Die anhaltende Bedrohungslage in der IT-Security stellt Unternehmen nicht nur vor diverse Herausforderungen. Sie müssen sich auch die Frage stellen, wie sie sich angemessen schützen und absichern können.
Hierfür gibt es verschiedene Ansätze. Besonders Cyberversicherungen scheinen eine attraktive Möglichkeit zum Schutz vor größerem finanziellem Schaden zu sein. Die Vorteile für Risikomanager, CIOs und CEOs sind zunächst offensichtlich. Die Entscheidungsgrundlagen sind eher bekannte Parameter wie monatliche Prämien, Versicherungsschutz und Eintrittswahrscheinlichkeiten.
Versichern und Absichern – eine Gegenüberstellung
Sowohl ein aktiv gelebtes IT-Security-Management als auch eine Versicherung gegenüber Cyberattacken können im Fall eines Hackerangriffs wertvolle Unterstützung bieten. Allerdings können Maßnahmen für einen fortwährenden Schutz der eigenen Daten und Infrastruktur nicht damit gleichgesetzt werden, eine Cyberversicherung abzuschließen. Dieser Artikel klärt, welche Vor- und Nachteile beides mit sich bringt und unterstützt Sie bei der Evaluation der beiden Maßnahmen.
Welche Vorteile bringt eine Cyberversicherung mit sich?
Risikominderung durch finanziellen Schutz: Im Falle eines Cyberangriffs kann eine Versicherung dem betroffenen Unternehmen finanziellen Schutz bieten. Die Kosten für forensische Untersuchungen, Betriebsunterbrechungen, Wiederherstellungsmaßnahmen, Krisenkommunikation und Haftungsansprüche können von der Versicherung abgedeckt werden.
Risikounterstützung: Je nach Art und Umfang der Versicherung kann diese im Angriffsfall auch Zugang zu Experten und Ressourcen bieten, um das betroffene Unternehmen in der forensischen Analyse, der Einhaltung von rechtlichen Verpflichtungen und der Wiederherstellung zu unterstützen.
Erste Risikobewerbung und Anraten von Präventionsmaßnahmen: Ebenfalls in Abhängigkeit von Art und Umfang der Versicherung kann sie zusätzlich bei der Bewertung von Risiken unterstützen und notwendige Sicherheitsmaßnahmen anraten. Insbesondere bei der initialen Risikobewertung der Unternehmen zum Abschließen der Versicherung kommen diese Vorteile zum Tragen.
Welche Grenzen haben Cyberversicherungen?
Kosten: Die Kosten für eine Cyberversicherung können sehr hoch sein. Das gilt insbesondere, wenn es sich um Unternehmen handelt, die ein hohes Risikoprofil aufweisen und damit einen erhöhten Bedarf an Schutz vor Cyberkriminalität haben. Berechnet werden Risikoprofil und Prämien anhand einer Vielzahl von Faktoren wie Unternehmensgröße, Branche, Sicherheitsmaßnahmen und Vergangenheitsdaten.
Versicherungsdeckung und begrenzte Risikoabsicherung: Der Umfang der versicherbaren Szenarien ist eingeschränkt. Den Versicherten muss klar sein, dass eine Cyberversicherung immer nur das verbleibende Restrisiko, nach Umsetzung und stetiger Aktualisierung von nötigen technischen und organisatorischen Maßnahmen, verantworten kann.
Als Bedingung zum Abschluss einer Cyberversicherung werden zudem hohe initiale Hürden, wie beispielsweise ein gut durchdachtes Backupsystem, gesetzt. Umfang und Komplexität der kontinuierlich umzusetzenden Maßnahmen zum Schutz der eigenen IT-Infrastruktur werden durch das Abschließen einer Cyberversicherung nicht vermindert. Im Worst-Case-Szenario hat ein Unternehmen über Monate oder Jahre die Versicherungsprämien entrichtet, die finanzielle Entlastung bleibt im Angriffsfall aber dennoch aus, da die eigenen Schutzmaßnahmen nicht ausreichend waren und der Angriff demnach als abwendbar oder eigenverschuldet eingestuft wird.
