Schutz nach dem Hackerangriff
Cyberversicherung als neuer KMU-Standard?
Sind Sie gegen die Gefahren der Cyberwelt versichert? Stellen Sie sich darauf ein, dass Ihnen diese Frage immer öfter gestellt wird. Große Konzerne kennen solche Cyberversicherungs-Policen schon länger. Deren IT-Abteilungen sind dafür aufgestellt, die vielfältigen Risiken für ihre Daten aktiv angehen zu können. So versichert sind aber nur wenige Unternehmen in Deutschland. Gerade viele kleine und mittelgroße Betriebe unterschätzen die Risiken der Computerkriminalität. Hacker nehmen jedoch durchaus auch Handwerker, Rechtsanwälte, Ärzte, kleine Fabriken oder das Bistro an der Ecke ins Visier. Ein lahmgelegter Betrieb, geklaute Daten und enorme finanzielle Schäden bis hin zur Betriebsschließung sind nicht selten die Folge.
Foto: Gajus - shutterstock.com
Die Versicherer wittern hier jedenfalls eine große Chance. KMU bilden die Masse der deutschen Wirtschaft. 96,6 Prozent aller Unternehmen haben weniger als 10 Millionen Euro Umsatz. Eine Initiative des Gesamtverbands der Deutschen Versicherungswirtschaft (GDV) will nun der Cyberversicherung zum Durchbruch verhelfen.
Im April 2017 hat man dazu mit den Musterbedingungen einen Bauplan für solche Cyber-Versicherungen erstellt. Kundendaten, Kontonummern, Patente, Fertigungspläne – auch bei KMU landet so gut wie alles im Computer. Dort sind sie in Form von Bits und Bytes ein lohnendes Ziel für kriminelle Hacker oder auch Konkurrenten: Daten werden ausspioniert, zerstört, gefälscht oder blockiert. Aber auch die eigenen Mitarbeiter können durch ihr Fehlverhalten gewollt oder ungewollt erheblichen Schaden verursachen.
Die neuen Musterbausteine für Cyberversicherungen sind die Schäden durch die Unterbrechung des Geschäftsbetriebs, die Wiederherstellung der Daten und die Ersatzansprüche Dritter, beispielsweise bei durchgeschleusten Computerviren. Nach dem Verbandsschema sind auch die Kosten für IT-Forensik, Krisenkommunikation und Meldepflichten nach dem Datenschutzgesetz abgedeckt. Mit der ab Mai 2018 in Kraft tretenden ePrivacy-Verordnung entstehen rechtliche Fallstricke, bei denen schnell empfindliche Bußgelder drohen.
Cyberversicherungs-Pflichten
Jedes Unternehmen muss seine Daten schützen, gleich ob versichert oder nicht. Es gilt, Gefahren für deren Bestand und Richtigkeit zu erkennen und so gut es geht abzuwehren. Das Datenschutzgesetz ist schon heute eine einschlägige Verfügung, die entsprechende Aufgaben an die IT stellt. Auch das Finanzamt arbeitet bevorzugt mit gesicherten Zahlen der Veranschlagten. Amtlich ausgedrückt gelten die Grunsätze ordnungsmäßiger DV-gestützter Buchführungssysteme (GoBS). Gefragt ist also die IT-Sicherheit.
Auch die Cyber-Musterbedingungen des Verbands werden hier ausdrücklich. Zu den Verpflichtungen der so Betreuten gehören ein aktueller Virenschutz, das unverzügliche Aufspielen von Sicherheits-Patches und wöchentliche Backups des digitalen Arbeitsmaterials. Zu letzterem gehören auch die getrennte Lagerung von Original und Kopie, sowie regelmäßige Tests zur Wiederherstellung der Systeme. Gerade die WannaCry-Ransomware hat gezeigt, dass das Aufspielen der Sicherheitskopien in der Praxis oft nicht funktioniert. Umgekehrt haben sich sowohl aktuelle Signaturen von Antivirus-Programmen und aktuelle Patchstände auf gewarteten Betriebssystemen als zuverlässige Schutzschilder herausgestellt.
Für den Login an Computern fordert der Verband persönliche Kennungen, komplexe Passwörter und Beschränkungen für Administratoren. Nur mit Namen hinter den Logfiles kann die Verantwortung für schädliche Aktionen zugewiesen werden. Für die Handhabung von Passwörtern gibt es Hilfestellung von verschiedenen Stellen. Unternehmen befinden sich auf der sicheren Seite, wenn sie den Empfehlungen des BSI oder der Branchengrößen wie Microsoft und SAP entsprechen.
