Sicherheitsstrategie: Cyber-Versicherer beobachten erhebliche Defizite

2020 war in vielerlei Hinsicht ein besonderes Jahr – auch für die Cyber-Versicherung. Dies hat drei wesentliche Gründe.

1. Die Pandemie war und ist ein Treiber der Digitalisierung. Zum einen wurden Arbeitnehmer in Scharen ins Homeoffice versetzt zum anderen haben zahlreiche Unternehmen schlagartig festgestellt, dass das Internet und digitale Kommunikation die Einschränkungen des Lockdowns zumindest teilweise ausgleichen können. Unternehmen, die bereits stärker digitalisiert waren, hatten Wettbewerbsvorteile. Damit steigt jedoch auch die Abhängigkeit vom Internet, von Daten und EDV-Systemen.

Anzeige

2. Die Verwundbarkeit steigt. Das Ausmaß der Schäden hat insbesondere seit 2019 drastisch zugenommen. Zwar zeigen Statistiken und Studien, dass die Anzahl der Vorfälle sich verringerte, doch sind die Angriffe erfolgreicher geworden. Das heißt, der Schaden, der aus den Angriffen resultiert, hat sich deutlich erhöht. Auch bei mittelständischen Unternehmen sind nicht selten Schäden im Millionen Euro-Bereich zu verzeichnen.

3. Die Cyber-Versicherung hat sich inzwischen auf dem Markt etabliert – damit kommen die oben genannten Schäden aber auch zunehmend bei den Versicherern an. Bei dem noch jungen Portfolio bedeutet das aber auch, dass das Kollektiv in der Cyber-Versicherung noch nicht ausreichend gewachsen ist, um das Schadenaufkommen allein abzupuffern. Die Versicherer reagierten unverzüglich. Sie hinterfragen heute mehr und tiefergehend vorhandene IT-Strukturen ihrer Kunden, investieren deutlich mehr in die Risikoanalyse und suchen gleichermaßen nach Möglichkeiten, die Risikolage bei den Unternehmen zu verbessern. Das Ziel dieser Maßnahmen: Die Leistungen für den Versichersicherungsnehmer hoch und etwaige Beitragsanpassungen moderat halten.

Aufgrund der verbesserten Risikoanalyse sind auch unsere Einblicke in unterschiedliche Unternehmen tiefer und damit auch detaillierter geworden. Wir beobachten in diesem Zuge leider erhebliche Defizite bei deutschen Unternehmen. In Gesprächen mit unseren Kunden wird uns häufig gespiegelt, dass der gesamte Themenkomplex der IT-Sicherheit über Jahre vernachlässigt wurde. Auch hier hat die Corona-Krise einen Teil zu beigetragen. Budgets mussten umgeshiftet werden und das oft nicht zugunsten des IT-Bereichs.

Anzeige

 

 

Schritt für Schritt für Schritt 

Da jedes Unternehmen individuelle Problemstellungen in Sachen IT-Struktur zu lösen hat, haben wir als Versicherer ein en haben wir als ein mehrschichtiges Verfahren in der Risikoanalyse entwickelt, um die jeweiligen Bedarfe und Bedürfnisse des Kunden zu identifizieren und dann im nächsten Schritt, einen passgenauen Versicherungsschutz zu bieten. Unsere Expertise aus Schadenfällen ermöglicht es uns, die wesentlichen Faktoren der Cyber-Security zu identifizieren. Doch wie gehen wir vor?

Die Ersterfassung des Risikos beginnt mit einer Selbstauskunft. Dafür stellt der Versicherer einen Fragebogen zur Verfügung. Bei komplexen Risiken werden auch Risikogespräche oder -audits durchgeführt. Dabei wird besonders auf die elementaren Sicherheitsmaßnahmen geachtet:

Firewall und Endpoint-Protection setzen wir voraus und sind auch fast überall vorhanden.

Patch-Management: Hier kommt es kommt vor allem darauf an, wie Alt-Systeme isoliert bzw. anderweitig geschützt sind. Solche Systeme gibt es fast noch in jedem Unternehmen.