Zeitliche Verzögerung der Wiederherstellung: Sollte ein Angriff stattfinden, kann sich die Wiederherstellung der Systeme und damit die Wiederaufnahme des Geschäftsbetriebs durch die forensische Analyse und insbesondere das Klären der Zahlungsmodalitäten durch die Versicherung verzögern. Damit können die Opportunitätskosten für den Ausfall weiter ansteigen. Sollte die Versicherung zusätzlich einen Grund zum Aussetzen der Zahlung feststellen, wirkt sich die Verzögerung wirtschaftlich doppelt negativ aus.
Fehlen von Kontinuität und Prozessen: Cybersecurity ist ein fortlaufender Prozess. Stetiges Monitoring der eigenen Umgebung, regelmäßiges Schulen und Sensibilisieren der Mitarbeiter sowie eine Beobachtung der äußeren Bedrohungslage sind notwendig, um zu jedem Zeitpunkt angemessen geschützt zu sein. Beim Abschließen von Cyberversicherungen wird häufig nur die Umgebung zum Zeitpunkt des Vertragsabschlusses betrachtet und in ausreichendem Maß angepasst. Neuartige Bedrohungen, die sich im Zeitverlauf entwickeln können, werden dabei oft nicht beachtet. Dabei bleibt nicht nur der nötige Schutz aus, sondern auch die Zahlung im Angriffsfall.
Erfahren Sie mehr zu IT Security-Themen: Bestellen Sie den CIO Security Newsletter.
Durch die Vorteile, die Cyberversicherungen mit sich bringen, können diese eine sinnvolle Ergänzung für ein umfangreiches IT-Sicherheitsmanagement darstellen. Werden die technischen und organisatorischen Maßnahmen, die für einen angemessenen Schutz der eigenen Infrastruktur nötig sind, eingehalten, helfen Cyberversicherungen bei der finanziellen Bewältigung von Sicherheitsvorfällen.
Durch die Grenzen von Cyberversicherungen, können diese nicht als einzige Maßnahme zum Schutz vor Cyberkriminalität eingesetzt werden. Sollte allerdings trotz sorgfältiger Umsetzung aller Schutzmaßnahmen ein Sicherheitsvorfall eintreten, kann eine Cyberversicherung für finanzielle Entlastung sorgen.
Vorteile und Grenzen von gezielten IT-Security Maßnahmen
Nachdem im ersten Teil des Artikels sowohl Vorteile als auch Grenzen von Cyberversicherungen betrachtet wurden, werden im folgenden Abschnitt beide Kriterien auf IT-Security Maßnahmen angewandt.
Welche Vorteile bringen IT-Security Maßnahmen mit sich?
Prävention: Der Einsatz von IT-Sicherheitsmaßnahmen wie etwa Firewalls, Endpoint Security Software, regelmäßigen Software-Updates, Multifaktor Authentifizierung und Mitarbeiterschulungen kann dafür sorgen, dass mögliche Bedrohungen und Schwachstellen frühzeitig erkannt werden. Durch diese Früherkennung können Sicherheitsvorfälle proaktiv abgewehrt werden. Hierbei sind sowohl Kontinuität der Maßnahmen als auch eine gezielte Etablierung eines IT-Sicherheitsmanagement-Konzepts in die Geschäftsprozesse notwendig.
Kontrolle: Mithilfe von IT-Security Maßnahmen können Unternehmen sicherstellen, dass sie den jeweiligen Anforderungen durch ihr individuelles Risikoprofil gerecht werden. So können sie die Sicherheitslage im Unternehmen selbst steuern und die möglichen Einfallstore für Hacker und Malware angepasst an interne Notwendigkeiten und die externe Bedrohungslage ausgestalten.
