktuell gegenübersehen: Hybride und Remote-Working-Szenarien, die verbreitete Nutzung cloudbasierter Systeme und Zero-Trust-Initiativen, in deren Zentrum jeweils Identitäten stehen. Untersuchungen wie beispielsweise von Illusive haben gezeigt, dass Zugangsdaten zu privilegierten Konten, wie etwa zwischengespeicherte RDP-Sitzungen, die eine Remote-Administration ermöglichen, auf mehr als einem von zehn Endgeräten ungeschützt bleiben. Der Diebstahl von zwischengespeicherten Zugangsdaten ist der wichtigste Angriffsvektor, und Angriffe zur Übernahme von Konten (Account Takeover Attack, ATO) sind mittlerweile an der Tagesordnung.

Zwar verlangen auch Cyberversicherer bestimmte Sicherheitsvorkehrungen und legen diese in ihren Bedingungen entsprechend fest. Art, Umfang und Angemessenheit können sie aber kaum angemessen überprüfen. Angreifer nutzen beispielsweise bestehende Lücken zwischen Identitäts- und Sicherheitslösungen gezielt aus. Die Komplexität von Unternehmensidentitäten führt etwa dazu, dass beispielsweise die Einführung von IAM-, PAM- und MFA-Systemen jeweils mehrphasige Projekte sind. Bis die Einführung abgeschlossen ist, bleiben Identitäten teilweise ungeschützt, was ebenfalls ein oft unterschätztes Risiko birgt. Und moderne Identitätsbedrohungen sind inzwischen in der Lage gängige Präventivmaßnahmen auszuhebeln. Mit gravierenden Folgen.

Hier werden Unternehmen nicht umhinkommen, nachzubessern und mit neuen Methoden wie etwa dem von Gartner favorisierten ITDR (Identity Threat Detection and Response) gegenzuhalten. Eine Cyberversicherung kann immer nur die Folgen abfedern und auch das hat seinen Preis.

Welche Kosten deckt eine Cyberversicherung ab?

Beim Abschluss einer Cyberversicherung wird festgelegt, für welche Kosten die Versicherung und in welcher Höhe eintritt. Dabei belaufen sich die jährlichen Beiträge einer solchen Versicherung auf etwa 1 % bis 2 % der versicherten Summe. Allerdings wurde die Versicherungswirtschaft selbst von der Höhe der anfallenden Summen überrascht. Das hat für die Versicherten im wesentlichen zwei Konsequenzen: die Verhandlungen mit den Versicherungsträgern werden (noch) komplizierter und parallel dazu steigen Selbstbehalte und Prämien.

Eine Cyberversicherung deckt grundsätzlich die unmittelbaren Schäden eines Cyberangriffes ab. Die genaue Summe wird mit Vertragsabschluss geregelt. Dazu zählen zunächst die Kosten für die Wiederherstellung der IT-Infrastruktur und der Daten, die verloren gegangen sind. Weiterhin die Kosten für die notwendige Beweissicherung und Forensik. Wenn es in diesem Rahmen notwendig ist, die IT-Infrastruktur zumindest zeitweise noch einmal außer Betrieb zu nehmen, zahlt die Versicherung auch hier die anfallenden Kosten. Die Cyberversicherung trägt auch die wirtschaftlichen Schäden eines Hackerangriffes sowie potenzielle Schadenersatzforderungen von Dritten. Dazu kommen eventuelle Kosten durch den Betrieb eines Callcenters, um Kunden und Lieferanten über den Sachverhalt zu informieren. Eine Cyberversicherung übernimmt darüber hinaus die Kosten für eine Rechtsberatung im Zusammenhang mit juristischen Folgen bezüglich des Datenschutzes und Schadensersatzforderungen Dritter sowie bezüglich der Informationspflichten nach AktienG, Produkthaftung, BDSG, IT-SiG und Compliance-Richtlinien.

Für den Abschluss einer Cyberversicherung ist der IT-Grundschutz im Unternehmen zwingend vorausgesetzt. Zu den grundlegenden Anforderungen zählen unter anderem eine Firewall zum Internet, mindestens einmal wöchentlich ein Backup auf einem manipulationssicheren Speicher, aktuelle und möglichst automatisch gepatchte Betriebssysteme, Virenschutz für Server und Clients und jeder Benutzer muss über sein eigenes Anmeldekonto verfügen, inklusive sicherer Kennwörter. Dass Endgeräte auch im Home-Office maximal sicher sein sollten, versteht sich eigentlich von selbst. Die Sicherheitsinfrastruktur, das Backup und alle Maßnahmen sollte man regelmäßig dokumentieren, um die Aktivitäten gegenüber dem Versicherer nachweisen zu können.

Die genauen Bedingungen allerdings legt der jeweilige Versicherer fest, und genau da liegt der Hase im Pfeffer. Selbst Dax-Unternehmen verzweifeln inzwischen an den Verhandlungen mit den Versicherungsträgern. Im Klartext heißt das oft „deutlich höhere Prämien bei geringerem Schutz“. Und insbesondere was Ransomware-Angriffe anbelangt, steigen zusätzlich die Selbstbehalte.

Fazit

Cyberversicherungen können helfen, die Existenz von Unternehmen zu erhalten, wenn ein Cyberangriff zu Produktionsunterbrechungen und Datendiebstahl führt. Allerdings ist die Beitragsentwicklung längst nicht mehr so überschau- und kalkulierbar wie bislang. Kaum zu kalkulieren ist aber im Vergleich der potenzielle Schaden durch einen erfolgreichen Cyberangriff. Unternehmen sollten sich deshalb mit dem Thema Cyberversicherungen auseinandersetzen, und das tun sie auch. Trotz steigender Prämien- und Selbstbehalte haben laut der obigen Umfrage von Censuswide 93 % der IT-Professionals das Budget für eine Cyberpolice bereits genehmigt bekommen.

Es wäre allerdings fatal, wenn man zugunsten von Cyberversicherungen auf zeitgemäße Sicherheitsvorkehrungen verzichten würde, die zentrale Angriffsvektoren wie beispielsweise Identitäten umfassend schützen. Voraussetzung ist eine Bestandsaufnahme der Präventionskontrollen und das Umsetzen klassischer Maßnahmen der IT-Sicherheitshygiene. Dann können Cyberversicherungen die ihnen zugedachte Funktion auch übernehmen.