Ein Problemfeld besteht in den Accounts der Administratoren, denn der direkte Zugriff auf Betriebssysteme und Datenbanken ist der heilige Gral für alle kriminellen Hacker. Mindestens ebenso gefährlich kann aber der eigene Angestellte werden. Die Kassen fordern, dass die Vergabe solcher privilegierten Nutzerkonten nur in engen Grenzen erfolgen darf.
- Adminrechte
Keine Vergabe von Administratorenrechten an Mitarbeiter - Dokumentation
Vollständige und regelmäßige Dokumentation der IT - Sichere Passwörter
IT-Sicherheit beginnt mit Sensibilisierung und Schulung der Mitarbeiter sowie mit einer klaren Kommunikation der internen Verhaltensregeln zur Informationssicherheit:<br /><br /> Komplexe Passwörter aus Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen, mindestens achtstellig. - Passwortdiebstahl
Niemals vertrauliche Daten weitergeben oder/und notieren. - E-Mail-Sicherheit
E-Mails signieren, sensible Daten verschlüsseln, Vorsicht beim Öffnen von E-Mail-Anlagen und Links. - Soziale Manipulation
Bewusst mit vertraulichen Informationen umgehen, nur an berechtigte Personen weitergeben, sich nicht manipulieren oder aushorchen lassen. - Vorsicht beim Surfen im Internet
Nicht jeder Link führt zum gewünschten Ergebnis. - Nur aktuelle Software einsetzen
Eine nicht aktualisierte Software lässt mehr Sicherheitslücken offen. - Verwendung eigener Software
Unternehmensvorgaben beachten und niemals Software fragwürdiger Herkunft installieren. - Unternehmensvorgaben
Nur erlaubte Daten, Software (Apps) und Anwendungen einsetzen. - Backups
Betriebliche Daten regelmäßig auf einem Netzlaufwerk speichern und Daten auf externen Datenträgern sichern. - Diebstahlschutz
Mobile Geräte und Datenträger vor Verlust schützen. - Gerätezugriff
Keine Weitergabe von Geräten an Dritte, mobile Geräte nicht unbeaufsichtigt lassen und Arbeitsplatz-PCs beim Verlassen sperren. - Sicherheitsrichtlinien
Die organisatorischen Strukturen im Hintergrund bilden den erforderlichen Rahmen der IT-Sicherheit. Hier gilt es, klare Regelungen zu formulieren und einzuhalten:<br /><br />Definition und Kommunikation von Sicherheitsrichtlinien - Zugriffsrechte
Regelung der Zugriffsrechte auf sensible Daten - Softwareupdates
Automatische und regelmäßige Verteilung von Softwareupdates - Logfiles
Kontrolle der Logfiles - Datensicherung
Auslagerung der Datensicherung - Sicherheitsanalyse
Regelmäßige Überprüfung der Sicherheitsmaßnahmen durch interne und externe Sicherheitsanalysen - Notfallplan
Erstellung eines Notfallplans für die Reaktion auf Systemausfälle und Angriffe - WLAN-Nutzung
Auf technischer Ebene muss ein Mindeststandard gewährleistet sein. Dieser lässt sich größtenteils ohne großen Kostenaufwand realisieren:<br /><br />Dokumentation der WLAN-Nutzung, auch durch Gäste - Firewalls
Absicherung der Internetverbindung durch Firewalls - Biometrische Faktoren
Einsatz von Zugangsschutz/Kennwörter/Biometrie - Zugangskontrolle
Physische Sicherung/Zugangskontrolle und -dokumentation - Schutz vor Malware
Schutz vor Schadsoftware sowohl am Endgerät als auch am Internetgateway, idealerweise durch zwei verschiedene Antivirenprogramme - Webzugriffe
Definition einer strukturierten Regelung der Webzugriffe - Verschlüsselung
Verschlüsselung zum Schutz von Dateien und Nachrichten mit sensiblen Inhalten - Löschen
Sicheres Löschen der Daten bei Außerbetriebnahme - Update der Sicherheitssysteme
Sicherstellung regelmäßiger Updates der Sicherheitssysteme - Monitoring
Permanente Überwachung des Netzwerkverkehrs auf Auffälligkeiten
Besonders risikoreiche Systeme erfordern besondere Schritte. Das ist im Cyber-Muster immer der Fall, wenn die Rechner über das Internet erreichbar sind. Hier helfen Virenschutz und Firewall-Zonen speziell für Webserver. Als weiterer Fall werden Mobilgeräte genannt. Umsicht bei Laptops im Außendienst und Mobile Device Management für Smartphones können hier Abhilfe schaffen.
Nicht sehr sorgfältig handelt beispielsweise eine Unternehmensberatung, die seine Berater mit ungeschützten Notebooks ins Feld schickt. Einmal das Gerät im Zug vergessen - schon fallen einem unehrlichen Finder Namen und Finanzdaten der Kundschaft in die Hände. Wenn Schwergewichte der Industrie von so einem Verlust betroffen sind, können die Folgeschäden schnell in die Millionen gehen. In Rechnung gestellt werden beispielsweise Krisenkommunikation, Rechtsanwälte und das Monitoring von Bankkonten.