Backup und Disaster-Recovery: Bei Ransomware-Angriffen ist das die Lebensversicherung von Unternehmen. Dabei glauben viele IT-Verantwortliche immer, dass ein echtes Offline-Backup nicht erforderlich ist. Tatsächlich hat aber die Schadenerfahrung gezeigt, dass insbesondere bei Backup-Konzepten die größten Versäumnisse liegen.

Notfallkonzepte: Wie reagiert das Unternehmen im Falle eines Cyber-Angriffs? Sind Maßnahmen dafür definiert? Damit im Ernstfall das Backup auch gesichert ist oder entscheidende Beweise vor einer Löschung geschützt werden, sollte hier regelmäßig geprüft und ggf. nachjustiert werden. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) setzt allgemeingültige Standards für Notfallkonzepte und passt diese derzeit an den technologischen Fortschritt an.

Mitarbeiter-Awareness: Die Mitarbeitenden sind häufig das Einfallstor für eine Cyberattacke. Bindet man sie aber ein und stattet sie entsprechend aus, können sie auch ein gut funktionierendes Bollwerk gegen Angriffe sein. Daher sollte man die regelmäßige Sensibilisierung z. B. durch web-based Trainings nicht unterschätzen. Wir bei AXA haben dazu mit unserem Partner 8com ein Portal für unsere Kunden eingerichtet, über das sie ihre Belegschaft informieren und schulen können.

Sicherheits-Audits und Pen-Tests: Hilfreich ist, wenn das Unternehmen nachweisen kann, dass Dritte die eigene Sicherheit überprüft haben. Auch wir Versicherer nutzen Möglichkeiten eines Schwachstellen-Scans über das Internet auf die URL bzw. öffentlich verfügbare  Informationen. Der Versicherer kann seine Kunden so schon frühzeitig auf konkrete Probleme aufmerksam machen. Ein einmaliger Scan ist allerdings keine ausreichende Prävention vor Cyberangriffen. Er bildet nur eine Momentaufnahme ab.

SIEM und SOC: Daher ist die nächste Stufe der Sicherheit die Installation einer  kontinuierlichen Netzwerk- und Schwachstellenüberwachung in den internen Netzen. Diese können entsprechende Dashboards liefern und eine schnelle Reaktion bei Sicherheitsvorfällen ermöglichen. Security Information and Event Management (SIEM) und Security Operations Center (SOC) haben sich dazu am Markt etabliert. So kooperiert AXA mit C-SOC und SOCaaS (Security Operation Center as a Service). Das SOC übernimmt die aktive Überwachung und Analyse aller integrierten Systeme, erkennt IT-Schwachstellen, alarmiert bei Bedrohungen und berichtet unverzüglich an die IT-Verantwortlichen – und das zu einem bezahlbaren Preis, auch für kleinere Unternehmen. Ein auffälliger Zugriff kann so bestenfalls in Echtzeit eliminiert, seine Auswirkungen auf jeden Fall minimiert werden. Auf Wunsch kann das SOC aktiv einschreiten, kritische Systeme aus der Gefahrenzone nehmen und so Sicherheitslücken schließen.

Management: Und schließlich spielen das Management-System und die Grundhaltung des Unternehmens zur Informationssicherheit eine wesentliche Rolle. Sind Richtlinien vorhanden und ist sicher gestellt, dass diese umgesetzt werden?  Besteht eine Aufbau- und Ablauf-Organisation für Sicherheit? Wird ein Risikomanagement betrieben? Schließlich befinden sich die IT und die Anforderungen daran in einem stetigen Wandel und die Sicherheitsmaßnahmen müssen dementsprechend immer wieder auf neue Situationen angepasst werden.

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.

Fazit

Rein technische Maßnahmen zur Cyber-Security sind eine sinnvolle Ergänzung aber kein vollumfänglicher Schutz. Die Kombination aus geschultem Personal, gezielten Investitionen und technischen Schutzmaßnahmen bilden den Idealzustand. Wir Versicherer sind mit unseren unterschiedlichen präventiven Services ein begleitender Partner in allen Instanzen und forcieren immer den best case. Und en sollte es doch einmal zum worst case kommen, sind wir der notwendige Krisenmanager und die finanzielle Absicherung.

Dirk Kalinowski, Senior Produktmanager IT- und Cyberrisiken, www.axa.de

Anzeige

Artikel zu diesem Thema

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.