Balance aus Budget und Risiko finden

Cybersecurity-Versicherung – die trügerische Sicherheit

Versicherung
LinkedInRedditWhatsAppPocket

Cybersecurity-Versicherungen helfen Unternehmen dabei, sich für den Fall eines erfolgreichen Cyberangriffs abzusichern. Zum Abschluss einer Versicherung sind jedoch mittlerweile hohe Sicherheitsstandards erforderlich – und die Kostenübernahme bei einem Vorfall ist keineswegs garantiert.

Welche Bedingungen müssen Unternehmen erfüllen, um eine Versicherung abzuschließen? Wann lohnen sich die Kosten und wann ist es sinnvoller, das Budget stattdessen in die eigene IT-Security-Strategie zu investieren?

Anzeige

Cyberangriffe stellen für Unternehmen jeder Größe und Branche eine erhebliche Bedrohung dar. Für einige Verantwortliche ist es daher sinnvoll, eine sogenannte Cyberversicherung abzuschließen. Anbieter decken dann etwa finanzielle Schäden ab, die durch Datenverluste, Betriebsunterbrechungen oder Lösegeldforderungen entstehen. Darüber hinaus können sie die Kosten für forensische Untersuchungen, Datenwiederherstellung und Krisenmanagement übernehmen sowie Haftpflichtansprüche Dritter abdecken, wenn Kundendaten betroffen sind. Nicht zuletzt bieten sie Unterstützung bei PR-Maßnahmen zur Schadensbegrenzung und zum Schutz der Reputation.

Achtung auf das Kleingedruckte bei Cyberversicherungen

Angesichts des hohen Risikos von Cyberattacken klingen die Angebote der Versicherer auf den ersten Blick sehr vielversprechend. Doch beim Abschluss einer Cyberversicherung gibt es einiges zu beachten. So können die Prämien sehr teuer werden, insbesondere wenn eine bestimmte Unternehmensgröße erreicht wird oder das Unternehmen in einer kritischen Branche tätig ist. Eine abgeschlossene Cyberversicherung bietet zudem keineswegs eine garantierte Absicherung. Denn Versicherer übernehmen nicht per se alle Schäden. Selbstverschulden oder grobe Fahrlässigkeit können beispielsweise zum Ausschluss führen. Das gilt ebenfalls, wenn der Schaden vorhersehbar war. Was das konkret bedeutet, entscheidet der Versicherer im Einzelfall. Ein weiteres Ausschlusskriterium ist es, wenn Unternehmen Gegenmaßnahmen einleiten, ohne sich vorher die Zustimmung der Versicherung einzuholen – was in Anbetracht eines echten Notfalls, wenn die IT schon in Flammen steht, zu einer Zwickmühle führt. Auch Deckungslücken bei externen Dienstleistern gilt es näher zu betrachten.

Unabhängig von Policen: In moderne Security-Architektur investieren

In über 70 Prozent der Fälle werden Unternehmen bereits vorab von Versicherern abgelehnt, da sie wichtige Sicherheitskriterien nicht erfüllen. In jedem Fall müssen Firmen also in eine intelligente Sicherheitsstrategie und proaktive Sicherheitsmaßnahmen investieren. Dazu gehören etwa Incident-Response-Vorkehrungen sowie klare Prozesse und Verantwortlichkeiten. Auch Mitarbeiterschulungen sind unerlässlich, um Phishing und Social Engineering zu verhindern. Managed Detection and Response (MDR) und SOC as a Service (Security Operations Center) helfen zudem dabei, Angriffe frühzeitig zu erkennen und abzuwehren. Auf diese Weise reduziert sich das Risiko enorm, dass durch Cyberangriffe geschäftskritische Kosten und Schäden entstehen.

Anzeige
Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.

Know-how von externen Experten nutzen

Der Aufbau und Betrieb eines eigenen SOC ist äußerst komplex und erfordert Know-how – gerade, wenn es darum geht, die Compliance mit den Anforderungen einer Cyberversicherung sicherzustellen. Es empfiehlt sich daher, einen Partner zu wählen, der MDR- und SOC-Dienste aus einem eigenen Cyber Defense Center heraus betreibt und branchenführende Technologie einsetzt. Er sollte in der Lage sein, herstellerunabhängig Logquellen aus verschiedenen Infrastruktursystemen und Cloud-Umgebungen anzubinden. Denn die Sicherheitsstrategie sollte individuell auf die Anforderungen des Unternehmens zugeschnitten sein.

Fazit: Balance aus Budget und Risiko finden – im Zweifel für die Cybersecurity-Lösung

Um eine Cyberversicherung abzuschließen, müssen Unternehmen eine umfassende IT-Sicherheitsstrategie vorweisen können. Firmen sollten daher individuell abwägen, ob sich Kosten und Nutzen einer Cyberversicherung lohnen. Allgemein gilt: Solange das Budget vorhanden ist und nicht zu viele Ausschlusskriterien durch eine Cyberversicherung bestehen, erweist sich die Kombination aus Cyberversicherung und durchdachten IT-Sicherheitsmaßnahmen als die beste Lösung. Gibt es jedoch Budgetrestriktionen und muss man sich für das eine oder das andere entscheiden, ist eine direkte Investition in die eigene IT-Security-Strategie die bessere Wahl. Empfehlenswert ist in jedem Fall der Einsatz von modernen Security Services wie MDR und SOC. Externe Experten helfen hier bei der Implementierung und unterstützen dabei, die Anforderungen von Versicherern zu erfüllen.


Frank Pütz

Frank

Pütz

CEO

indevis

Anzeige

Artikel zu diesem Thema

Nur die wenigsten haben eine Cyberversicherung

Weitere Artikel

PQC – Wie Sie Ihre PKI bereit für das Quantenzeitalter machen
So schaffen Unternehmen eine sichere Einstiegskultur
Datenleck bei Dating-Apps: Private Fotos ungeschützt im Netz
Fast Flux: Herausforderung für die Cybersicherheit
Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.