Eine Cyber-Versicherung ist eine notwendige Komponente jeder IT- oder Cybersicherheitsabteilung, die für den Schutz der Assets, Daten, der Unternehmens-Reputation und des Geschäftsergebnisses eines Unternehmens in Hinblick auf Cybersicherheitsbedrohungen verantwortlich ist. Prävention ist zwar ein wichtiger Aspekt, aber es gibt kein Tool, keine Lösung und keine Strategie, die zu 100 % garantiert, dass ein Unternehmen nicht potenziell Opfer eines Angriffs wird.
In Anbetracht dieses sehr realen Risikos kann ein Unternehmen eine Cyber-Versicherung abschließen, die bestimmte Folgen eines Vorfalls ein wenig abfedern kann. In diesem Artikel gehen wir darauf ein, was eine Cyber-Versicherung ist, wie Sie sie nutzen können und wie Sie die richtige Police für Ihr Unternehmen abschließen.
Für wen sind Cyber-Versicherungen vorgesehen und warum brauchen Sie eine?
Die Cyber-Risikoversicherung, auch bekannt als Cyber-Haftpflichtversicherung (Cyber Liability Insurance Coverage, CLIC), soll Unternehmen dabei helfen, einen Teil der mit der Cybersicherheit verbundenen Kosten im Falle eines Vorfalls oder einer Sicherheitsverletzung zu kompensieren.
Nahezu jede Organisation kann von einer Cyber-Versicherung profitieren, insbesondere solche mit einer kleinen Cybersicherheitsabteilung oder einem kleinen Budget, die möglicherweise Schwierigkeiten haben, im Falle eines Angriffs die erforderlichen Ressourcen zu finden. Im Jahr 2020 betrugen die Kosten einer durchschnittlichen Datenschutzverletzung 3,86 Mio. und jedes Unternehmen wird im Laufe der Zeit unweigerlich Opfer eines Angriffs.
Es ist gegebenenfalls sehr wichtig, sich gegen die finanziellen Kosten bereits abgesichert zu haben oder sicherzustellen, dass Komponenten kein wesentlicher Teil des Wiederherstellungsprozesses sind. Außerdem können Sie sich so auf Ihre Incident Response und recovery Strategie konzentrieren und dadurch so schnell wie möglich wieder zum normalen Geschäftsbetrieb zurückkehren.
Was Sie von einer Cyber-Versicherung erwarten können
Wie bei jeder Versicherung hängt es von der abgeschlossenen Police ab, was genau abgedeckt ist. Von den meisten Cyber-Versicherungen können Sie jedoch Folgendes erwarten:
Mit einem Vorfall/Kompromittierung verbundene Kosten
Es gibt mehrere potenzielle Konsequenzen, die sich aus einem Sicherheitsvorfall ergeben können. Wenn eine Organisation von Ransomware-Angriffen betroffen ist, muss sie möglicherweise das Lösegeld bezahlen, bevor sie auf ihre Dateien zugreifen kann.
Ein DDoS-Angriff kann die Website oder die Server eines Unternehmens ausschalten. Durch die nicht verfügbaren Ressourcen entstehen Kosten und möglicherweise können Verträge mit Kunden nicht erfüllt werden, was sich noch weiter auf das Unternehmensergebnis auswirkt. Im Rahmen der Deckung für Fehler und Unterlassungen (Errors and Omissions, E&O) sind diese Kosten abgedeckt.
Mit der Kommunikation verbundene Kosten
Ein Verstoß, ein Vorfall oder eine Exposition erfordern häufig, dass ein Unternehmen eine Kommunikationsstrategie für die Medien, die Mitarbeiter, seine Kunden und alle Drittparteien verwendet, die davon betroffen sein könnten.
Je nach Schweregrad und Ausmaß des Angriffs müssen auch Call- und Support-Center eingerichtet werden. Die Cyber-Versicherung kann Kosten abdecken, die mit der Kommunikation und Benachrichtigung infolge eines Sicherheitsvorfalls verbunden sind.
