Cyberversicherung – Voraussetzungen des Schutzes
Etwa 90 % der deutschen Unternehmen sind nach aktuellen Angaben Opfer von Cyberattacken geworden. Die Bedrohungslage verschärft sich immer weiter. Schäden von Ransom-Zahlungen könnten nach aktuellen Angaben sogar das Konzept der Cyberversicherung ins Wanken bringen. Ein Grundsatzkatalog mit Sicherheitsmaßnahmen der IT soll Schäden eindämmen.
Mit einer Cyberversicherung für Unternehmen sind Organisationen gegen Schäden durch lahmgelegte Infrastruktur oder Ransomware-Attacken, bei denen Angreifer mit erbeuteten Daten und gesperrten Systemen ein Lösegeld verlangen, abgesichert. Doch der Abschluss der Versicherung erfordert, dass bestimmte Sicherheitsmaßnahmen eingehalten werden. Diese werden durch den Gesamtverband der Versicherer (GDV) definiert und vor Vertragsabschluss durch die Versicherer geprüft.
Nur gegen Nachweis: Cyberversicherungen erfordern Grundschutz
Ein Cyberangriff ist keine Frage des ob, sondern nur noch des wann. Laut Umfragen von Bitkom geben 9 von 10 Unternehmen an, schon Opfer von Cyberattacken geworden zu sein. Schäden für die deutsche Wirtschaft. 2017 seien es dagegen nur 50 % der Befragten gewesen.
Auch die Schadenssummen zeigen deutlich den Handlungsbedarf für Unternehmen, Organisationen oder Betreiber kritischer Infrastruktur. Im Jahr 2021 lagen die Schäden laut Studie bei 220 Mrd. €. Seit den Vergleichsjahren 2018/19 haben sich diese mehr als verdoppelt. Damals lag die Gesamtsumme bei 103 Mrd.€.
Zahlen als Herausforderung für Versicherer
Einige Versicherer wissen nicht, wie sie den Schadenssummen durch Lösegelder bei Ransomware-Attacken in Zukunft wirtschaftlich nachkommen könnten. Ein geeigneter Grundschutz ist die wichtigste Voraussetzung. Dieser müsste durch gesetzliche Bestimmungen wie ein Verbot der Zahlung von Bestechungsgeldern und weitere Maßnahmen verstärkt werden. Die Schäden durch Cyberangriffe überstiegen die durch Naturkatastrophen. Gefährdet seien auch Teile der kritischen Infrastruktur.
Gegenstand der Cyberversicherung
Die Aufgabe der Versicherungen ist es, im eingetretenen Schadensfall in Folge Cyberattacke, die Kosten durch Schäden zu einem Teil abzudecken. Rahmenbedingungen definieren die Art der Schäden, Verursacher der Schäden, die Höhe der Versicherung im Schadensfall, Ausnahmen und weitere Rahmenbedingungen.
Der Vergleich der Cyberversicherungen für Unternehmen erfolgt daran, wie diese sich für eventuelle Schadensfälle und Szenarien in der Branche und in der Organisation eignen. Wichtiger Bestandteil ist auch die Definition des Status quo vor Eintritt in die Versicherung. Die Grundlagen der IT-Sicherheit wurden vom GDV als Obliegenheiten vor Eintritt des Versicherungsfalls definiert.
Obliegenheiten des Cyber-Versicherungsschutzes
Der Gesamtverband der Versicherer (GDV) definierte schon 2017 Allgemeine Versicherungsbedingungen für die Cyberrisiko-Versicherung (AVB Cyber). Bereits damals wurde die steigende Gefahr für Unternehmen und die kritische Infrastruktur erkannt. Vergleichbar sind diese Voraussetzungen mit der Auswirkung bestimmter Sicherheitsmaßnahmen – versichert ist, was hinter dem abgeschlossenen Tor oder eben der digitalen Sperre verborgen liegt.
Grundlegend ist dabei, dass ein Rollenmodell mit klar definierten einzelnen Nutzern und passwortgesicherten Zugängen sowie zusätzlichen Sicherheitsmaßnahmen für Administratoren und den Zugriff auf Server vorhanden sind. Auch müssen Befugnis Ebenen unterschieden werden – eine Grunddisziplin des Rollenmanagements und Lifecycle-Managemens im IAM von OGiTiX unimate.
Unternehmen sollen zudem geltende gesetzliche Grundlagen einhalten. Die Cyberversicherung der Arztpraxis oder für ein Krankenhaus ist demnach an die Erfüllung branchenspezifischer Sicherheitsstandards (B3S), Patientendatenschutzgesetz und weitere Maßnahmen für kritische Infrastrukturen gekoppelt.
IAM Grundschutz & Cyberversicherung im Unternehmen
Durch die Obliegenheiten des GDV wird Identity and Access Management für die Orchestrierung von Identitäten und Zugriff auf Ressourcen und Systeme zu einem wichtigen Schlüssel. Als Grundlage für die IT-Sicherheit schützen klar definierte Strukturen, Rollen und Zugriffe Daten der Organisation.
OGiTiX unimate eignet sich darüber hinaus auch als Baustein für die Erfüllung von ISO27001, Branchenspezifischer Sicherheitsstandards im Gesundheitssystem, den Schutzbestimmungen des TISAX und weiteren branchenspezifischen Compliance-Vorgaben.
Wie bei einem guten Einbruchsschutz kann die Absicherung mit den IAM-Anwendungen auch eine Basis für die Senkung der Versicherungsgebühren sein. Schließlich schützen Mechanismen Wie RBAC, Least-Privilege-Prinzip (PoLP) und weitere Maßnahmen wie Auditierbarkeit die Organsiation und helfen dabei, diesen Status auch entsprechend nachzuweisen.
Hier finden Sie die Allgemeinen Versicherungsbedingungen der GDV im Internet (extern). Beachten Sie, dass diese ein Muster sind und sich die Obliegenheiten der einzelnen Versicherer unterscheiden können.
IAM-Mehrwert reicht über Maßnahmenkatalog
Mit der Automatisierung durch OGiTiX unimate profitieren Organisationen aus Wirtschaft und kritischer Infrastruktur durch modular wachsende Lösungen. Der Mehrwert ergibt sich durch die Erreichung von Teilzielen auf einer Roadmap, kalkulierbare Einsparungen sowie Vereinfachungen im Arbeitsalltag verschiedener Branchen.