Schutz nach dem Hackerangriff

Cyberversicherung als neuer KMU-Standard?

22.02.2018 von Peter Lahmann  IDG ExpertenNetzwerk
Der Gesamtverband der Deutschen Versicherungswirtschaft (GDV) will der Cyberversicherung auch im KMU-Umfeld zum Durchbruch verhelfen.

Sind Sie gegen die Gefahren der Cyberwelt versichert? Stellen Sie sich darauf ein, dass Ihnen diese Frage immer öfter gestellt wird. Große Konzerne kennen solche Cyberversicherungs-Policen schon länger. Deren IT-Abteilungen sind dafür aufgestellt, die vielfältigen Risiken für ihre Daten aktiv angehen zu können. So versichert sind aber nur wenige Unternehmen in Deutschland. Gerade viele kleine und mittelgroße Betriebe unterschätzen die Risiken der Computerkriminalität. Hacker nehmen jedoch durchaus auch Handwerker, Rechtsanwälte, Ärzte, kleine Fabriken oder das Bistro an der Ecke ins Visier. Ein lahmgelegter Betrieb, geklaute Daten und enorme finanzielle Schäden bis hin zur Betriebsschließung sind nicht selten die Folge.

Kann eine Cyberversicherung auch für kleine und mittlere Unternehmen die helfende Hand sein, die den Fall ins Bodenlose stoppt?
Foto: Gajus - shutterstock.com

Die Versicherer wittern hier jedenfalls eine große Chance. KMU bilden die Masse der deutschen Wirtschaft. 96,6 Prozent aller Unternehmen haben weniger als 10 Millionen Euro Umsatz. Eine Initiative des Gesamtverbands der Deutschen Versicherungswirtschaft (GDV) will nun der Cyberversicherung zum Durchbruch verhelfen.

Im April 2017 hat man dazu mit den Musterbedingungen einen Bauplan für solche Cyber-Versicherungen erstellt. Kundendaten, Kontonummern, Patente, Fertigungspläne – auch bei KMU landet so gut wie alles im Computer. Dort sind sie in Form von Bits und Bytes ein lohnendes Ziel für kriminelle Hacker oder auch Konkurrenten: Daten werden ausspioniert, zerstört, gefälscht oder blockiert. Aber auch die eigenen Mitarbeiter können durch ihr Fehlverhalten gewollt oder ungewollt erheblichen Schaden verursachen.

Die neuen Musterbausteine für Cyberversicherungen sind die Schäden durch die Unterbrechung des Geschäftsbetriebs, die Wiederherstellung der Daten und die Ersatzansprüche Dritter, beispielsweise bei durchgeschleusten Computerviren. Nach dem Verbandsschema sind auch die Kosten für IT-Forensik, Krisenkommunikation und Meldepflichten nach dem Datenschutzgesetz abgedeckt. Mit der ab Mai 2018 in Kraft tretenden ePrivacy-Verordnung entstehen rechtliche Fallstricke, bei denen schnell empfindliche Bußgelder drohen.

Cyberversicherungs-Pflichten

Jedes Unternehmen muss seine Daten schützen, gleich ob versichert oder nicht. Es gilt, Gefahren für deren Bestand und Richtigkeit zu erkennen und so gut es geht abzuwehren. Das Datenschutzgesetz ist schon heute eine einschlägige Verfügung, die entsprechende Aufgaben an die IT stellt. Auch das Finanzamt arbeitet bevorzugt mit gesicherten Zahlen der Veranschlagten. Amtlich ausgedrückt gelten die Grunsätze ordnungsmäßiger DV-gestützter Buchführungssysteme (GoBS). Gefragt ist also die IT-Sicherheit.