Mit einer handelsüblichen Verschlüsselung der Festplatte wären die Inhalte für Unbefugte nicht verwertbar gewesen. Noch nicht einmal nach der sonst so strengen neuen EU-Datenschutzverordnung wäre hier eine Meldung nötig. Insofern überrascht die Botschaft "Laptop-Diebstahl" eines grossen Sachversicherers, der laut eigner Webseite in einem solchen Fall die Regulierung übernommen hat.
Häufig bekommen IT Abteilungen noch Extra-Aufgaben von Gesetzgebern und Industrieverbänden. Das betrifft beispielsweise Kreditkarten- und Patienteninformationen, sowie Regeln für Zulieferer von Automobilbauern oder Stromversorgern. Auch die Versicherer können bei einer Befragung zum Schluss kommen, dass Sonderauflagen notwendig sind ehe ein Vertrag zustande kommt. Solche individuellen Klauseln sind bei den heutigen Cyberversicherungs-Policen großer Konzerne eher die Regel als die Ausnahme. Wer solchen Bedingungen nicht nachkommt, riskiert seinen Versicherungsschutz.
- Versicherung gegen Hacker?
Eine Cybersecurity-Versicherung kann Unternehmen im Falle eines Hacker-Angriffs vor finanziellem Schaden schützen. Eine Komplettlösung mit Rundum-Schutz gegen jegliches Risiko ist aber auch diese nicht. Auf die folgenden fünf Dinge sollten CIOs vor Abschluss einer Police achten. - 1. Kronjuwelen schützen
Eine Cybersecurity-Versicherung legt einen Teil des finanziellen Risikos einer Cyberattacke auf die Versicherungsgesellschaft um. Dabei unterscheidet man zwischen der first-party-insurance, die einer Vollkaskoversicherung ähnelt. Abgedeckt sind im Regelfall Schäden an digitalem Content, Geschäftsausfall und in manchen Fällen auch Reputationsschäden. Das Pendant zur sogenannten third-party-insurance wäre die Haftpflichtversicherung: Sie deckt im Regelfall zum Beispiel Ermittlungs- und Anwaltskosten, sowie Entschädigungs- oder Strafzahlungen ab. Das Problem: Das Spektrum einer Cyberattacke ist so breit, dass eine Absicherung gegen alle Risiken schlicht unmöglich ist. Der beste Weg für CIOs: die digitalen Kronjuwelen des Unternehmens identifizieren, quantifizieren und das Restrisiko versichern. - 2. Marktunterschiede Europa / USA: Marktunterschiede
Der Markt für Cybersecurity-Versicherungen ist in den USA wesentlich reifer als in Europa. Das liegt in erster Linie daran, dass in den USA bereits eine Meldepflicht bei Cyberattacken besteht. Mit dem Inkrafttreten der EU-Datenschutzrichtlinie wird sich das ändern. In den USA sind die third-party-insurances momentan deutlich gefragter als in Europa. Studien zufolge sind rund 30 Prozent aller großen und circa 10 Prozent aller US-Unternehmen mit einer Cybersecurity-Versicherung ausgestattet. - 03. Auf den Wortlaut achten
Bevor Sie eine Police abschließen, sollten Sie sich genau über die abgedeckten Risiken kundig machen - auch im Hinblick auf bereits bestehende Versicherungen! Eventuell gibt es hier - unnötig Kosten verursachende - Überschneidungen. Im Idealfall sollten sie Ihren Versicherungsmakler damit beauftragen, eine Police zu finden die exakt auf die Ansprüche Ihres Unternehmens zugeschnitten ist. - 4. Schaden trotz Versicherung?
Es gibt Bereiche, für deren Schutz eine Cybersecurity-Police nicht beziehungsweise nur unzureichend geeignet ist. Den Diebstahl geistigen Eigentums oder die Beschädigung der geschäftlichen Reputation durch eine Cyberattacke kann eine Versicherung zwar teilweise finanziell kompensieren - aber kaum wiedergutmachen. Inzwischen ist in der Industrie eine Diskussion darüber entbrannt, ob dies auch im Fall eines staatlich unterstützten Cyberangriffs gilt. - 5. Raum für Verbesserungen
Im Idealfall sollte eine Cybersecurity-Versicherung Unternehmen dazu motivieren ihre Sicherheitsstandards anzuheben, um von niedrigeren Versicherungsprämien zu profitieren. Allerdings fehlen den Versicherern bislang die statistischen Daten und Erkenntnisse, um solche kundenspezifischen Preismodelle anbieten zu können.