Durch stark steigende Cyberangriffe und folglich hohe Schadenzahlen ist es für Unternehmen schwieriger geworden, eine Cyberversicherung abzuschließen. Aber welche Rolle spielt eine solche Versicherung überhaupt im Kontext des eigenen IT-Sicherheitskonzeptes? Alexandra Köttgen, Stellvertretende Bereichsleiterin des Industriebereiches Digital Risks bei Funk, und Andreas Pankow, CEO der DGC Switzerland AG, erklären, worauf es heute bei der Informationssicherheit ankommt und wie der Risikotransfer in Richtung Cyberversicherer gelingen kann.
Wie schätzen Sie die Gefahr für Unternehmen ein, Opfer einer Cyberattacke zu werden?
Andreas Pankow: Wir sehen einen signifikanten Anstieg von Cyberangriffen. Dies lässt sich sowohl auf die aktuelle geopolitische Situation zurückführen als auch auf das seit einigen Jahren kontinuierlich wachsende Gefahrenpotenzial aufgrund des exponentiellen Voranschreitens der Digitalisierung. In der Praxis zeigt sich das etwa daran, dass unsere Experten unter anderem mit unserem IT-Sicherheitstool cyberscan.io® eine stark ansteigende Zahl an Schwachstellen feststellen. Gleichzeitig sehen wir eine deutlich gestiegene Menge an Phishing Mails, die als Frühindikator für eine zunehmende Bedrohungslage zu sehen sind. Über fingierte E-Mails und Links versuchen Angreifer sich Zugang zu Systemen zu verschaffen oder unwissende Mitarbeitende zunächst zur Freigabe vertraulicher Informationen zu verleiten, um später einen Cyberangriff durchzuführen.
Für mittelständische Unternehmen besteht die akute Gefahr vor allem darin, dass sie kaum auf die Dynamik und Tragweite der Digitalisierung vorbereitet sind. IT-Sicherheit wurde bei beschleunigten Digitalisierungsprozessen während Corona, aber auch im Zuge des Generationenwechsels in der Unternehmensführung nicht im nötigen Umfang mitgedacht – teils aus Unwissenheit, teils aus Zeitnot und Fachkräftemangel. Die meisten Unternehmen sind weder personell noch infrastrukturell gegen wachsende IT-Risiken gewappnet. Fakt ist jedoch, dass in Deutschland alle 30 Sekunden ein erfolgreicher Cyberangriff auf den Mittelstand stattfindet. Auf diese toxische Situation sollten Entscheider reagieren.
Alexandra Köttgen: Diese Einschätzung kann ich aus Sicht eines Versicherungsmaklers und Risikoberaters im Bereich Informationssicherheit nur bestätigen. Wir sehen bei Funk seit einigen Jahren stark steigende Schadenzahlen, die wir an Cyberversicherungen melden. Der Anstieg ist enorm: qualitativ, aber vor allem quantitativ.
it-sa Expo&Congress – 25.10. – 27.10.:
Treffen Sie die beiden Experten in Nürnberg
Mehr Insights zum Thema „Cyberversicherung: Mit dem richtigen IT-Sicherheitskonzept zum Risikotransfer“ erfahren Sie im Rahmen des gemeinsamen Expertentalks von Alexandra Köttgen und Andreas Pankow auf der it-sa Expo&Congress in Nürnberg.
Brauchen mittelständische Unternehmen deshalb eine Cyberversicherung?
Alexandra Köttgen: Das Interesse an Cyberversicherungen ist angesichts der Bedrohungslage deutlich angestiegen. Vielerorts findet ein Umdenken statt, was die Bedeutung von IT-Sicherheit angeht. Wir sehen aber noch großen Nachholbedarf bei der Einführung notwendiger Maßnahmen sowie bei der kontinuierlichen Verbesserung dieser Standards. Entscheider sollten wissen, dass für diese wichtigen Aufgaben entsprechende Budgets geschaffen werden müssen. Eine Cyberversicherung ist dabei als letzter logischer Schritt zu sehen. Für den erfolgreichen Abschluss müssen bestehende Sicherheitsstandards laufend optimiert und an neue Anforderungen angepasst werden – das fordern die Anbieter heute so. Erst wenn diese Rahmenbedingungen erfüllt und die Awareness auch auf Führungsebene gegeben ist, erweist sich eine Cyberversicherung als sinnvolle und wichtige Ergänzung.
Andreas Pankow: Unternehmen brauchen also in erster Linie ein schlüssiges IT-Sicherheitskonzept. Dieses sollte sich von der Prävention über den alltäglichen Umgang mit Schwachstellen und Angriffen bis zur Reaktion mit sämtlichen Aspekten der Cybersicherheit beschäftigen. Denn eines ist klar: Eine Cyberversicherung deckt ein Restrisiko – und es wird selbst bei größten Bemühungen immer eines geben – nur dann ab, wenn im Vorfeld wirklich alle möglichen Sicherheitsmaßnahmen ergriffen wurden.
