Aktuelles, Branche, Gastbeiträge - geschrieben von cp am Donnerstag, Mai 30, 2019 11:35 - ein Kommentar
Fünf Tipps für Cyber-Versicherungs-Policen
Abschluss einer Police ist nicht unbedingt einfach
Von unserem Gastautor Detlev Weise, Managing Director DACH bei KnowBe4
[datensicherheit.de, 30.05.2019] Cyber-Versicherungen sind inzwischen etabliert und ein gerne gesehenes Instrument zur Absicherung von Cyber-Risiken. Inzwischen gibt es nach Angaben des Verbraucherportals des Gesamtverbandes der Deutschen Versicherungswirtschaft (GDV) 38 Anbieter in Deutschland. Doch der Abschluss einer Police ist nicht unbedingt einfach. Das Problem beginnt bereits bei der Definition eines Cyber-Angriffs sowie der Bewertung der Folgekosten von Reputationsschäden.
Problem: Bewertung von Cyber-Risiken
Das Problem setzt sich bei den Versicherern fort, die bei jeder neuen Police prüfen müssen, wie sie Cyber-Risiken bewerten sollen. Um einige dieser Probleme zumindest für Unternehmen zu beheben, hat KnowBe4 eine Liste mit fünf Tipps für den Abschluss einer Cyberversicherung zusammengestellt:
- Cyber-Risiken bewerten
Am Anfang sollte eine umfassende Bewertung der Cyber-Risiken erfolgen. Es ist wichtig, genau herauszufinden, wo die tatsächlichen Risiken beim Versicherten liegen, denn das wird bestimmen, welche Art von Cyberversicherung abgeschlossen werden muss. Werden beispielsweise personenbezogene Daten, Kreditkarteninformationen oder andere sensible Daten in der Cloud ausgelagert? Oder sind es nur Verkaufszahlen oder andere eher weniger sensible Daten? Werden regelmäßig Transaktionen durchgeführt? All dies sind wichtige Fragen, die beantwortet werden müssen, um das Cyberrisiko richtig einzuschätzen. Das grundsätzliche Problem ist, dass bei vielen Unternehmen, aber auch Versicherungen keine Schadenshistorien vorliegen, es gibt also kaum Vergleichswerte oder Vergleichsfälle, die zur Bewertung hinzugezogen werden können. - Alle Bedingungen der Police sorgfältig durchlesen
Unterschiedliche Definitionen von Begriffen sind nur ein Grund, warum man die Police sorgfältig durchlesen sollte. Ein weiterer Grund ist, sicherzustellen, dass sie gut zum Unternehmen und seinem Risikoniveau passt. - Absicherung durch Schäden von IT-bedingten Betriebsunterbrechungen
Eines der wichtigsten Elemente, die Cyber-Versicherungen abdecken müssen, sind IT-bedingte Betriebsunterbrechungen. Es gibt normalerweise eine Wartezeit, bevor die Schadensregulierung beginnt. Sobald die Schadensregulierung gestartet wird, werden finanzielle Verluste abgedeckt, die während der Ausfallzeit entstehen. Die IT-bedingte Betriebsunterbrechung bietet Schutz vor finanziellen Verlusten, wenn ein bestimmter Geschäftspartner einen vorab definierten Cyber-Ereignisfall bzw. Sicherheitsvorfall hat und nicht in der Lage ist, eine Dienstleistung für das betroffene Unternehmen zu erbringen oder aber Waren oder Materialien fristgerecht auszuliefern. - Fachleute können unterstützen und werden von der Versicherung gestellt
Oft deckt das aktuelle Versicherungsportfolio bereits bestimmte Cybersicherheitsvorfälle ab. Darüber hinaus ist in Cyberversicherungen zumeist ein Support in Form von spezialisierten Anwälten und forensischen Beratern inkludiert, die im Falle eines Sicherheitsvorfalls helfen können. Diese Fachleute bestehen aus vorab geprüften Teams, die in diesem Bereich Erfahrungen gesammelt und in der Regel bereits früher bei ähnlichen Fällen zusammengearbeitet haben. Das Team wird in der Regel von einem Anwalt unterstützt, der sich mit den Gesetzen und Vorschriften in den Bereichen Cybersicherheit und Datenschutz bestens auskennt. Gerade für kleine und mittlere Unternehmen, die sich oft fragen müssen, was sie tun sollen und welche Ressourcen sie bei einem Sicherheitsvorfall zusammenstellen müssen, kann der Zugang zu diesem Team sehr hilfreich sein. - Verantwortlichkeiten im Vorfeld abklären
Schließlich muss man verstehen, wofür man im Rahmen der Police verantwortlich ist. Wer muss beispielsweise benachrichtigt werden, wenn ein Sicherheitsverstoß auftritt? Oder was passiert, wenn ein Hacker seit Jahren in die Systeme eindringt, aber dies jetzt erst erkannt wurde? In diesem Fall wäre eine rückwirkende Cyber-Versicherung sinnvoll. Das genaue Verständnis dessen, was im Falle eines Sicherheitsvorfalls getan werden muss, kann den Unterschied ausmachen, ob die Versicherung den Schaden reguliert oder nicht.