Auch die Cyber-Musterbedingungen des Verbands werden hier ausdrücklich. Zu den Verpflichtungen der so Betreuten gehören ein aktueller Virenschutz, das unverzügliche Aufspielen von Sicherheits-Patches und wöchentliche Backups des digitalen Arbeitsmaterials. Zu letzterem gehören auch die getrennte Lagerung von Original und Kopie, sowie regelmäßige Tests zur Wiederherstellung der Systeme. Gerade die WannaCry-Ransomware hat gezeigt, dass das Aufspielen der Sicherheitskopien in der Praxis oft nicht funktioniert. Umgekehrt haben sich sowohl aktuelle Signaturen von Antivirus-Programmen und aktuelle Patchstände auf gewarteten Betriebssystemen als zuverlässige Schutzschilder herausgestellt.

Für den Login an Computern fordert der Verband persönliche Kennungen, komplexe Passwörter und Beschränkungen für Administratoren. Nur mit Namen hinter den Logfiles kann die Verantwortung für schädliche Aktionen zugewiesen werden. Für die Handhabung von Passwörtern gibt es Hilfestellung von verschiedenen Stellen. Unternehmen befinden sich auf der sicheren Seite, wenn sie den Empfehlungen des BSI oder der Branchengrößen wie Microsoft und SAP entsprechen.

Ein Problemfeld besteht in den Accounts der Administratoren, denn der direkte Zugriff auf Betriebssysteme und Datenbanken ist der heilige Gral für alle kriminellen Hacker. Mindestens ebenso gefährlich kann aber der eigene Angestellte werden. Die Kassen fordern, dass die Vergabe solcher privilegierten Nutzerkonten nur in engen Grenzen erfolgen darf.

Das Einmaleins der IT-Security
Adminrechte
Keine Vergabe von Administratorenrechten an Mitarbeiter
Dokumentation
Vollständige und regelmäßige Dokumentation der IT
Sichere Passwörter
IT-Sicherheit beginnt mit Sensibilisierung und Schulung der Mitarbeiter sowie mit einer klaren Kommunikation der internen Verhaltensregeln zur Informationssicherheit:<br /><br /> Komplexe Passwörter aus Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen, mindestens achtstellig.
Passwortdiebstahl
Niemals vertrauliche Daten weitergeben oder/und notieren.
E-Mail-Sicherheit
E-Mails signieren, sensible Daten verschlüsseln, Vorsicht beim Öffnen von E-Mail-Anlagen und Links.
Soziale Manipulation
Bewusst mit vertraulichen Informationen umgehen, nur an berechtigte Personen weitergeben, sich nicht manipulieren oder aushorchen lassen.
Vorsicht beim Surfen im Internet
Nicht jeder Link führt zum gewünschten Ergebnis.
Nur aktuelle Software einsetzen
Eine nicht aktualisierte Software lässt mehr Sicherheitslücken offen.
Verwendung eigener Software
Unternehmensvorgaben beachten und niemals Software fragwürdiger Herkunft installieren.
Unternehmensvorgaben
Nur erlaubte Daten, Software (Apps) und Anwendungen einsetzen.
Backups
Betriebliche Daten regelmäßig auf einem Netzlaufwerk speichern und Daten auf externen Datenträgern sichern.
Diebstahlschutz
Mobile Geräte und Datenträger vor Verlust schützen.
Gerätezugriff
Keine Weitergabe von Geräten an Dritte, mobile Geräte nicht unbeaufsichtigt lassen und Arbeitsplatz-PCs beim Verlassen sperren.
Sicherheitsrichtlinien
Die organisatorischen Strukturen im Hintergrund bilden den erforderlichen Rahmen der IT-Sicherheit. Hier gilt es, klare Regelungen zu formulieren und einzuhalten:<br /><br />Definition und Kommunikation von Sicherheitsrichtlinien
Zugriffsrechte
Regelung der Zugriffsrechte auf sensible Daten
Softwareupdates
Automatische und regelmäßige Verteilung von Softwareupdates
Logfiles
Kontrolle der Logfiles
Datensicherung
Auslagerung der Datensicherung
Sicherheitsanalyse
Regelmäßige Überprüfung der Sicherheitsmaßnahmen durch interne und externe Sicherheitsanalysen
Notfallplan
Erstellung eines Notfallplans für die Reaktion auf Systemausfälle und Angriffe
WLAN-Nutzung
Auf technischer Ebene muss ein Mindeststandard gewährleistet sein. Dieser lässt sich größtenteils ohne großen Kostenaufwand realisieren:<br /><br />Dokumentation der WLAN-Nutzung, auch durch Gäste
Firewalls
Absicherung der Internetverbindung durch Firewalls
Biometrische Faktoren
Einsatz von Zugangsschutz/Kennwörter/Biometrie
Zugangskontrolle
Physische Sicherung/Zugangskontrolle und -dokumentation
Schutz vor Malware
Schutz vor Schadsoftware sowohl am Endgerät als auch am Internetgateway, idealerweise durch zwei verschiedene Antivirenprogramme
Webzugriffe
Definition einer strukturierten Regelung der Webzugriffe
Verschlüsselung
Verschlüsselung zum Schutz von Dateien und Nachrichten mit sensiblen Inhalten
Löschen
Sicheres Löschen der Daten bei Außerbetriebnahme
Update der Sicherheitssysteme
Sicherstellung regelmäßiger Updates der Sicherheitssysteme
Monitoring
Permanente Überwachung des Netzwerkverkehrs auf Auffälligkeiten