Das Restrisiko begründet sich vor allem darin, dass Entwicklern und Programmierern von Software-Unternehmen im Durchschnitt nach 1.000 Zeichen, die gecodet wurden, Fehler unterlaufen. Angesichts der rasant fortschreitenden Digitalisierung, schneller Release-Zyklen und ständig neuen Updates entstehen so immer wieder neue Sicherheitslücken in Softwareprodukten oder Netzwerkumgebungen. Nicht immer gelingt es den Herstellern, Cybersicherheitsexperten sowie ethischen Hackern, diese Lücken rechtzeitig ausfindig zu machen. Es kommt vor, dass bislang unbekannte Schwachstellen vorher von Cyberkriminellen ausgenutzt werden – wir sprechen in diesem Kontext von Zero-Day-Exploits. Damit verbundene Unwägbarkeiten zu versichern, erweist sich daher in der Kombination mit einem schlüssigen Sicherheitskonzept als zielführend.
Wie reagiert der Cyberversicherungsmarkt auf die angespannte IT-Sicherheitslage?
Alexandra Köttgen: Die Versicherer sehen sich mit einer Vielzahl von Schadensmeldung konfrontiert. Das hat 2021 etwa dazu geführt, dass einzelne Versicherer ihre kompletten Prämieneinnahmen durch Schadenzahlen und Reserven schon im Januar aufgebraucht hatten. Darauf hat der Markt mit massiven Prämienanpassungen von teils über 100 Prozent reagiert. In einigen besonders drastischen Fällen haben wir sogar Prämienanpassungen von bis zu 3.000 Prozent gesehen.
Stark verändert haben sich auch die Versicherungskapazitäten: 2015 war es noch möglich, Kapazitäten von 25 Millionen Euro und mehr bei einem Risikoträger einzukaufen. Davon sind wir heute meilenweit entfernt. Inzwischen können nur noch fünf Millionen Euro, bei einzelnen Anbietern auch zehn Millionen Euro, pro Cyberversicherer abgesichert werden.
Zusätzlich haben Versicherer die Anforderungen an IT-Sicherheitsmaßnahmen erhöht.
Insgesamt mag diese Entwicklung für Unternehmen ärgerlich sein. Sie sorgt aber auch für deutlich mehr Transparenz, da sehr klar kommuniziert wird, was zu welchem Wert versichert werden kann – und was nicht.
Andreas Pankow: Auch die DGC beobachtet einen Paradigmenwechsel auf dem Markt, der von dem ursprünglichen Ausfüllen eines einfachen Fragebogens bis zur heutigen tiefgreifenden IT-Sicherheitsprüfung reicht. Cyberversicherer streben damit an, Schadenfälle signifikant zu reduzieren, sonst würde sich ihr Geschäftsmodell künftig kaum noch rentieren. Folglich müssen Unternehmen heute weitaus höheren Sicherheitsstandards entsprechen.
Was sollten Unternehmen tun, um Zugang zu einer Cyberversicherung zu erhalten?
Alexandra Köttgen: Den Versicherern geht es kurz zusammengefasst darum, dass sich Unternehmen eigenständig mit dem Gesamtkomplex Informationssicherheit und der wachsenden Bedrohungslage auseinandersetzen, um notwendige Gegenmaßnahmen zu veranlassen. Aktuell liegt der Fokus der Cyberversicherungen stark auf dem Bereich Ransomware-Resilienz: Es wird genau hingeschaut, wie Unternehmen im Bereich Schwachstellen- und Patchmanagement aufgestellt sind. Derzeitige Must-haves für den Versicherungsabschluss sind zudem Mehrfaktorauthentifizierung und Notfallplanung.
Andreas Pankow: Unternehmen sollten die erwähnten Themen strategisch und ganzheitlich angehen. Neben Penetrationstests, mit denen die IT-Infrastruktur tiefgehend auf Schwachstellen durchsucht wird, geht es beispielsweise um ein kontinuierliches Schwachstellen-Monitoring. Hierbei muss sichergestellt sein, dass ausreichend personelle Ressourcen und Expertenwissen für die Interpretation gefundener Schwachstellen sowie für das reaktionsschnelle Schließen vorhanden sind. Diese wichtige Aufgabe sollte immer in Zusammenarbeit mit einem spezialisierten Dienstleister angegangen werden.
Im Zuge dessen ist es essentiell, sämtliche Mitarbeitenden im Rahmen von Security Awareness Trainings und anderen Schulungsmaßnahmen für dieses Thema zu sensibilisieren. Sämtliche Mitarbeitende müssen kontinuierlich über Gefahren aufgeklärt und für den Umgang mit Risiken sowie für die Nutzung von Tools geschult werden.
Wie unterstützen die Funk Gruppe und die DGC dabei, das IT-Sicherheitsniveau und die Resilienz gegen Cyberangriffe zu erhöhen?
