Ist eine Cyber-Versicherung der beste Weg, um die Bedrohung durch Datenschutzverletzungen zu mildern, wenn die Sicherheitslage immer komplexer wird? [...]
Sie brauchen sich nicht zu vergewissern, dass die Cybersicherheit für die meisten Unternehmen immer noch an erster Stelle steht. Während bestimmte Arten von Angriffen rückläufig sind, gibt es wirklich keinen Mangel an Horrorgeschichten über Unternehmen, die von Datenschutzverletzungen betroffen sind, deren Auswirkungen für das Unternehmen katastrophal sein können.
Erst letzten Monat ließ der norwegische Aluminiumproduzent Norsk Hydro 22.000 Computer an 170 verschiedenen Standorten auf der ganzen Welt nach einem Ransomware-Angriff offline nehmen. Obwohl das Unternehmen beschlossen hat, sich nicht mit den Hackern und ihren Lösegeldforderungen zu befassen, hat die Wiederinbetriebnahme Norsk Hydro bisher mehr als 57 Millionen Dollar gekostet.
Da Daten ein zunehmend integraler Bestandteil der Geschäftsmodelle von Unternehmen werden und die behördlichen Geldbußen und Auswirkungen, die sich daraus ergeben, dass sie nicht geschützt sind, immer größer werden, könnten die Folgen einer schwerwiegenden Datenschutzverletzung dazu führen, dass Unternehmen aus dem Geschäft ausscheiden.
Leider sind traditionelle Cybersicherheitsmaßnahmen vor dem Hintergrund immer ausgefeilterer und gezielterer Angriffe nicht immer zweckmäßig. Hinzu kommt die Zunahme nationalstaatlicher Angriffe, und viele Unternehmen stellen sich die Frage, ob ein Datenverstoß heute einfach unvermeidlich ist, ähnlich wie Tod und Steuern.
Also, wie lautet die Lösung? Wenn Ihr Unternehmen seiner Sachwerte beraubt wurde, haben Sie wahrscheinlich eine Versicherungspolice zur Deckung des Schadens. Könnte dasselbe für Ihr Unternehmen getan werden, wenn Sie einen Datenverstoß erleben, und kann die Cyber-Versicherung den Schaden durch einen Angriff in der Größenordnung, wie sie von Norsk Hydro erlitten wird, wirklich eindämmen?
Wird die Cyber-Versicherung Ihr Unternehmen sicherer machen?
Cyber-Versicherungen sind kein neues Konzept. Sie erschien erstmals in den 90er Jahren in der Security-Szene und erfreut sich seither immer größerer Beliebtheit.
Während ein aktueller Telstra Security-Bericht allerdings behauptete, dass 36 Prozent der Unternehmen derzeit über eine Cybersicherheitsversicherung verfügen, gibt es noch eine Reihe von Fragen und Unklarheiten darüber, welche Schutzmaßnahmen Unternehmen damit angeboten werden, wenn sie einen Cyberangriff erleiden sollten.
Anfang des Jahres wurde berichtet, dass sich die Zurich American Insurance Company weigerte, eine Police auszuzahlen, nachdem der US-Lebensmittelhersteller Mondelez 1.700 Server und 24.000 Laptops durch den NotPetya-Ransomware-Angriff 2017 verloren hatte.
Obwohl die Versicherungspolice des Unternehmens besagte, dass es „für physische Verluste oder Schäden an elektronischen Daten, Programmen oder Software, einschließlich Verluste oder Schäden, die durch die böswillige Einführung eines Maschinencodes oder einer Anweisung verursacht wurden“, versichert ist, weigerte sich Zurich, die Auszahlung vorzunehmen, und erklärte, dass der Cyberangriff eine „Kriegshandlung“ gewesen sei. Mondelez hat jetzt auf 100 Millionen Dollar geklagt.
Umstritten wurde der Equifax-Datenverstoß, von dem mehr als 147 Millionen Menschen betroffen waren und der das Unternehmen 439 Millionen Dollar kostete, zum Teil durch eine Versicherungsauszahlung abgedeckt. Equifax erhielt von seiner Versicherungsgesellschaft rund 125 Millionen Dollar und erzielte damit einen Gewinn.
„Das jüngste explosionsartige Wachstum verwirrender Cyber-Versicherungsprodukte, die auf den Markt kommen, bedeutet, dass Tausende von KMUs Policen kaufen, die mit technischen Eventualitäten gefüllt sind, die ihre Ansprüche gleich wieder aufheben könnten – und dies auch regelmäßig tun“, so Michael Mittel, Präsident und General Manager des Cybersecurity-Spezialisten RapidFire Tools.