Besonders risikoreiche Systeme erfordern besondere Schritte. Das ist im Cyber-Muster immer der Fall, wenn die Rechner über das Internet erreichbar sind. Hier helfen Virenschutz und Firewall-Zonen speziell für Webserver. Als weiterer Fall werden Mobilgeräte genannt. Umsicht bei Laptops im Außendienst und Mobile Device Management für Smartphones können hier Abhilfe schaffen.

Nicht sehr sorgfältig handelt beispielsweise eine Unternehmensberatung, die seine Berater mit ungeschützten Notebooks ins Feld schickt. Einmal das Gerät im Zug vergessen - schon fallen einem unehrlichen Finder Namen und Finanzdaten der Kundschaft in die Hände. Wenn Schwergewichte der Industrie von so einem Verlust betroffen sind, können die Folgeschäden schnell in die Millionen gehen. In Rechnung gestellt werden beispielsweise Krisenkommunikation, Rechtsanwälte und das Monitoring von Bankkonten.

Mit einer handelsüblichen Verschlüsselung der Festplatte wären die Inhalte für Unbefugte nicht verwertbar gewesen. Noch nicht einmal nach der sonst so strengen neuen EU-Datenschutzverordnung wäre hier eine Meldung nötig. Insofern überrascht die Botschaft "Laptop-Diebstahl" eines grossen Sachversicherers, der laut eigner Webseite in einem solchen Fall die Regulierung übernommen hat.

Häufig bekommen IT Abteilungen noch Extra-Aufgaben von Gesetzgebern und Industrieverbänden. Das betrifft beispielsweise Kreditkarten- und Patienteninformationen, sowie Regeln für Zulieferer von Automobilbauern oder Stromversorgern. Auch die Versicherer können bei einer Befragung zum Schluss kommen, dass Sonderauflagen notwendig sind ehe ein Vertrag zustande kommt. Solche individuellen Klauseln sind bei den heutigen Cyberversicherungs-Policen großer Konzerne eher die Regel als die Ausnahme. Wer solchen Bedingungen nicht nachkommt, riskiert seinen Versicherungsschutz.

