Viele CISOs schließen heute eine Cyberversicherung oder eine Cyberhaftpflichtversicherung in ihre Risikomanagement-Strategie für Cybersicherheit ein. Die Leistung einer Cyberversicherung kann eine wichtige Rolle dabei spielen, mit welchen Maßnahmen ein Unternehmen die finanziellen und operativen Folgen eines Cyberzwischenfalls kompensiert. Laut dem aktuellen Hiscox Cyber Readiness Report haben etwa 41 % der europäischen und US-Unternehmen bereits eine Cyberversicherung abgeschlossen.
Welche Vorteile bietet eine solche Versicherung? Bei einer größeren Datenschutzverletzung oder einer Ransomware-Attacke fällt es Unternehmen möglicherweise schwer, den Geschäftsbetrieb wiederherzustellen, wenn sie lediglich auf die tagtäglich genutzten, knapp bemessenen Ressourcen zurückgreifen. Eine Cyberversicherung kann die Kosten für die Behebungsmaßnahmen nach einem Cyberzwischenfall senken, seien es Kosten für rechtliche Unterstützung, Untersuchungen, Krisenkommunikation, Kundenkredite oder Rückerstattungen.
Viele Sicherheitsverantwortliche machen sich verstärkt Gedanken über die Vorteile einer Cyberversicherung, da der Trend zu Remote- und Hybrid-Arbeitsplätzen weiterhin anhält. Ihnen bereitet die Verbreitung der geschäftskritischen und vertraulichen Informationen wie Kundenkontakte und Kreditkartennummern Sorgen, die im Internet kursieren und das Risiko eines Cyberangriffs erhöhen.
Datenschutzgesetze und andere Vorschriften erhöhen den Druck auf Unternehmen – und die Versicherer
Die Sicherheitsrisiken durch Remote- und Hybrid-Arbeitsplätze beschäftigen jedoch nicht nur Sicherheitsverantwortliche. In den vergangenen Jahren haben Regierungen und Aufsichtsbehörden den Druck auf Unternehmen erhöht, die personenbezogenen Informationen von Bürgern besser zu schützen – und bei einem Zwischenfall die Verantwortung dafür zu übernehmen. Der Bundesstaat Kalifornien hat im Februar 2020 sogar einen Gesetzesentwurf verabschiedet, der alle Unternehmen, die mit dem Bundesstaat zusammenarbeiten und Zugriff auf personenbezogene Daten haben, zum Abschluss einer Cyberversicherung verpflichtet (zum Weiterlesen: Was sind personenbezogene Daten?).
Die wachsende Zahl strenger Datenschutzgesetze, wie den unten genannten, motiviert einige Versicherer sogar, sich auf Cybersicherheitsversicherungen zu konzentrieren:
- Australien: Datenschutzgesetz (Data Privacy Act) und Grundsatz über meldepflichtige Datenschutzverletzungen (Notifiable Data Breach Scheme)
- Weltweit geltender Sicherheitsstandard für Zahlungskartendaten: Payment Card Industry Data Security Standard (PCI DSS)
- US-Gesetz über die Nutzung von Gesundheitsdaten: Health Insurance Portability and Accountability Act (HIPAA) von 1996
- Datenschutz-Grundverordnung (DSGVO) der Europäischen Union
Cyberversicherungen können zuverlässige Präventionsstrategien nicht ersetzen
Cyberversicherern fällt es schwer, die Deckung an die Realität anzupassen, da die Verluste so hoch sind. Deshalb haben sie schon mehrfach Versicherungsanträge und Ansprüche abgelehnt oder die Prämien erhöht, wenn die Unternehmen nicht nachweisen konnten, dass sie geeignete Präventivmaßnahmen implementiert haben. Gleichzeitig sollte darauf hingewiesen werden, dass technische Kontrollen nicht genügen, um viele Risiken durch den Faktor Mensch oder riskantes Verhalten zu minimieren. Gleichzeitig wird die aktuelle Bedrohungslandschaft von Social-Engineering-Taktiken dominiert.
Unternehmen müssen sich mit dem Kleingedruckten in ihren Cyberversicherungsunterlagen vertraut machen. Möglicherweise stellen sie dann fest, dass Datenverluste oder Kosten infolge eines BEC-Angriffs (Business Email Compromise) nicht abgedeckt sind. Viele Cyberversicherungen decken keine Zwischenfälle ab, die ihrer Meinung nach mit Fälschung, Computerbetrug, Social Engineering, Lösegeldforderungen oder Überweisungsbetrug zusammenhängen.
Wenn Sie mehr über aktuelle Cybersicherheitstrends erfahren möchten, laden Sie den aktuellen Proofpoint-Bericht zum Faktor Mensch herunter.