Kostenkontrolle: Einmalige Sofortmaßnahmen zur Abbildung von IT-Security Standards müssen mit fortlaufenden Maßnahmen zur Optimierung der Sicherheit erweitert werden. Indem Ausfälle vermieden und Angriffe abgewehrt werden, ersparen sich Unternehmen nicht nur unangenehme Situationen, sondern tatsächlich Geld.
Die Opportunitätskosten der betrieblichen Ausfälle und gegebenenfalls Bußgelder bei einem Verstoß gegen die DSGVO bilden in diesem Fall nur die Spitze des Eisbergs ab. Der Image- und Vertrauensverlust, der mit dem Abfluss von Daten einhergeht, ist kaum kalkulierbar und kann das Aus für ein Unternehmen bedeuten. Sowohl das Implementieren von IT-Sicherheitsmaßnahmen als auch die stetige Anpassung an Dynamik und Komplexität der IT-Umwelt bedeuten eine Investition für Unternehmen. Im Verhältnis zu den möglichen Kosten eines erfolgreichen Angriffs, aufgrund von ausbleibendem Schutz, ist dieser Ansatz günstiger.
Anpassungsfähigkeit: IT-Security ist kein Zustand, sondern ein fortwährender Prozess. Gezielte IT-Security Maßnahmen können und müssen daher immer wieder an die äußere Bedrohungslage und innere Anforderungen, Änderungen und Entwicklungen angepasst werden. Diese dienen demnach dem individuellen Schutz für die jeweilige Ausgangslage anstelle einer Pauschallösung.
Wo liegen die Grenzen und Schwierigkeiten von IT-Security?
Komplexität: Ganzheitliche IT-Sicherheitsmaßnahmen einzuführen, umzusetzen und zu verwalten, erfordert spezifische Kompetenzen und personelle Ressourcen. Insbesondere kleine und mittlere Unternehmen stoßen hier häufig an Grenzen der internen Kapazität.
Keine absolute Sicherheit: Obwohl das Risiko für Cyberangriffe durch IT-Sicherheitsmaßnahmen erheblich reduziert wird, liefern auch diese keine Garantie gegen solche Attacken. Insbesondere unbekannte oder neuartige Bedrohungen sowie menschliches Versagen können auch in einem Unternehmen mit guter IT-Security für einen Vorfall sorgen.
Eine Brandschutzversicherung ist kein Feuerlöscher
Sowohl Cyberversicherungen als auch Cybersicherheit bringen demnach einige Vorteile und Begrenzungen mit sich. Zur Evaluierung der spezifischen Maßnahmen für eine nachhaltige IT-Sicherheitsstrategie ist insbesondere eine Erkenntnis von größtem Wert: Cyberversicherungen und Cybersicherheit sind nicht zwei unterschiedliche Ansätze für dasselbe Ziel.
Cybersicherheit hat das Ziel, Angriffe vorzubeugen und abzuwehren, um so Schadensfälle gänzlich zu vermeiden. Cyberversicherungen hingegen zielen darauf ab, einen finanziellen Ausgleich zu schaffen, wenn der Schadensfall bereits eingetreten ist. Abgesichert wird ausschließlich das unvermeidbare Restrisiko nachdem Cybersicherheitsmaßnahmen eingeführt und etabliert sind.
Ähnlich wie eine Brandschutzversicherung im Schadensfall zahlt, kann eine Cyberversicherung im Angriffsfall finanziell entlasten. Für beide gilt vorab ein hohes Maß an Eigenverantwortung. Es gilt Vorkehrungsmaßnahmen zu treffen, um fahrlässiges Handeln oder Eigenverschulden auszuschließen. Genau wie eine Brandschutzversicherung Präventionsmaßnahmen wie Fluchtpläne, Brandschutzbeauftragte, Feuerlöscher und weitere nur ergänzen kann, kann auch eine Cyberversicherung nur ergänzend zu IT-Sicherheitsmaßnahmen nützlich sein. (jd)