5 Tipps zu Cybersecurity-Versicherungen
Versicherung gegen Hacker?
Eine Cybersecurity-Versicherung kann Unternehmen im Falle eines Hacker-Angriffs vor finanziellem Schaden schützen. Eine Komplettlösung mit Rundum-Schutz gegen jegliches Risiko ist aber auch diese nicht. Auf die folgenden fünf Dinge sollten CIOs vor Abschluss einer Police achten.
1. Kronjuwelen schützen
Eine Cybersecurity-Versicherung legt einen Teil des finanziellen Risikos einer Cyberattacke auf die Versicherungsgesellschaft um. Dabei unterscheidet man zwischen der first-party-insurance, die einer Vollkaskoversicherung ähnelt. Abgedeckt sind im Regelfall Schäden an digitalem Content, Geschäftsausfall und in manchen Fällen auch Reputationsschäden. Das Pendant zur sogenannten third-party-insurance wäre die Haftpflichtversicherung: Sie deckt im Regelfall zum Beispiel Ermittlungs- und Anwaltskosten, sowie Entschädigungs- oder Strafzahlungen ab. Das Problem: Das Spektrum einer Cyberattacke ist so breit, dass eine Absicherung gegen alle Risiken schlicht unmöglich ist. Der beste Weg für CIOs: die digitalen Kronjuwelen des Unternehmens identifizieren, quantifizieren und das Restrisiko versichern.
2. Marktunterschiede Europa / USA: Marktunterschiede
Der Markt für Cybersecurity-Versicherungen ist in den USA wesentlich reifer als in Europa. Das liegt in erster Linie daran, dass in den USA bereits eine Meldepflicht bei Cyberattacken besteht. Mit dem Inkrafttreten der EU-Datenschutzrichtlinie wird sich das ändern. In den USA sind die third-party-insurances momentan deutlich gefragter als in Europa. Studien zufolge sind rund 30 Prozent aller großen und circa 10 Prozent aller US-Unternehmen mit einer Cybersecurity-Versicherung ausgestattet.
03. Auf den Wortlaut achten
Bevor Sie eine Police abschließen, sollten Sie sich genau über die abgedeckten Risiken kundig machen - auch im Hinblick auf bereits bestehende Versicherungen! Eventuell gibt es hier - unnötig Kosten verursachende - Überschneidungen. Im Idealfall sollten sie Ihren Versicherungsmakler damit beauftragen, eine Police zu finden die exakt auf die Ansprüche Ihres Unternehmens zugeschnitten ist.
4. Schaden trotz Versicherung?
Es gibt Bereiche, für deren Schutz eine Cybersecurity-Police nicht beziehungsweise nur unzureichend geeignet ist. Den Diebstahl geistigen Eigentums oder die Beschädigung der geschäftlichen Reputation durch eine Cyberattacke kann eine Versicherung zwar teilweise finanziell kompensieren - aber kaum wiedergutmachen. Inzwischen ist in der Industrie eine Diskussion darüber entbrannt, ob dies auch im Fall eines staatlich unterstützten Cyberangriffs gilt.
5. Raum für Verbesserungen
Im Idealfall sollte eine Cybersecurity-Versicherung Unternehmen dazu motivieren ihre Sicherheitsstandards anzuheben, um von niedrigeren Versicherungsprämien zu profitieren. Allerdings fehlen den Versicherern bislang die statistischen Daten und Erkenntnisse, um solche kundenspezifischen Preismodelle anbieten zu können.

IT Security kennt viele Klauseln

Die neuen Versicherungs-Policen für den Cyberraum werfen bei Assekuranzen wie ihren Kunden viele Fragen auf. Der Pool an Vergleichsfällen und Erfahrungswerten zum Thema ist allerdings nicht üppig. Wie abwägbar sind Risiken und Prüfaufwand für die Versicherer? Oder wird das im Kleingedruckten auf die Gegenseite abgewälzt? Was muss die IT alles tun und welche Nachweise sind erforderlich? Wird gar eine komplette Zertifizierung der unternehmensweiten Informationssicherheit nach ISO 27001 verlangt?

