IT-Rebellen Das Blog für IT- und Businessentscheider, die neue Wege gehen wollen.
Bild von tswedensky auf Pixabay
Cyberversicherungen stellen eines der wachstumsstärksten Segmente des Versicherungsmarktes dar. Immer mehr Unternehmen versuchen, sich gegen absehbare und unabsehbare Risiken in Verbindung mit Datendiebstahl und -manipulation, Online-Spionage oder Ausfallzeiten aufgrund von Cyberangriffen abzusichern. Doch nach Beobachtungen von Radware hält nicht jede dieser Versicherungen das, was der Kunde sich davon verspricht. Das liege nicht unbedingt nur an der Versicherung, sondern oft auch an der Erwartungshaltung des Kunden.
So seien viele Policen vor allem darauf ausgelegt, die Kosten im Zusammenhang mit dem Verlust von Kundendaten zu decken, beispielsweise die Unterstützung eines Unternehmens bei der Kreditprüfung oder der Deckung von Rechtsberatung und Gerichtskosten. Viele andere Risiken bleiben dabei unversichert. Zum Beispiel berufen sich die Versicherer zunehmend auf eine „Kriegsausschluss“-Klausel, die sie vor Kosten im Zusammenhang mit Kriegsschäden schützt, ohne dass diese Kriegsschäden detailliert spezifiziert werden. Angesichts der Zunahme der von Nationalstaaten initiierten Angriffe könne dies für den Versicherten eine große Deckungslücke bedeuten. So weigerten sich beispielsweise die Versicherungen von Mondelez und Merck, Schäden von mehreren hundert Millionen Dollar durch die NotPetya-Attacken zu ersetzen, da die US-Regierung Russland für diese Angriffe verantwortlich machte und die Schäden als Kollateralschaden im Cyberwar angesehen wurden. Sowohl Mondelez als auch Merck wehren sich vor Gericht dagegen, aber diese Fälle werden wahrscheinlich Jahre dauern und immense Anwaltskosten bedingen, bis sie gelöst sind.
Ausschlüsse auch in Deutschland
Dieses Problem sei nicht auf die USA beschränkt – auch die Allgemeinen Versicherungsbedingungen für die Cyberrisiko-Versicherung (AVB Cyber) des Gesamtverbandes der Deutschen Versicherungswirtschaft e.V. (GDV) schließen Versicherungsfälle oder Schäden aufgrund von Krieg ausdrücklich aus. Zwar seien Versicherer an diese Musterbedingungen nicht gebunden, aber die individuellen Bedingungen werden in der Regel nicht stark davon abweichen.
„Neben dem Ausschluss gewisser Risiken müssen Unternehmen sich aber auch zwingend mit den weiteren Bedingungen solcher Cyberversicherungen beschäftigen“, kommentiert Michael Tullius, Regional Director DACH bei Radware. „Ebenso wie die Hausratversicherung nicht einen Cent zahlen wird, wenn Diebe auf offene Fenster und Türen treffen, wird auch keine Cyberversicherung eintreten, wenn nicht alle zumutbaren Vorkehrungen getroffen wurden, um den Schadensfall zu vermeiden. Eine Cyberversicherung kann eine sinnvolle Ergänzung von Abwehrmaßnahmen auf dem aktuellen Stand der Technik sein, aber niemals ein Ersatz dafür. Da gibt es oft eine trügerische Sicherheit.“
Für Unternehmen bedeute dies, dass sie die Sicherheit priorisieren müssen, statt sie als Add-on zu betrachten oder zu warten, bis sie von einem Angriff getroffen wurden.
Einige Voraussetzungen für den Versicherungsschutz
- Installation eines umfassenden DDoS-Schutzes und von Lösungen für die Sicherung von Anwendungen.
- Schulung von Mitarbeitern.
- Prinzip der geringsten Berechtigungen. Dies gilt insbesondere für Unternehmen, die in einer Public Cloud-Umgebung tätig sind oder in eine solche migrieren.
- Multi-Faktor-Authentifizierung.
Diese oder ähnliche Maßnahmen nennen auch die AVB Cyber des GDV als Voraussetzungen für den Versicherungsschutz – ein Verstoß dagegen entspreche der offenen Tür bei der Hausratversicherung. Versicherungsschutz werde daher in Zukunft nur unter Auflagen in Bezug auf die Informationssicherheit zu bekommen sein.
