
Cyberversicherungen stellen eines der wachstumsstärksten Segmente des Versicherungsmarktes dar. Immer mehr Unternehmen versuchen, sich gegen absehbare und unabsehbare Risiken in Verbindung mit Datendiebstahl und -manipulation, Online-Spionage oder Ausfallzeiten aufgrund von Cyberangriffen abzusichern. Doch nach Beobachtungen von Radware hält nicht jede dieser Versicherungen das, was der Kunde sich davon verspricht. Das liegt laut Radware nicht unbedingt nur an der Versicherung, sondern oft auch an der Erwartungshaltung des Kunden.
So sind viele Policen vor allem darauf ausgelegt, die Kosten im Zusammenhang mit dem Verlust von Kundendaten zu decken, wie z.B. die Unterstützung eines Unternehmens bei der Kreditprüfung oder der Deckung von Rechtsberatung und Gerichtskosten. Viele andere Risiken bleiben dabei unversichert. Zum Beispiel berufen sich die Versicherer zunehmend auf eine „Kriegsausschluss“-Klausel, die sie vor Kosten im Zusammenhang mit Kriegsschäden schützt, ohne dass diese Kriegsschäden detailliert spezifiziert werden. Angesichts der Zunahme der von Nationalstaaten initiierten Angriffe kann dies für den Versicherten eine große Deckungslücke bedeuten. So weigerten sich beispielsweise die Versicherungen von Mondelez und Merck, Schäden von mehreren hundert Millionen Dollar durch die NotPetya-Attacken zu ersetzen, da die US-Regierung Russland für diese Angriffe verantwortlich machte und die Schäden als Kollateralschaden im Cyberwar angesehen wurden. Sowohl Mondelez als auch Merck wehren sich vor Gericht dagegen, aber diese Fälle werden wahrscheinlich Jahre dauern und immense Anwaltskosten bedingen, bis sie gelöst sind.
Ausschlüsse auch in Deutschland
Dieses Problem ist nicht auf die USA beschränkt – auch die Allgemeinen Versicherungsbedingungen für die Cyberrisiko-Versicherung (AVB Cyber) des Gesamtverbandes der Deutschen Versicherungswirtschaft e.V. (GDV) schließen Versicherungsfälle oder Schäden aufgrund von Krieg ausdrücklich aus. Zwar sind Versicherer an diese Musterbedingungen nicht gebunden, aber die individuellen Bedingungen werden in der Regel nicht stark davon abweichen.
„Neben dem Ausschluss gewisser Risiken müssen Unternehmen sich aber auch zwingend mit den weiteren Bedingungen solcher Cyberversicherungen beschäftigen„, kommentiert Michael Tullius, Regional Director DACH bei Radware. „Ebenso wie die Hausratversicherung nicht einen Cent zahlen wird, wenn Diebe auf offene Fenster und Türen treffen, wird auch keine Cyberversicherung eintreten, wenn nicht alle zumutbaren Vorkehrungen getroffen wurden, um den Schadensfall zu vermeiden. Eine Cyberversicherung kann eine sinnvolle Ergänzung von Abwehrmaßnahmen auf dem aktuellen Stand der Technik sein, aber niemals ein Ersatz dafür. Da gibt es oft eine trügerische Sicherheit.“
Für Unternehmen bedeutet dies, dass sie die Sicherheit priorisieren müssen, statt sie als Add-on zu betrachten oder zu warten, bis sie von einem Angriff getroffen wurden. Insbesondere empfiehlt Radware zum Schutz vor Cyberangriffen:
Installation eines umfassenden DDoS-Schutzes und von Lösungen für die Sicherung von Anwendungen. Solche Lösungen optimieren den Geschäftsbetrieb, minimieren die potentielle Verringerung der Servicequalität und helfen, Ausfallzeiten zu vermeiden.
Schulung von Mitarbeitern. Arbeitgeber sollten ihre Mitarbeiter über gängige Methoden von Cyberattacken (wie Phishing-Kampagnen) informieren und vor Links und Downloads aus unbekannten Quellen warnen. Das mag einfach klingen, wird aber oft übersehen.
Prinzip der geringsten Berechtigungen. Dies gilt insbesondere für Unternehmen, die in einer Public Cloud-Umgebung tätig sind oder in eine solche migrieren. Überhöhte Berechtigungen sind die größte Bedrohung für Cloud-basierte Daten und Anwendungen.
Multi-Faktor-Authentifizierung. Die Notwendigkeit einer Multi-Faktor-Authentifizierung wird seit Jahren betont, aber immer noch zu wenig berücksichtigt. Multi-Faktor-Authentifizierung mag wie ein Ärgernis für Anwender erscheinen, aber sie ist ein wertvoller Beitrag zum Schutz des Netzwerks.
Viele dieser oder ähnlicher Maßnahmen nennen auch die AVB Cyber des GDV als Voraussetzungen für den Versicherungsschutz – ein Verstoß dagegen entspricht der offenen Tür bei der Hausratversicherung. Versicherungsschutz wird daher in Zukunft nur unter Auflagen in Bezug auf die Informationssicherheit zu bekommen sein.
Weitere Informationen finden Sie unter www.radware.com
Fachartikel

Das Aktualisieren von Software-Agenten als wichtige Praktik der Cyberhygiene auf MSP-Seite

Kosteneinsparungen und Optimierung der Cloud-Ressourcen in AWS

CVE-2023-23397: Der Benachrichtigungston, den Sie nicht hören wollen

Wie sich kleine und mittlere Unternehmen proaktiv gegen Ransomware-Angriffe wappnen

Attraktivität von MSP-Geschäftsmodellen gegenüber Investoren gezielt steigern
Studien

Studie zeigt 193 Millionen Malware-Angriffe auf Mobilgeräte von Verbrauchern im EMEA-Raum

2023 State of the Cloud Report

Trotz angespannter Wirtschaftslage: die Security-Budgets steigen, doch der IT-Fachkräftemangel bleibt größte Hürde bei Erreichung von Security-Zielen

BSI-Studie: Viele Software-Produkte für Onlineshops sind unsicher

Wie Cloud-Technologie die Versicherungsbranche revolutioniert
Whitepaper

Aktueller Datenschutzbericht: Risiko XXL am Horizont

Vertrauen in die Lieferkette durch Cyber-Resilienz aufbauen

TXOne Networks und Frost & Sullivan veröffentlichen Jahresbericht 2022 über aktuelle Cyberbedrohungen im OT-Bereich

Fast die Hälfte aller Organisationen im Gesundheitswesen von Datensicherheitsverletzungen betroffen

Ransomware-Gruppe LockBit steckt am häufigsten hinter der illegalen Veröffentlichung gestohlener Daten
Unter4Ohren

Optimierung der Cloud-Ressourcen und Kosteneinsparungen in AWS

DDoS – der stille Killer

Continuous Adaptive Trust – mehr Sicherheit und gleichzeitig weniger mühsame Interaktionen

Datenschutz und -kontrolle in jeder beliebigen Cloud bei gleichzeitiger Kostensenkung, Reduzierung der Komplexität, Verbesserung der Datenverfügbarkeit und Ausfallsicherheit