Auffällig in den Musterbedingungen für die Cyberversicherung ist der Fokus, der auf Software-Lösungen wie Antivirus, Firewall und Programm-Updates gelegt wird. Mit der Anschaffung solcher Produkte ist die Sache aberbei weitem nicht erledigt. Für die Feinjustierung, Wartung, den Betrieb und Notfallpläne müssen auch die internen Abläufe und die Organisationsstruktur der Versicherten stimmen. Und die der (zunehmend in Anspruch genommenen) Dienstleister.

Ein Beispiel sind privilegierte Zugänge, wo die Prozesse von HR und IT ineinander greifen müssen. Wenn ein Administrator das Unternehmen verlässt, muss dessen Zugang umgehend gesperrt werden. Von Banken verlangt die Bafin ein regelmäßiges Auslesen Ihrer IT nach privilegierten Usern mit anschließenden Abgleich der tatsächlichen Berechtigung.

Schon ein Fake-Anruf als vermeintlicher Geschäftsführer oder eine E-Mail mit gefälschtem Anhang führen kriminelle Hacker oft zum Ziel. Viele Arten von Hackerangriffen haben gemeinsam, dass sie ihre volle Wirkung erst mit Tätigwerden des Angegriffenen entfalten. Bei der zunehmend auftretenden CEO-Fraud-Masche werden gutgläubige Buchhalter dazu veranlasst, Zahlungen anzuweisen. Mit schöner Regelmäßigkeit kommen solche Anweisungen "von ganz oben", sind "eilig" und "geheim".

In den USA lehnte ein Versicherer in einem Fall die Regulierung eines so entstandenen Schadens ab, da die Überweisung freiwillig geleistet worden sei. In einem anderen Fall wurden die Schäden nach einem mehrstufigen Hackerangriff nicht reguliert, weil die Klausel eines direkten Betrugsfalls nicht erfüllt war.

