IT-Risiken abzuschätzen und bestmöglich abzusichern steht ganz oben auf den Agenden der IT- und Sicherheitsverantwortlichen vieler Unternehmen. Laut dem Allianz Risk Barometer 2021 zählen IT-bedingte Zwischenfälle gemeinsam mit Betriebsunterbrechungen zu den größten Geschäftsrisiken weltweit. Um dem entgegenzuwirken gilt es, durch geeignete Sicherheitsmaßnahmen die digitale Angriffsfläche zu verringern. Für die verbleibenden Restrisiken, bieten zahlreiche Versicherer Cyber-Policen an.
Fälle wie der laufende Rechtsstreit zwischen dem Lebensmittelkonzern Mondelez und der Zurich Insurance Group zeigen allerdings, dass Cyber-Versicherungen nicht zwangsläufig einspringen, wenn sie gebraucht werden. Der Süßwarenkonzern (Milka, Oreo, Toblerone) hatte sich bei einer US-Tochter von Zurich mit einer Deckungssumme von 100 Millionen Dollar gegen Schäden aus Ausfällen der IT-Systeme versichert, wobei Schadsoftware ausdrücklich mit eingeschlossen war.
2017 fiel Mondelez dem Krypto-Trojaner "NotPetya" zum Opfer und bezifferte den Schaden auf insgesamt 180 Millionen Dollar. Zurich zahlte einen ersten Teil der Versicherungssumme aus, weigerte sich dann aber, auch den Rest zu überweisen. Laut dem Versicherer sei "NotPetya" als "kriegsähnliche Handlung in Kriegs- oder Friedenszeiten" durch einen staatlichen Akteur anzusehen, da die Industrie Russland als Urheber hinter der Ransomware ausgemacht hatte. Solche Schäden sind üblicherweise von Versicherungspolicen ausgeschlossen. Zurich steht seither in der Pflicht, vor Gericht zu beweisen, dass es sich tatsächlich um so einen Ausnahmefall handelt und damit der Schaden nicht gedeckt ist. Das Verfahren läuft noch.
An diesem Beispiel wird deutlich, dass Unternehmen sehr genau prüfen müssen, welche Cyber-Versicherung für sie die richtige ist, wann der Schutz genau wirkt und unter welchen Bedingungen er erlischt. Zudem fordern Versicherer, dass ihre Klienten bestimmte Sicherheitsvorkehrungen treffen. Wie sich Unternehmen vorbereiten und welche Stolperfallen sie umgehen sollten, erfahren Sie im Folgenden.
Was soll versichert werden?
In einem ersten Schritt gilt es festzustellen, was genau versichert werden soll. Die Allianz für Cyber-Sicherheit (ACS) des BSI widmet in ihrem Vorstands-Handbuch "Management von Cyber-Risiken" (PDF) Teile des fünften Kapitels dieser Frage. Der Entscheidungsprozess geht mit einer detaillierten Risikoabwägung einher und wird anhand dieser Diskussionspunkte abgehandelt:
Bei welchen Daten und Informationen, Systemen und Geschäftsabläufen besteht Bereitschaft, ihren Verlust oder ihre Beschädigung zu akzeptieren?
Wie sollten Investitionen zur Cyber-Risikominderung auf grundlegende und fortgeschrittene Schutzmaßnahmen aufgeteilt werden?
Welche Optionen stehen zur Verfügung, um bei der Minderung bestimmter Cyber-Risiken zu unterstützen?
Welche Optionen stehen zur Verfügung, um bei der Übertragung bestimmter Cyber-Risiken zu unterstützen?
Wie sollten die Auswirkungen von Cyber-Sicherheitsvorfällen bewertet werden?
Gegenüber dem Manager Magazin betont IT-Fachanwalt Lutz Martin Keppeler, wie wichtig die IT-Abteilung in diesem Zusammenhang ist. Ihr fällt die Aufgabe zu, "genau zu analysieren, welche Systeme relevant sind und in welcher Zeit sie wiederhergestellt werden können." Außerdem müsse sie sicherstellen, dass das IT-System des Unternehmens den vorgegebenen Anforderungen an IT-Sicherheit der Versicherer entspricht.
Welche Sicherheitsstandards sollten Unternehmen im Vorfeld erfüllen?
Die Versicherer bieten Policen nach unterschiedlichen Kriterien an. Als Faustregel gilt: Je sensibler die gesammelten und verarbeiteten Daten sind, desto besser müssen sie geschützt werden.
Im Einzelnen rät der Gesamtverband der Deutschen Versicherungswirtschaft (GDV) dazu, mindestens zehn allgemeine Sicherheitsstandards umzusetzen, die Versicherer in aller Regel voraussetzen:
Antivirenprogramme sind stets auf dem neuesten Stand zu halten.
Mindestens einmal wöchentlich muss eine Datensicherung erfolgen.
Updates und Sicherheits-Patches für Software und Plugins sind möglichst direkt nach dem Erscheinen einzuspielen.
Firmen-Server müssen durch eine Firewall sowie Security-Monitoring- und Intrusion-Prevention-Lösungen gesichert sein.
Firmen müssen IT-Administratorenzugänge einrichten und Zugriffsrechte strikt beschränken.
Individuelle Mitarbeiterzugänge sind mit eigenen Zugangsdaten einzurichten und Sammel-Accounts mit Standardpasswörtern zu vermeiden.
Anwender sollten dazu gezwungen werden, komplexe Passwörter zu benutzen (Mindestlänge, Ziffern, Groß/Kleinschreibung, Sonderzeichen, regelmäßige Änderung).
Mobilgeräte sowie Datenträger sind voll zu verschlüsseln und durch eigene Passwörter beziehungsweise Zwei-Faktor-Authentifizierung (2FA) zu sichern.
Manipulationen an der Sicherungskopie gilt es zu verhindern, indem sie physisch getrennt vom Server aufbewahrt wird. Bei kritischen Daten eigent sich die sogenannte 3-2-1-Regel: Drei Kopien sollten auf zwei unterschiedlichen Medien im Unternehmen und mindestens eine Kopie außerhalb des Unternehmens gespeichert sein.
Die Daten der Sicherungskopien sollten regelmäßig darauf gestest werden, ob sie tatsächlich wiederhergestellt werden können.
Um den Zustand der eigenen IT-Sicherheit zu ermitteln, bietet der Verband einen kostenlosen Cyber-Sicherheitscheck an. Umfang und Inhalt des Fragebogens passen sich den individuellen Risiken an. Am Ende jedes Abschnitts folgt eine Einschätzung, wie gut es um die IT-Sicherheit des Unternehmens bestellt ist und welche Verbesserungsmaßnahmen sich anbieten. Zudem zeigt der Test am Ende, wie andere Unternehmen abgeschnitten haben und in welchem Verhältnis das eigene Ergebnis zum Durchschnitt steht.
Weiterführende Maßnahmen für eine robuste IT-Sicherheit in Unternehmen bietet der IT-Grundschutz des BSI.