Durch den Kauf von Deckungen ohne wirkliche Klarheit oder Einblick in das, was von der Police abgedeckt wird, sind sich Unternehmen selten sicher, unter welchen Umständen sie eine Auszahlung erhalten werden.
Sollten Unternehmen, die von einem Cyberangriff betroffen sind, realistischerweise eine Versicherungsleistung für z.B. ihren entgangenen Gewinn erwarten? Wahrscheinlich nicht. Wie sieht es mit dem Austausch verschlüsselter Hardware aus, die nicht mehr verwendet werden kann? Wahrscheinlich ja. Und müssen Versicherungsgesellschaften, die sich weigern zu zahlen, weil ein Angriff ein „Kriegsakt“ ist, dessen Herkunft rechtlich beweisen? Das Gerichtsverfahren gegen Zurich wird darauf zurückkommen.
Gibt es bessere Möglichkeiten, Risiken zu handhaben?
In den Tagen, nachdem Norsk Hydro von besagtem Ransomware-Angriff betroffen war, gaben verschiedene Sprecher des Unternehmens öffentliche Erklärungen ab, in denen sie behaupteten, dass das Unternehmen über eine robuste Cyberversicherung verfüge.
Der Finanzvorstand Eivind Kallevik erklärte jedoch auf einer Pressekonferenz, dass die Versicherung „eine Obergrenze hat“, obwohl er es ablehnte, diese Obergrenze anzugeben, und es ist noch lange nicht garantiert, dass Norsk Hydro in der Lage sein wird, die Kosten für den Angriff zu decken.
Die Risikokalkulation für Unternehmen in allen Branchen ist keine leichte Aufgabe, und da nur sehr wenige bereit sind, sich öffentlich als Opfer eines Datenverstoßes zu erklären, haben Versicherungsunternehmen, die in den Cyber-Versicherungsmarkt einsteigen wollen, Schwierigkeiten, Daten zur Absicherung ihrer Deckungsentscheidungen zu finden.
Darüber hinaus fällt der Kauf von Versicherungspolicen in der Regel in den Zuständigkeitsbereich des CFO, so dass Sicherheitsexperten innerhalb eines Unternehmens letztendlich kaum an der Policenauswahl beteiligt sein werden. Infolgedessen bieten Policen den Unternehmen selten den Umfang an Deckung, den sie benötigen, und hinterlassen weitere Lücken in den Sicherheitsstrategien, die letztendlich die Versicherungsnehmer im Falle eines Datenverstoßes noch schlechter dastehen lassen könnten.
„Unternehmen konzentrieren sich nach wie vor auf die fünf klassischen Anlageklassen: monetär, physisch, relational, organisatorisch und menschlich, die sie meiner Meinung nach mit einer Versicherung schützen werden. Und doch fügen sie Daten nicht in diese Kategorie ein“, so George Marcotte, Managing Director bei Accenture Digital.
„Es sind nur die neuen Plattformunternehmen, die Daten als eine sechste Anlageklasse betrachten. Sie werden nicht nur Maßnahmen ergreifen, um sie zu versichern, sondern sie werden auch größere Schritte unternehmen, um in sie zu investieren. Wo Daten für den Geschäftserfolg immer wichtiger werden, sind Maßnahmen, die zu ihrem Schutz nicht ergriffen werden, so, als würde man vergessen, die Kronjuwelen zu versichern.“
Ein positives Ergebnis der jüngsten Übernahme der Cyber-Versicherung ist die Anforderung an die Unternehmen, vor Abschluss einer Police eine Sicherheitsrisikobewertung durchzuführen. Obwohl solche Tests immer noch sehr unterschiedlich sein können, kann es Ihnen helfen, das Risiko langfristig zu minimieren, wenn eine externe Partei Ihre Sicherheitsstrategie bewertet und sicherstellt, dass grundlegende Dinge wie Patching oder Verschlüsselung durchgeführt werden.
Auch wenn die Versicherung zweifellos ihren Platz in der Cybersicherheitslandschaft einnimmt, ist klar, dass sowohl von Seiten der Versicherungsunternehmen als auch der Versicherungsnehmer noch viel zu tun ist, bis die Cyber-Versicherung wirklich zweckmäßig ist.
Die anhaltende Unklarheit wird das Vertrauen in die Versicherer nur noch weiter erschweren und die Unternehmen im Unklaren darüber lassen, wie viel finanziellen Schaden sie nun eigentlich davontragen müssen.
*Charlotte Trueman schreibt unter anderem für Computerworld UK.
Be the first to comment