Top 5 Hacks 2017
5. HBO
Der US-Pay-TV-Sender gerät 2017 nicht zum ersten Mal ins Visier krimineller Hacker. Unveröffentlichte Episoden des Serienhits „Game of Thrones“ werden dabei geleakt und die persönlichen Daten mehrerer Schauspieler kompromittiert. <br><br /> Die verantwortlichen Cyberkriminellen drohen mit weiteren Veröffentlichungen und versuchen so sechs Millionen Dollar von HBO zu erpressen. Ohne Erfolg. Im Nachgang der Attacke berichten verschiedene Ex-Mitarbeiter des Unternehmens von einem allgemein eher laxen Umgang mit der IT-Sicherheit. <br><br />
4. NSA
Bei der National Security Agency (NSA) dreht sich alles um Geheimhaltung. Möchte man meinen. Dennoch wird die US-Behörde 2017 gleich von mehreren Datenpannen ereilt. Zuerst veröffentlicht Wikileaks im März tausende von geheimen Dokumenten, die unter anderem Auskunft über die Beziehungen zwischen NSA und CIA Auskunft geben, dann gelangen Medienberichten zufolge geheime Dokumente zu den Methoden und Verteidigungsmaßnahmen der NSA über einen Vertragspartner in die Hände russischer Hacker. <br><br /> Ende November 2017 wird schließlich bekannt, dass circa 100 Gigabyte an Daten (die detaillierte Auskunft über ein militärisches Geheimprojekt enthalten), ungeschützt auf einem AWS-Server vorgehalten werden. <br><br />
3. Uber
Im November 2017 wird bekannt, dass der Fahrdienstleister bereits 2016 gehackt wurde. Dabei werden die Informationen von weltweit 57 Millionen Kunden gestohlen. <br><br /> Statt den Vorfall zu melden, geht man bei Uber lieber seinen "eigenen" Weg, bezahlt den kriminellen Hackern Schweigegeld in Höhe von 100.000 Dollar und kehrt das Geschehene unter den Teppich. Uber-CEO Dara Khosrowshahi behauptet zunächst, nichts von den Vorgängen gewusst zu haben – wenig später wollen Medienberichte diese Behauptung widerlegen. <br><br />
2. Equifax
Der US-Finanzdienstleister sorgt 2017 für einen traurigen Hack-Höhepunkt, als die Daten von circa 143 Millionen Kunden kompromittiert werden. Die Datensätze enthalten Namen, Geburtsdaten, Sozialversicherungsnummern, Adressen, Führerschein- und Kreditkartendaten. <br><br /> Ein Paradies für Identitätsdiebstahl, das durch eine ungepatchte Sicherheitslücke in Apache Struts geschaffen wird – und vermutlich über Monate unentdeckt bleibt. Auch das Zeitfenster, das Equifax verstreichen lässt, bevor es den Vorfall meldet, ist „kritisch“: Am 29. Juli wird der Hackerangriff bemerkt, am 7. September die Öffentlichkeit informiert. Passend dazu wird wenig später bekannt, dass das Unternehmen bereits im Dezember 2016 vor Sicherheitslücken und möglichen Hacks gewarnt worden war. <br><br />
1. WannaCry & Petya
WannaCry ist die bislang größte Ransomware-Attacke, die Mitte Mai 2017 Unternehmen, Behörden, Institutionen und Krankenhäuser in mehr als 150 Ländern weltweit heimsucht. Bei der Angriffswelle kommen gestohlene NSA-Hacking-Tools zum Einsatz, die eine Schwachstelle im Windows-SMB-Protokoll ausnutzen. Letztlich kann WannCry durch das mehr oder weniger zufällige Auffinden eines „Kill Switch“ entschärft werden. <br><br /> Ende Juni 2017 verbreitet sich dann eine neue Ransomware-Variante, die dieselbe Sicherheitslücke wie WannaCry ausnutzt. Wieder sind viele Unternehmen, Regierungsinstitutionen und Krankenhäuser betroffen. Die schnelle Ausbreitung über eine bereits bekannte (und ausgenutzte) Sicherheitslücke rückt ein weiteres Mal die vielerorts laxen Security-Prozesse ins Rampenlicht. <br><br />

Was ist, wenn das Personal die Gefahren nicht kennt, die beispielsweise durch Social-Engineering-Angriffe drohen? Ist das eine Fahrlässigkeit des Unternehmens und somit die Folgen wie Datenverlust und der Ausfall der IT nicht versichert? Auf der anderen Seite des Spektrums ist die regelmäßige Aufklärung der Angestellten in einigen Cyberversicherungs-Paketen inkludiert.

Viele ähnlich gelagerte Fragen zur IT-Sicherheit im laufenden Betrieb lassen sich stellen: Wie sicher sind die Räume in denen die Server und Sicherungskopien verwahrt werden? Hat der neue Administrator vielleicht schon mal seinen Arbeitgeber betrogen, aber niemand hat Referenzen und polizeiliches Führungszeugnis geprüft? Die Musterbedingungen lassen diese Fragen jedenfalls weitgehend unbeantwortet. Die Anschaffung von Virenschutz- und Firewall-Lösungen alleine, ist in der Praxis jedenfalls nicht geeignet, die Datensicherheit dauerhaft zu gewährleisten.

Welche Cyberversicherungs-Police für welches Unternehmen geeignet ist, kann wie so oft pauschal nicht beantwortet werden. Sicher ist jedoch, dass man sich zu diesem Thema besser vor als nach einem Hackerangriff Gedanken machen sollte. Fakt ist auch, dass viele Konzerne solche Policen bereits in ihr Sicherheitspaket einbauen. Ganz billig kommt ein solcher Schutz allerdings nicht. In den USA werden die Prämien mit 1,2 Prozent des Gesamtumsatzes veranschlagt. In der Gesundheitsvorsorge mit ihren Patienteninformationen steigt dieser Wert bereits auf 2,8 Prozent. (fm)