Cyberrisiken ab- und versichern
Um Schäden zu vermeiden und im Notfall abgesichert zu sein, haben die Experten Frank Schultz und Robert Drexler von Ecclesia Cyber in einer Webinar-Reihe die Kunden der Ecclesia Gruppe informiert. Die Redaktion hat die wichtigsten Fragen und Antworten zusammengefasst.
Welche Ursachen für Cyberattacken gibt es?
Ein großer Risikofaktor ist der Mensch. Die Mitarbeitenden öffnen zum Beispiel E-Mails, die einen Anhang haben, indem eine Schadensoftware hinterlegt ist. Bei der sogenannten Ransomware kommt es in der Regel zu Verschlüsselungen mit anschließender Lösegelderpressung. Die Cyberkriminellen schleusen solche Software in die IT-Systeme ein, kundschaften sie aus und platzieren dann einen Verschlüsselungscode, der nur entschlüsselt werden kann, wenn das geforderte Lösegeld bezahlt wird.
Mögliche Ursachen, dass Schadsoftware in die IT-Struktur des Unternehmens gelangt, können aber auch Überlastungsattacken, Software-Fehler oder Sabotage sein. Eine wichtige Komponente in der Abwehr solcher Attacken ist es deshalb, die „Abwehrbarriere“ Mensch zu stärken, also die Mitarbeitenden zu schulen und zu informieren.
Wie läuft ein Hackerangriff in der Regel ab?
Der Prozess ist oft schleichend, häufig dauert er Monate. Nachdem der Hacker in das System eingedrungen ist, überprüft er zunächst einmal, welche Informationen er bekommen kann. Erst dann schlägt er zu und verlangt Lösegeld. Häufig fordert der Hacker bzw. die mittlerweile eher Hackerindustrie zu nennende Szene auch zweimal Lösegeld, einmal für die Entschlüsselung und dann dafür, dass die gestohlenen Daten nicht im Dark-Net veröffentlicht oder verkauft werden. Hierbei handelt es sich um die sogenannte Double Extortion.
Welche Folgen kann ein Cyberangriff für ein Unternehmen haben?
Neben den Lösegeldzahlungen und dem Datenabfluss spielt die Betriebsunterbrechung eine sehr wesentliche Rolle im Schadenbild. Durch die stetig steigende Abhängigkeit von der IT sind die Folgen eines Stillstandes entsprechend schwerwiegend. Ebenso sind auch Drittansprüche im Zusammenhang mit Datenschutz und die damit verbundenen Konsequenzen, die aus der DSGVO herrühren, zu beachten. Insgesamt kosten die Informationen der Betroffenen, die Anzeige, aber auch die Wiederherstellung der Daten und Systeme Geld und Zeit. Zuletzt sind noch die teils enorm hohen Kosten für Forensik und Wiederherstellung zu nennen.
Wie verändert KI, wie zum Beispiel das Sprachmodell ChatGPT, die Risikosituation?
Die Systeme können instrumentalisiert werden. Kriminelle trainieren die KI und nutzen sie für ihre Zwecke. Die Risikosituation verändert sich dadurch aber nicht direkt.
Welche Absicherungsmöglichkeiten gibt es?
Die deas bietet Spezialprodukte für ihre Kunden an. Bei der Suche nach einer passenden Deckung kommt es auf die Branche und Größe des Unternehmens an. Hieran orientiert sich auch die Versicherungssumme. Um einen Versicherungsschutz zu erhalten, müssen die Unternehmen gewisse (Mindest-)Anforderungen im Rahmen der Informationssicherheit erfüllen. Hierzu zählen beispielsweise Anforderungen an das Backup- und Patch-Management, genauso wie an die Mitarbeiterschulung und Notfall- und Krisenplanung. Je nach Branche (vor allem im Bereich KRITIS) kann sich die Anforderung auch an den gesetzlichen Vorgaben orientieren. Natürlich müssen auch die Anforderungen an den Datenschutz gemäß der DSGVO berücksichtigt werden.
Grundsätzlich umfasst eine klassische Cyberversicherung drei wesentliche Deckungselemente. Zunächst die Cyber-Haftpflicht zur Abgeltung der Ansprüche Dritter, dann die Eigenschäden, also Schäden, die im Unternehmen selbst entstehen und Vertragsstrafen, sind versichert. Überdies sind als drittes Deckungselement auch Assistance-Leistungen enthalten. Ecclesia Cyber verfügt über ein Netzwerk an Dienstleistern, die im Notfall Hilfe leisten können. Bei den speziellen Deckungen können auch weitere Maßnahmen (bspw. Systemverbesserungen) nach einem Cyberangriff abgedeckt werden, ebenso Verdachtsfälle.
Sind Lösegeld-Forderungen in der Cyberversicherung enthalten?
Grundsätzlich ist die Lösegeldzahlung Teil des Versicherungsschutzes in der Cyberversicherung. Wie das in Zukunft aussieht, ist allerdings ungewiss. Eventuell werden dann allgemeine Verbote ausgesprochen.
Was sollten Unternehmen neben dem Abschluss einer Cyberversicherung noch tun?
Die IT-Sicherheit sollte einen hohen Stellenwert im Geschäftsbetrieb einnehmen. Die Verantwortlichen eines Unternehmens müssen die organisatorischen, personellen und technischen Voraussetzungen schaffen und Updates und Patches stets auf dem neuesten Stand halten.
Was hilft im Notfall?
Die Erarbeitung von Notfall- und Krisenplänen erleichtert den Umgang mit der akuten Krisensituation. Solche Pläne sollten sowohl in Papierform aus auch digital vorliegen. Ein Training der Szenarien bietet sich ebenfalls an.
Wie kann die Informationssicherheit definiert werden?
Ein Informationssicherheitsmanagementsystem (ISMS) beinhaltet Prinzipien oder Verfahren, mit denen Risiken identifiziert und Möglichkeiten zur Risikominderung definiert werden. Dadurch werden die Schritte systematisch geclustert, um Daten und Informationen zu sichern.
Und zum Schluss die wichtigste Erkenntnis: Cyberschutz ist ein andauernder Prozess, kein abgeschlossenes Projekt.
Ann-Cathrin Ohm