Mit Hauptinhalt fortfahren
main content, press tab to continue
Artikel

Keine Ruhe im Cyber-Versicherungsmarkt: Hacker-Angriffe auf externe Dienstleister nehmen rasant zu

Von Theodoros Bitis | 20. Februar 2024

Angriffe auf digitale Lieferketten halten die Schadenquoten in der Cyberversicherung weiterhin auf einem hohen Niveau und rücken das hauseigene Lieferantenmanagement immer mehr in den Fokus.
N/A

Die Schadenquoten infolge von Ransomware-Vorfällen und Angriffen auf digitale Lieferketten waren 2023 weiterhin hoch. Dennoch bleiben die Prämien im CyberVersicherungsmarkt stabil, denn neue Anbieter machen den etablierten Versicherern Konkurrenz – mit innovativen Konzepten und teilweise kostenlosen Services.

Eine kleine Sicherheitslücke beim Software-Anbieter Progress hatte es in sich: Hacker drangen im Juni 2023 in die Datenaustausch-Software MOVEit ein und erlangten dadurch Zugang zu allen die Software nutzenden Unternehmen und Privatpersonen. Bekannt sind bislang über 60 Millionen betroffene User, deren Daten abgeossen sind – der angeblich größte Dateiübertragungs-Hack aller Zeiten. Die Schäden, die durch einen Datenverlust entstehen, reichen von DSGVO-Verfahren über die Benachrichtigung betroffener Dritter (Kunden, Geschäftspartner, Mitarbeiter) bis hin zu Haftungsverpichtungen gegenüber den Geschädigten.

Für Cyber-Kriminelle ist das effizient und liegt im Trend: lieber einen Cloud-Anbieter angreifen als ein einzelnes Unternehmen – größerer Erfolg bei gleichbleibendem Aufwand. Für Unternehmen verursachen derartige Datendiebstähle jedes Jahr Kosten in Millionen-Höhe.

Haften Unternehmen bei Angriff auf ihren externen Dienstleister?

Die meisten Unternehmen nutzen mittlerweile die Cloud oder lagern Daten an sonstige externe Auftragsdatenverarbeiter aus, um Kosten und IT-Ressourcen zu sparen sowie efzienter mit den Daten umzugehen. Wenn die Systeme Dritter jedoch zum Einfallstor für Hacker werden, wirft dies viele Fragen für Risikomanager und Versicherungsverantwortliche auf. Auch Monate nach dem vermeintlich größten Datendiebstahl des Jahres 2023 steigen die Opferzahlen unter Privatpersonen und Firmen weiter an. Stand Ende Oktober 2023 waren ca. 2.560 Unternehmen vom Datenleck betroffen. Laut Datenschutzgrundverordnung sind sie für die Daten ihrer Kunden, Mitarbeiter und Geschäftspartner verantwortlich und haften bei Verlust – und zwar auch dann, wenn sie diese an einen externen Dienstleister auslagern. Wie können sich Unternehmen vor Haftungsschäden schützen? Was können sie versichern? Und werden sie den hohen IT-Anforderungen der Cyber-Versicherer noch gerecht?

Nur wer seine Risiken kennt, kann sich adäquat absichern – mit Sicherheitsvorkehrungen in der IT ebenso wie mit Deckungskonzepten für die Restrisiken. Der Fahrplan lautet: Risiken erkennen, ITResilienz stärken und verbleibende Risiken mittels Versicherung minimieren.

  1. 01

    Am Anfang steht die Risikoprüfung

    Unternehmen, die sich vor Haftungsschäden schützen wollen, müssen ihr Cyber-Risikoprol und die Bedrohungslage innerhalb ihrer digitalen Lieferkette genau kennen. Um sich einen Überblick über die eigenen Cyber-Verlustpotenziale zu verschaffen, sollten sie auf Daten und datengetriebene Analysen setzen: Leistungsstarke aktuarielle Modelle liefern heute eine umfassende Bibliothek von Cyber-Risikoszenarien – passgenau für einzelne Branchen und Unternehmen. Vorhersage-Tools zeigen auf:

    • welche Cyber-Risiken mit welcher Wahrscheinlichkeit eintreten,
    • in welchem Szenario mit welchen Schäden zu rechnen ist,
    • welchen Umfang und welche Höhe eine angemessene Versicherung haben sollte.