Kosten im Zusammenhang mit Geldstrafen, Klagen und Vergleichen
Sicherheitsvorfälle und Kompromittierungen erfordern häufig, dass ein Unternehmen zusätzliche rechtliche Ausgaben für regulatorische Probleme, Untersuchungen, Sammelklagen, Bußgelder und Vergleiche aufbringt.
Sogar eine forensische Untersuchung durch Dritte oder die Zusammenarbeit mit einem Unternehmen zur Überwachung und Wiederherstellung von Identitätsdiebstahl erfordert bestimmte juristische Dienste, die möglicherweise abgedeckt werden.
Kosten für Reaktion und Wiederherstellung
Bei jedem Sicherheitsvorfall und jeder Kompromittierung sind Incident Response- und Wiederherstellungsmaßnahmen erforderlich. Je nachdem, wie Ihre Sicherheitsabteilung aufgebaut ist, müssen Sie möglicherweise einen Dritten oder einen Partner einbringen, um zu verstehen, welche Art von Daten gefährdet wurden, wie Sie sie wiederherstellen können und wie Sie einen ähnlichen Angriff in Zukunft verhindern können.
Ähnlich verhält es sich, wenn Sie ein forensisches Untersuchungsteam hinzuziehen oder für einen unabhängigen Ermittler bezahlen müssen, der durch Compliance/gesetzliche Vorschriften vorgeschrieben ist. Diese Kosten werden oft durch eine Cyber-Versicherung abgedeckt.
Was durch Cyber-Versicherungen nicht abgedeckt wird
Obwohl jede Police anders ist, decken Cyber-Versicherungen Folgendes nicht ab:
- Kosten, die mit potenziellen zukünftigen Gewinneinbußen verbunden sind, sei es durch einen Advanced Persistent Threat (APT) oder durch die langfristigen Auswirkungen eines Vorfalls
- Kosten oder Wertverluste in Verbindung mit Diebstahl von geistigem Eigentum
- Jegliche Kosten, die der Organisation dadurch entstehen, dass sie ihre Systeme und die Sicherheit nach einem Vorfall erneuert und verbessert
Diese sind in der Regel nicht von der Cyber-Versicherung abgedeckt. Daher ist es wichtig zu wissen, dass Sie sich nicht auf die Cyber-Versicherung verlassen können, wenn einer dieser Punkte Ihr Unternehmen betrifft.
Vier Fragen, die Sie beim Abschluss einer Cyber-Versicherung stellen sollten
Je mehr Ihre Police abdeckt, desto besser. Bei der Suche nach der richtigen Cyber-Versicherung sollten Sie Folgendes beachten:
- Umfasst die Cyberversicherung Angriffe durch Social Engineering?
Social Engineering ist einer der gängigsten Angriffe im Bereich der Cybersicherheit, aber nicht jeder Anbieter von Cyber-Versicherungen deckt solche Angriffe ab. Wenn Sie Prioritäten setzen, was für Sie wichtig ist, sollte Social Engineering ganz oben auf Ihrer Liste stehen.
- Sind Kosten im Zusammenhang mit Reputationsschäden abgedeckt?
Einer der Nebeneffekte einer Sicherheitsverletzung in einem Unternehmen, insbesondere wenn es sich um eine umfassende oder folgenschwere Verletzung handelt, ist der Reputationsschaden. Dies kann sich auf die Höhe der Einnahmen auswirken, die ein Unternehmen von aktuellen und zukünftigen Kunden erhält. Je nach Police sind solche Schäden jedoch möglicherweise nicht abgedeckt.
- Sind Fremd- und Nebenschäden versichert?
