Eine Cyber-Versicherung ist eine notwendige Komponente jeder IT- oder Cybersicherheitsabteilung, die für den Schutz der Assets, Daten, der Unternehmens-Reputation und des Geschäftsergebnisses eines Unternehmens in Hinblick auf Cybersicherheitsbedrohungen verantwortlich ist. Prävention ist zwar ein wichtiger Aspekt, aber es gibt kein Tool, keine Lösung und keine Strategie, die zu 100 % garantiert, dass ein Unternehmen nicht potenziell Opfer eines Angriffs wird.
In Anbetracht dieses sehr realen Risikos kann ein Unternehmen eine Cyber-Versicherung abschließen, die bestimmte Folgen eines Vorfalls ein wenig abfedern kann. In diesem Artikel gehen wir darauf ein, was eine Cyber-Versicherung ist, wie Sie sie nutzen können und wie Sie die richtige Police für Ihr Unternehmen abschließen.
Die Cyber-Risikoversicherung, auch bekannt als Cyber-Haftpflichtversicherung (Cyber Liability Insurance Coverage, CLIC), soll Unternehmen dabei helfen, einen Teil der mit der Cybersicherheit verbundenen Kosten im Falle eines Vorfalls oder einer Sicherheitsverletzung zu kompensieren.
Nahezu jede Organisation kann von einer Cyber-Versicherung profitieren, insbesondere solche mit einer kleinen Cybersicherheitsabteilung oder einem kleinen Budget, die möglicherweise Schwierigkeiten haben, im Falle eines Angriffs die erforderlichen Ressourcen zu finden. Im Jahr 2020 betrugen die Kosten einer durchschnittlichen Datenschutzverletzung 3,86 Mio. und jedes Unternehmen wird im Laufe der Zeit unweigerlich Opfer eines Angriffs.
Es ist gegebenenfalls sehr wichtig, sich gegen die finanziellen Kosten bereits abgesichert zu haben oder sicherzustellen, dass Komponenten kein wesentlicher Teil des Wiederherstellungsprozesses sind. Außerdem können Sie sich so auf Ihre Incident Response und recovery Strategie konzentrieren und dadurch so schnell wie möglich wieder zum normalen Geschäftsbetrieb zurückkehren.
Wie bei jeder Versicherung hängt es von der abgeschlossenen Police ab, was genau abgedeckt ist. Von den meisten Cyber-Versicherungen können Sie jedoch Folgendes erwarten:
Es gibt mehrere potenzielle Konsequenzen, die sich aus einem Sicherheitsvorfall ergeben können. Wenn eine Organisation von Ransomware-Angriffen betroffen ist, muss sie möglicherweise das Lösegeld bezahlen, bevor sie auf ihre Dateien zugreifen kann.
Ein DDoS-Angriff kann die Website oder die Server eines Unternehmens ausschalten. Durch die nicht verfügbaren Ressourcen entstehen Kosten und möglicherweise können Verträge mit Kunden nicht erfüllt werden, was sich noch weiter auf das Unternehmensergebnis auswirkt. Im Rahmen der Deckung für Fehler und Unterlassungen (Errors and Omissions, E&O) sind diese Kosten abgedeckt.
Ein Verstoß, ein Vorfall oder eine Exposition erfordern häufig, dass ein Unternehmen eine Kommunikationsstrategie für die Medien, die Mitarbeiter, seine Kunden und alle Drittparteien verwendet, die davon betroffen sein könnten.
Je nach Schweregrad und Ausmaß des Angriffs müssen auch Call- und Support-Center eingerichtet werden. Die Cyber-Versicherung kann Kosten abdecken, die mit der Kommunikation und Benachrichtigung infolge eines Sicherheitsvorfalls verbunden sind.
Sicherheitsvorfälle und Kompromittierungen erfordern häufig, dass ein Unternehmen zusätzliche rechtliche Ausgaben für regulatorische Probleme, Untersuchungen, Sammelklagen, Bußgelder und Vergleiche aufbringt.
Sogar eine forensische Untersuchung durch Dritte oder die Zusammenarbeit mit einem Unternehmen zur Überwachung und Wiederherstellung von Identitätsdiebstahl erfordert bestimmte juristische Dienste, die möglicherweise abgedeckt werden.
Bei jedem Sicherheitsvorfall und jeder Kompromittierung sind Incident Response- und Wiederherstellungsmaßnahmen erforderlich. Je nachdem, wie Ihre Sicherheitsabteilung aufgebaut ist, müssen Sie möglicherweise einen Dritten oder einen Partner einbringen, um zu verstehen, welche Art von Daten gefährdet wurden, wie Sie sie wiederherstellen können und wie Sie einen ähnlichen Angriff in Zukunft verhindern können.
Ähnlich verhält es sich, wenn Sie ein forensisches Untersuchungsteam hinzuziehen oder für einen unabhängigen Ermittler bezahlen müssen, der durch Compliance/gesetzliche Vorschriften vorgeschrieben ist. Diese Kosten werden oft durch eine Cyber-Versicherung abgedeckt.
