Eine hundertprozentige Sicherheit existiert nicht! Wenn ein Unternehmen von einer Cyberattacke betroffen ist, muss es mit kostspieligen Folgen rechnen. Diese können in finanzieller, regulatorischer und rufschädigender Hinsicht fast existenzbedrohend sein. Das Ziel der Cyberversicherungen ist es daher, die Auswirkungen dieser Folgen abzufedern. Die Höhe der Prämien und die Versicherbarkeit sind jedoch von vielen Faktoren abhängig. Diese haben Unternehmen weitgehend selbst in der Hand, wodurch eine neue und spannende Dynamik entsteht.

Nach einer Cyberattacke muss ein Unternehmen organisatorische und technische Korrekturmaßnahmen durchführen sowie sich mit den Folgen auseinandersetzen, deren Korrekturen schwer, indirekt oder gar nicht beeinflussbar sind.

Viele der Folgekosten können jedoch versichert werden:

• Kosten für die Informationskampagnen betroffener Kunden im Falle eines Data Breach.
   
• Monetärer Verlust, während der Aufräumarbeiten, bis das Unternehmen sich vom Data Breach erholt hat und wieder vollständig leistungsfähig ist.
   
• Kosten der Aufwände für die Datenforensik nach einem Data Breach.
   
• Verluste der Geldmittel durch temporäres Aussetzen der Unternehmensaktivitäten oder negative Folgen für Markenreputation.
   
• Kosten verursacht durch Ransomware, wie Lösegeldforderungen und System-Down-Time.

Zusätzlich zur Kostenabdeckung bieten Versicherungen Dienstleistungen von spezialisierten Cyber Security Unternehmen an, die Versicherte in der Bewältigung der Folgen von Cyberattacken unterstützen – wie z. B. bei der Durchführung von datenforensischen Untersuchungen.

Bevor ein Unternehmen versichert und die Leistungen sowie Prämien der Versicherung festgelegt werden können, müssen eine Reihe von Vorbedingungen erfüllt werden. Diese sind sowohl organisatorischer wie auch technischer Natur. Die Risikomodelle, die hier herangezogen werden, sind komplex und berücksichtigen Faktoren wie Branche des Unternehmens (z.B. gehören Gesundheitswesen und Energiesektor zu besonders gefährdeten Bereichen), Umgang des Unternehmens mit vergangenen Sicherheitsvorfällen und die Sicherheitsinfrastruktur des Unternehmens. Agiert ein Unternehmen nicht risikoorientiert, kann es in den meisten Fällen nicht versichert werden.

Die Antwort darauf, was ein Unternehmen tun kann, um die Risiken von Cyberattacken zu minimieren, ist nicht neu: Beginnend mit dem durchgängigen Einsatz von Multi-Faktor-Authentifizierung, Einsatz von Privileged Account Management, Identity & Access Management, Single-Sign-On, Passwortmanagement, E-Mail-Phishing/SPAM-Abwehrtechnologien, System-Backup-, Recovery- und Patch-Strategien, Verschlüsselung von Daten und Kommunikationskanälen bis zur Schulung der Mitarbeitenden zur Abwehr von Social Engineering Attacken und der Implementierung von Security Frameworks ist die Bandbreite groß.

Eine neue Dynamik

Mit der Verbreitung von Cyberversicherungen bekommt das Gebiet der Cybersicherheit einen neuen Treiber: diesmal sind es jedoch nicht nur die IT-Compliance und die interne IT-Sicherheitspolitik. Versicherungen stellen ebenfalls Bedingungen, die den Cyber Security Best Practices und Security Frameworks entnommen werden können, jedoch mit einem Twist: Es reicht nicht, eine Technologie oder Methodologie implementiert zu haben: die richtige Implementierung und das richtige Sicherheitsprodukt spielen dabei eine entscheidende Rolle. Da die Sicherheitsindustrie eine schier unüberschaubare Vielfalt an Soft- und Hardware-Produkten bietet, ist die Wahl und Kombination der richtigen Sicherheitsprodukte, die zu einer kohärenten Sicherheitslösung führen, umso schwieriger.

Bevor sich ein Unternehmen mit der Wahl des richtigen Produktes auseinandersetzt, empfiehlt es sich, ein entsprechendes produktunabhängiges Assessment durchzuführen. Dieses bietet ein umfassendes, konsistentes Bild der Ist-Situation, identifiziert vorhandene Probleme und definiert vorbereitende Maßnahmen.

Kein Unternehmen ist zu klein, um von Cyberattacken verschont zu bleiben. Eine Cyberversicherung hilft im Ernstfall, wenn ein Unternehmen mit den Folgen einer Cyberattacke zu kämpfen hat. Die Versicherung ist eine Ergänzung und kein Ersatz für IT-Sicherheits-Governance, die kontinuierlich weiterentwickelt werden muss, um dem technologischen Fortschritt der Angreifer standzuhalten. Deswegen sind professionell eingesetzte Autorisierungs- und Authentifizierungslösungen wie MFA, IAM und PAM zu Grundkomponenten einer erfolgreichen IT-Sicherheitsstrategie für Unternehmen geworden.

IPG ist Experte in IAM und bietet eine hohe Kompetenz in der Beratung und Implementierung sorgfältig ausgewählter Sicherheitsprodukte aus den Bereichen von Privileged Account Management, Identity & Access Management, Customer Identity & Access Management und Single-Sign-On. Darüber hinaus stehen Ihnen die Experten der IPG mit einem 360 Grad Assessment gerne zur Verfügung.