Detlev Weise, Managing Director DACH bei KnowBe4
Fazit
Das Wichtigste jedoch ist, dass keine Cyber-Versicherung in der Hoffnung abgeschlossen werden sollte, dass sie eh niemals zum Einsatz kommt. Die Anforderungen der Police sollten berücksichtigen, wie die Meldung eines Schadensfalls vorgenommen wird und wann die Zustimmung des Versicherers eingeholt werden muss, bevor man auf einen Sicherheitsvorfall reagiert. All das muss in den allgemeinen Krisenreaktionsplan des Unternehmens einfließen. Wenn alle diese Punkte berücksichtigt werden, sollte ein Kauf der richtigen Cyberversicherung für das Unternehmen etwas einfacher werden. Unabhängig vom Abschluss einer solchen Versicherung sollten Unternehmen dennoch in Security Awareness-Trainings ihrer Mitarbeiter und Führungskräfte investieren, um sich mit „menschlichen Firewalls“ gegen Cyberangriffe zu wappnen.
Weitere Informationen zum Thema:
datensicherheit.de, 29.04.2019
Plansecur empfiehlt Cyberversicherungen gegen Hacker
datensicherheit.de, 26.06.2018
Cyber-Risiken: BIGS über die Grenzen der Versicherbarkeit
datensicherheit.de, 19.11.2017
Viele offene Fragen und wenige Antworten: EU-DSGVO und Cyber-Versicherung
datensicherheit.de, 22.10.2016
Mittelstand laut SicherheitsMonitor 2016 zu sorglos gegenüber Cyber-Risiken
datensicherheit.de, 09.09.2015
Unternehmen müssen sich für eine neue Dimension von Cyberrisiken wappnen
datensicherheit.de, 15.05.2014
AppRiver-Umfrage: Versicherung von Cyber-Risiken
ein Kommentar
Leonard Wolf
Kommentieren
Aktuelles, Experten, Veranstaltungen - Feb. 10, 2025 0:19 - noch keine Kommentare
Vorankündigung des IT-Sicherheitscluster e.V.: 4. Regenburger Cybersecurity-Kongress am 28. April 2025
weitere Beiträge in Experten
- BfDI und DPC: Engerer Austausch zu Plattformen und Künstlicher Intelligenz vereinbart
- Öffentliche Sicherheit contra Privatsphäre: Biometrische KI-Gesichtserkennung in der Diskussion im Vorfeld der Bundestagswahl 2025
- Mahnung der Freien Ärzteschaft im ePA-Kontext: Krankheitsdaten sind keine Ware!
- „AI Act“: Seit dem 2. Februar 2025 weitere Regelungen der europäischen KI-Verordnung in Kraft
- AI Act: eco-Kommentar zum Inkrafttreten – nationale Gesetzgebung muss Vision und Praxis vereinen!
Aktuelles, Branche - Feb. 9, 2025 0:58 - noch keine Kommentare
Unermesslicher Datenhunger nicht zu ignorieren: Forderungen der Wirtschaft, Staaten und KI zunehmend intensiver
weitere Beiträge in Branche
- NIS-2-Umsetzung: Gesetzgebungsverfahren offenbar vorerst gescheitert
- Industrie sollte Cyber-Sicherheit ihrer Geräte, Maschinen und Anlagen dringend auf ihre Agenda 2025 setzen!
- Dennis Weyel erinnert im NIS-2-Kontext daran: Firmenleitung haftet bei Cyber-Attacken!
- IT-Sicherheit: Gedanken zum Generationenkonflikt
- Finanzsektor: Herausforderungen und zugleich Chancen durch DORA
Branche, Umfragen - Dez. 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Die Hinweise des Herrn Weise sind absolut wichtig. Lediglich eine Kleinigkeit muss ich klarstellen:
Der Versicherungsschutz für IT-bedingte Betriebsunterbrechungen deckt regelmäßig den eigenen Ertragsausfall (fortlaufende Kosten + Gewinn) des versicherten Unternehmens durch Schäden bei diesem Unternehmen selbst.
Der letzte Satz unter Nr. 3. erweckt den Eindruck, Schäden durch eine Störung in der Zulieferer- oder Abnehmerkette, also fremden Unternehmen, seien ebenfalls gedeckt, das ist regelmäßig NICHT der Fall.
Wenige Versicherer bieten jedoch auf Nachfrage eine Deckung von Vertragsstrafen gegen den Versicherten, weil dieser aufgrund einer IT-bedingten Betriebsunterbrechung selbst(!) nicht liefern oder abnehmen kann.