    Zugleich liefert die professionelle Cyber-Risikoquantifizierung übersichtliche Management-Reports zu den ermittelten Cyber-Risiken, zu deren nanziellen Auswirkungen und zu relevanten Versicherungsstrategien.

    Wie der MOVEit-Vorfall eindrücklich zeigt, gehören zum Cyber-Raum einer Organisation auch Partner und Dienstleister. Also gilt es ebenso zu überprüfen, wie die eigenen Lieferanten in puncto Cyber-Sicherheit aufgestellt sind. Externe Dienstleister sollten beispielsweise eine ISO-zertifizierte Informationssicherheit vorweisen können (insbesondere ISO 27001) und darüber hinaus Schutzmechanismen etabliert haben, die einen Zugriff durch unbefugte Dritte verhindern, etwa Multi-Faktor-Authentifizierungen. Das gilt sowohl für große Organisationen als auch kleinere Dienstleister. Sind derartige Schutzmaßnahmen nicht vorhanden, ist es durchaus ratsam, den Anbieter zu wechseln. Durch diese ordnungsgemäße Prüfung und Auswahl der Lieferanten lässt sich das Schadenpotenzial weiter minimieren.

  2. 02

    Digitale Resilienz stärken

    Dennoch können alle Vorsichtsmaßnahmen einen Vorfall nicht gänzlich verhindern. Ein Restrisiko bleibt immer. Eine Cyber-Versicherung deckt zwar alle relevanten Kosten, die aus Betriebsunterbrechungen und Datenschutzverletzungen entstehen. Auch bei einem Angriff auf Auftragsdatenverarbeiter deckt sie sowohl die Kosten für Datenschutzverfahren als auch die Haftpichtansprüche von Kunden, Geschäftspartnern oder Mitarbeitern ab. Ein Einkauf von Versicherungsschutz ist jedoch nur unter hohen IT-Sicherheitsauagen möglich.

    Deshalb müssen Organisationen ihre Systeme kontinuierlich auf Schwachstellen prüfen und diese beheben sowie ihre Infrastruktur laufend an verschärfte gesetzliche Rahmenbedingungen anpassen. Dafür bedarf es eines angemessenen Budgets. Ohne dieses haben IT-Sicherheitsverantwortliche wenig Spielraum, um das vom Versicherer geforderte Mindestniveau umzusetzen.

    Aber auch bei der Implementierung von konkreten Maßnahmen gibt es wiederkehrende Problemgebiete: Viele Firmen führen keine Phishing-Simulationen oder Mitarbeiterschulungen durch – dabei ist bekanntermaßen der Faktor „Mensch“ das größte Einfallstor für Cyber-Attacken. Auch fehlen häufig Business-Continuity-Pläne, die den Betrieb im Notfall aufrechterhalten sowie Schutzmechanismen für Remote Work, etwa die Multi-Faktor-Authentizierung oder die Kontrolle über die Zugriffsberechtigungen der Mitarbeiter und die betrieblich genutzten Privatgeräte.

    Schwierig ist dies oft für kleine und mittelständische Unternehmen, denn es mangelt dort häug an Ressourcen, IT-Erfahrung und dem entsprechenden Budget. KMU protieren somit besonders von den zusätzlichen Services der neuen Versicherungsplayer im Markt.

  3. 03

    Versicherungsstrategie aufsetzen – neue Anbieter prüfen

    Aufgrund der wachsenden Zahl an Cyber-Angriffen mussten Versicherer in den letzten Jahren ihre Prämien deutlich erhöhen. Zugleich wurden die Kapazitäten knapp, weil die Nachfrage stieg und Versicherer vorsichtiger zeichneten. Diese Situation hat sich neuerdings gewandelt: Der Markt hat sich stabilisiert, auch weil neue Wettbewerber zusätzliche Kapazitäten geschaffen haben.