Alexandra Köttgen: Wir versuchen unsere Kunden bestmöglich auf den Risikotransfer vorzubereiten und starten mit einer detaillierten Bestandsaufnahme der technischen und organisatorischen IT-Maßnahmen. Darauf basierend können wir bewerten, ob ein Unternehmen die Anforderungen des Versicherungsmarktes erfüllt. Sollte ein Risikotransfer nicht möglich sein, stellen wir Gap-Analysen zur Verfügung, um aufzuzeigen, woran es hapert. Da es immer wieder vorkommt, dass Unternehmen die erforderlichen Bereiche der IT-Sicherheit nicht selbst optimieren können, sprechen wir Empfehlungen für Dienstleister aus. Hierfür haben wir vertrauensvolle Kooperationen wie die mit der DGC aufgebaut. So können unsere Kunden jene Leistungen einkaufen, die zur bestmöglichen Implementierung der erforderlichen Maßnahmen und letztlich zum erfolgreichen Versicherungsabschluss führen. Ein gutes Beispiel hierfür ist cyberscan.io®: Mittels dieser externen Schwachstellen Scans bereiten wir unsere Kunden bestmöglich auf die Risikoprüfung durch die Versicherer vor, da diese vergleichbare Tools nutzen.
Andreas Pankow: Die DGC unterstützt Unternehmen bei der Etablierung höchster Sicherheitsstandards entlang der gesamten Wertschöpfungskette. Idealerweise geschieht dies im Rahmen unseres Partnerschaftsmodells, bei dem wir aufgrund der engen Zusammenarbeit mit unseren Kunden auch von Cyber Security Partnerschaften sprechen. Unternehmen erhalten ein individuelles Cyber Security-Paket und damit die Produkte und Services, die zu der eigenen kontinuierlichen Überwachung der IT-Infrastruktur und für den Rundumschutz wichtig sind.
Im Bereich der Prävention unterstützen wir in Form von Pentests und Analysen der IT-Infrastruktur auf Schwachstellen. Dies geschieht automatisiert durch unseren Schwachstellenscanner cyberscan.io® sowie manuell durch unsere sogenannten Penetrationstester.
Das Cyber Defense Operation Center Team (CDOC) bietet als SOC-as-a-Service Dienstleistungen für alle Unternehmensgrößen an – von der 24/7 Überwachung über Security Awareness Trainings zum Thema Phishing und weiteren Social Engineering-Taktiken bis zum Bereich Incident Response und Forensik. Damit kommen wir dem Bedürfnis vieler IT-Verantwortlicher nach, nur mit einem IT-Security-Partner zusammenzuarbeiten, um ein Sicherheitskonzept mit smart ineinandergreifenden Lösungen zu erstellen und kontinuierlich zu optimieren.
Welche Fehler gilt es beim Schadenshandling von Cyberangriffen zu vermeiden?
Alexandra Köttgen: Bei einem Versicherungsschaden ist es wichtig zu wissen, dass allen beteiligten Akteuren Fehler unterlaufen können. Die enge Kooperation und Koordination zwischen allen Beteiligten – dem Versicherungsnehmer, involvierten Dienstleister, Versicherer und Makler – sind daher essenziell. Auf Seiten des Unternehmens sind die Wiederherstellungspläne enorm wichtig. Auf Dienstleisterseite gilt es die Verfügbarkeit und Response-Zeiten im Blick zu behalten, da es enorme Konsequenzen haben kann, wenn ein Unternehmen nicht schnell genug reagiert.
Andreas Pankow: Fundamental wichtig ist es, sinnvolle Notfallpläne etabliert zu haben und auf Basis der entsprechenden Prozesse und Verantwortlichkeiten effizient und effektiv zu reagieren. Nur so ist ein Unternehmen in der Lage, möglichst schnell wieder produktiv tätig sein zu können.
Dies geht meist über die Wiederherstellung der eigenen Systeme hinaus. So muss beispielsweise ein mit einer Cyberattacke sehr häufig einhergehender Datenschutzverstoß rechtzeitig, vollständig und im richtigen Format gemeldet werden. Dafür gibt es eine gesetzliche Frist von 72 Stunden, andernfalls drohen rechtliche Konsequenzen.
Parallel läuft nicht selten eine Deadline von den Erpressern ab: auch hier muss in vielerlei Hinsicht schnell und konsequent reagiert werden.
Um weitere empfindliche Kosten zu vermeiden, sollten Unternehmen zudem bestrebt sein, den Betrieb so schnell wie möglich wieder zum Laufen zu bringen und IT-Systeme wiederherzustellen. Das gelingt jedoch nur mit den bereits erwähnten Notfallplänen im Rahmen der Disaster Recovery.
Sie wollen Ihre IT-Sicherheitsstandards erhöhen und fragen sich, wie das bestmöglich gelingt? Wir beraten Sie gerne – kontaktieren Sie uns.