Obwohl jede Police anders ist, decken Cyber-Versicherungen Folgendes nicht ab:
Diese sind in der Regel nicht von der Cyber-Versicherung abgedeckt. Daher ist es wichtig zu wissen, dass Sie sich nicht auf die Cyber-Versicherung verlassen können, wenn einer dieser Punkte Ihr Unternehmen betrifft.
Je mehr Ihre Police abdeckt, desto besser. Bei der Suche nach der richtigen Cyber-Versicherung sollten Sie Folgendes beachten:
Social Engineering ist einer der gängigsten Angriffe im Bereich der Cybersicherheit, aber nicht jeder Anbieter von Cyber-Versicherungen deckt solche Angriffe ab. Wenn Sie Prioritäten setzen, was für Sie wichtig ist, sollte Social Engineering ganz oben auf Ihrer Liste stehen.
Einer der Nebeneffekte einer Sicherheitsverletzung in einem Unternehmen, insbesondere wenn es sich um eine umfassende oder folgenschwere Verletzung handelt, ist der Reputationsschaden. Dies kann sich auf die Höhe der Einnahmen auswirken, die ein Unternehmen von aktuellen und zukünftigen Kunden erhält. Je nach Police sind solche Schäden jedoch möglicherweise nicht abgedeckt.
Im Fall von Datenlecks aufgrund von Verstößen durch Dritte bzw. bei Schäden oder Kosten von Datenlecks, bei denen Sie nicht das direkte Ziel oder Opfer sind, sind Sie möglicherweise nicht immer abgedeckt. Dies ist jedoch wichtig, da viele schwerwiegende Kompromittierungen durch Dritte entstehen können.
Definitionsgemäß handelt es sich bei Advanced Persistent Threats um Angreifer, die sich im System oder Netzwerk eines Unternehmens verstecken und entweder Daten exfiltrieren oder auf den richtigen Moment warten, um zuzuschlagen. Da zwischen dem eigentlichen Vorfall und der Entdeckung einer APT in der Regel viel Zeit vergeht, deckt die Cyberversicherung nicht immer die damit verbundenen Kosten ab.
Die Kosten für eine Cyber-Versicherung variieren stark und hängen von einer Reihe von Faktoren ab.
Branchen wie das Gesundheitswesen und der Finanzsektor, die am häufigsten von Hackern und kriminellen Organisationen ins Visier genommen werden, werden in der Regel höhere Preise für Cyber-Versicherungen zahlen müssen.
Je größer eine Organisation ist, desto größer ist das Risiko, dass sie angegriffen wird. Dies erfordert auch einen breiteren Deckungsumfang, was meistens zu höheren Prämien führt.
Das ist relativ einfach. Eine Cyberversicherungspolice mit einem Deckungsbetrag von 500.000 $ kostet weniger als eine Versicherungspolice mit einem Deckungsbetrag von 1.000.000 $. Aber es liegt an Ihnen, die mit jeder Police verbundenen Risiken und Kosten abzuwägen und zu verstehen, was für das Budget Ihrer Abteilung am besten ist.
Dies bezieht sich auf die oben aufgeführten Überlegungen. Wenn Sie eine Cyberversicherung wünschen, die alle Arten von Vorfällen und Kosten abdeckt, werden Sie wahrscheinlich eine höhere Prämie zahlen.
Ähnlich wie bei der Branche können auch die regulatorischen oder Compliance-Anforderungen, die Ihr Unternehmen berücksichtigen muss, höhere Cyber-Versicherungsprämien zur Folge haben.
Dies ist ähnlich wie die Unternehmensgröße, berücksichtigt aber auch, wie viele Niederlassungen ein Unternehmen hat und unter anderem, in wie vielen geografischen Regionen es ansässig ist. Grundsätzlich gilt: Je mehr Angriffsvektoren ein Unternehmen hat, desto mehr kann die Cyberversicherung kosten.
Wie wir bereits erwähnt haben, kann eine Cyber-Versicherung unglaublich nützlich für ein Unternehmen sein, das einfach nicht die erforderlichen Ressourcen hat, um alle mit einem Sicherheitsvorfall verbundenen Kosten zu bewältigen. Keine Sicherheitsabteilung oder Führungskraft sollte davon ausgehen, dass seine/ihre Organisation nicht von einem Angriff betroffen sein wird.
Denken Sie stattdessen die verschiedenen Szenarien eines Sicherheitsvorfalls durch. Wenn Sie eine Cyber-Versicherungspolice hätten, wie viel würde die Deckung bringen? Wenn Sie die Szenarien durchgehen, können Sie besser verstehen, wie hilfreich Cyberversicherungen sein können und nach welchen Policen Sie suchen sollten.
Um ein besseres Gefühl dafür zu bekommen, wie Ihre Assets geschützt sind und um den durch die Sicherheitskompromittierung verursachten Schaden zu reduzieren, werfen Sie einen Blick auf die Varonis-Lösungen DatAlert und DatAdvantage.