Im Fall von Datenlecks aufgrund von Verstößen durch Dritte bzw. bei Schäden oder Kosten von Datenlecks, bei denen Sie nicht das direkte Ziel oder Opfer sind, sind Sie möglicherweise nicht immer abgedeckt. Dies ist jedoch wichtig, da viele schwerwiegende Kompromittierungen durch Dritte entstehen können.
- Sind Advanced Persistent Threats (APT) abgedeckt?
Definitionsgemäß handelt es sich bei Advanced Persistent Threats um Angreifer, die sich im System oder Netzwerk eines Unternehmens verstecken und entweder Daten exfiltrieren oder auf den richtigen Moment warten, um zuzuschlagen. Da zwischen dem eigentlichen Vorfall und der Entdeckung einer APT in der Regel viel Zeit vergeht, deckt die Cyberversicherung nicht immer die damit verbundenen Kosten ab.
Welche Faktoren beeinflussen die Kosten einer Cyber-Versicherung?
Die Kosten für eine Cyber-Versicherung variieren stark und hängen von einer Reihe von Faktoren ab.
Branche
Branchen wie das Gesundheitswesen und der Finanzsektor, die am häufigsten von Hackern und kriminellen Organisationen ins Visier genommen werden, werden in der Regel höhere Preise für Cyber-Versicherungen zahlen müssen.
Größe
Je größer eine Organisation ist, desto größer ist das Risiko, dass sie angegriffen wird. Dies erfordert auch einen breiteren Deckungsumfang, was meistens zu höheren Prämien führt.
Deckungsbetrag
Das ist relativ einfach. Eine Cyberversicherungspolice mit einem Deckungsbetrag von 500.000 $ kostet weniger als eine Versicherungspolice mit einem Deckungsbetrag von 1.000.000 $. Aber es liegt an Ihnen, die mit jeder Police verbundenen Risiken und Kosten abzuwägen und zu verstehen, was für das Budget Ihrer Abteilung am besten ist.
Art der Abdeckung
Dies bezieht sich auf die oben aufgeführten Überlegungen. Wenn Sie eine Cyberversicherung wünschen, die alle Arten von Vorfällen und Kosten abdeckt, werden Sie wahrscheinlich eine höhere Prämie zahlen.
Regulatorische Anforderungen
Ähnlich wie bei der Branche können auch die regulatorischen oder Compliance-Anforderungen, die Ihr Unternehmen berücksichtigen muss, höhere Cyber-Versicherungsprämien zur Folge haben.
Fußabdruck des Unternehmens
Dies ist ähnlich wie die Unternehmensgröße, berücksichtigt aber auch, wie viele Niederlassungen ein Unternehmen hat und unter anderem, in wie vielen geografischen Regionen es ansässig ist. Grundsätzlich gilt: Je mehr Angriffsvektoren ein Unternehmen hat, desto mehr kann die Cyberversicherung kosten.
Warum sollte man eine Cyber-Versicherung in Erwägung ziehen?
Wie wir bereits erwähnt haben, kann eine Cyber-Versicherung unglaublich nützlich für ein Unternehmen sein, das einfach nicht die erforderlichen Ressourcen hat, um alle mit einem Sicherheitsvorfall verbundenen Kosten zu bewältigen. Keine Sicherheitsabteilung oder Führungskraft sollte davon ausgehen, dass seine/ihre Organisation nicht von einem Angriff betroffen sein wird.
Denken Sie stattdessen die verschiedenen Szenarien eines Sicherheitsvorfalls durch. Wenn Sie eine Cyber-Versicherungspolice hätten, wie viel würde die Deckung bringen? Wenn Sie die Szenarien durchgehen, können Sie besser verstehen, wie hilfreich Cyberversicherungen sein können und nach welchen Policen Sie suchen sollten.
Um ein besseres Gefühl dafür zu bekommen, wie Ihre Assets geschützt sind und um den durch die Sicherheitskompromittierung verursachten Schaden zu reduzieren, werfen Sie einen Blick auf die Varonis-Lösungen DatAlert und DatAdvantage.