    Mit dem Markteinstieg der Neuanbieter ist auch der Wettbewerb im Hinblick auf die IT-Security-Dienstleistungen durch Versicherer deutlich gestiegen. Im Angebot sind nunmehr zahlreiche, teilweise sogar kostenlose Dienstleistungen, die Unternehmen helfen, zumindest einen Teil der hohen IT-Vorgaben zu erfüllen und eine Cyber-Versicherungslösung überhaupt erst in Anspruch nehmen zu können.

    Einige Beispiele:

    1. Zugang zu einem Incident Response Netzwerk mit externen Dienstleistern – insb. Rechtsberatung, IT-Sicherheit und Krisenkommunikation – im Krisenfall. Diese Leistung ist bereits seit einigen Jahren Bestandteil von Cyber-Versicherungen.
    2. Sensibilisierung der Mitarbeiter durch gefälschte Phishing-E-Mails und regelmäßige Schulungen durch Tutorials
    3. Automatische, regelmäßige Prüfung der IT-Systeme: Wird eine Schwachstelle gefunden, wird der IT-Manager benachrichtigt, um diese zu beheben.
    4. Lieferantenmanagement: Analysen des Cyber-Risikoprofils von Zulieferern
    5. Active Directory Scans, die alle Berechtigungen auslesen und anhand von Reports etwaige Auffälligkeiten aufzeigen.
    6. Vorlagen für Notfallpläne
    7. Best Practices und Guidelines für das richtige Management von Cyber-Risiken

    Dennoch decken auch diese Sonderleistungen nicht den gesamten Anforderungskatalog der Cyber-Versicherer ab. Nach wie vor bestehen Einschränkungen bei Angriffen auf digitale Lieferketten (z.B. Sublimitierungen) oder auf CloudDienste. Dafür können Unternehmen auf alternative Lösungen zurückgreifen wie zum Beispiel Cloud-Ausfallversicherungen. Damit lassen sich cloud-bedingte IT-Ausfälle sowie mögliche Haftungsverpichtungen absichern.

Neue Anbieter: Konkurrenz für die Etablierten

Besonders attraktiv sind die innovativen Angebote für KMU – aber auch für Großunternehmen und Konzerne entsteht allmählich ein Markt. Obgleich diese mehr Inhouse-Ressourcen zur Verfügung haben, bedeuten die wachsenden Sicherheitsansprüche doch hohe Kosten – nicht unmöglich, dass auch sie zunehmend auf Versicherer mit erweitertem Service-Angebot zurückgreifen.

In Zukunft werden die Anforderungen an IT Security weiter steigen – vor allem langfristig werden sich Kunden jeder Größe dorthin orientieren, wo sie maximale Unterstützung erhalten.

Fazit

Neue Anbieter entspannen den Markt in der Cyber-Versicherung. Nichtsdestotrotz bleiben die Anforderungen an die technischen Schutzmaßnahmen hoch. Mehr noch: Unternehmen müssen zunehmend auf Angriffe auf Cloud-Dienstleister oder sonstige Lieferanten gefasst sein und sich dahingehend zusätzlich absichern. Die Lösungen neuer Anbieter mit zusätzlichen Services und spezialisierten Cloud-Ausfallversicherungen werden immer beliebter. Mit professioneller Hilfe im Rahmen einer Cyber-Risikoquantifizierung lassen sich Marktangebote vergleichen, die beste Option wählen und eine risikogerechte Versicherungsstrategie entwickeln.

Quelle: Der Artikel ist zuerst erschienen in Die VersicherungsPraxis 2/2024 (VP 2/2024)

Autor


Head of Cyber D-A-CH

Related content tags, list of links Artikel Cyberrisiken
Contact us