Cyberversicherungen

Sind Cyberversicherungen Teil eines ganzheitlichen Security-Konzepts?

Sind Cyberversicherungen Teil eines ganzheitlichen Security-Konzepts?

Cyberattacken treffen Unternehmen jeder Größe. Allerdings leiden kleine und mittelständische Betriebe besonders stark unter den Auswirkungen von Angriffen. In Cyber-Policen sehen viele eine Entlastung. Doch die angespannte Bedrohungslage hat Cyberversicherungen für Versicherungsanbieter zu einem riskanten Geschäft gemacht. Die Kunden bekommen das zu spüren.

Mit Andreas Müller, Vice President DACH bei Delinea , sprachen wir über steigende Prämien, strengere Anforderungen und welche Rolle Identitätssicherheit bei der Bewertung und Milderung von Cyberrisiken spielt.

Wie sinnvoll sind Cyberversicherungen heutzutage und für wen genau?

Andreas Müller, Vice President DACH bei Delinea

Die Frage, für wen sich eine Cyberversicherung heutzutage lohnt, stellt sich eigentlich nicht mehr. Sie ist mittlerweile ein selbstverständlicher Teil eines ganzheitlichen Cybersecurity-Konzepts. Unternehmen haben erkannt, dass immer mehr Kunden, Zulieferer aber auch Investoren einen Versicherungsschutz gegen Cyber-Risiken bei Geschäftspartnern voraussetzen. Kurz, eine Cyber-Police gilt heutzutage als Qualitätsmerkmal. Denn Unternehmen, die versichert sind, erfüllen eine Reihe von hohen Anforderungen und haben sich mit ihrer Sicherheitslage auseinandergesetzt.

Die Versicherungsunternehmen können hiervon eigentlich nur profitieren, oder?

Die Versicherer haben in den letzten Jahren viel dazugelernt. Das Angebot im deutschen Markt ist deutlich gewachsen und Tarife und Prämien sind nun deutlich heterogener als noch vor ein paar Jahren.

Ging es ihnen in den Anfängen der Cyberversicherung vor allem darum, eine große Nachfrage zu befriedigen und viele Kunden anzuwerben, haben sie in den letzten Jahren aber auch erkennen müssen, dass sie ihr eigenes Risiko besser kontrollieren müssen. Denn es haben zwar immer mehr Unternehmen Versicherungen abgeschlossen, gleichzeitig wurden jedoch auch immer mehr Ansprüche geltend gemacht. So zeigt unser aktueller „2023 State of Cyber Insurance“-Report, dass immerhin 47 Prozent der Versicherungsnehmer in den USA ihre Versicherung mehr als einmal im vergangenen Jahr in Anspruch genommen haben. Ein ähnliches Bild zeichnet auch der der Gesamtverband der Deutschen Versicherungswirtschaft: Demnach stieg die Schadenquote im Jahr 2021 auf 124 Prozent.

Darauf müssen die Anbieter natürlich reagieren, wenn sie die eigenen Kosten unter Kontrolle halten möchten. Konkret bedeutet dies einen Rückzug von der Deckung kritischer Risiken, teils erhebliche Beitragserhöhungen sowie strengere Risikoüberprüfungen für die Kunden. Die befragten IT-Manager in unserem Report sprechen etwa von einer Erhöhung der Versicherungstarife um 50 bis 100 Prozent in jüngster Zeit.

Mit welchen Herausforderungen sehen sich IT- und Security-Abteilungen beim Abschluss einer Cyber-Police konfrontiert?

Der Abschluss einer umfassenden Cyberversicherung wird für Unternehmen immer zeit- und ressourcenaufwendiger. Was früher in ein paar Tagen erledigt war, nimmt heute immer öfter sechs Monate oder sogar länger in Anspruch. Das liegt vor allem daran, dass die Versicherer immer strengere Vorgaben an die Cybersicherheit der Unternehmen stellen. Nicht selten werden die Verantwortlichen beim Prozess mit unerwarteten Vorschriften konfrontiert. Sie müssen dann nachrüsten und neue Sicherheitslösungen evaluieren und implementieren. Das ist aber nicht mal eben in ein bis zwei Wochen erledigt.

Zudem erhöhen die Versicherer die Ausschlusskriterien immer wieder. So kann es sein, dass Lösegeldzahlungen nach Ransomware-Attacken oder Schäden, die durch menschliches Versagen verursacht wurden, nicht übernommen werden. Dies müssen die Verantwortlichen zuvor genauestens prüfen, um später keine bösen Überraschungen zu erleben.

Welche Bereiche sind Versicherern besonders wichtig, wenn es um das Umsetzen einer umfassenden Sicherheitsstrategie geht?

Bei der Risikobewertung durch die Versicherer wird zunehmend darauf geachtet, wie Unternehmen Identitäten und Zugriffe auf privilegierte Accounts verwalten und absichern. Dies liegt daran, dass ein Großteil der Cyberangriffe auf Unternehmen heute einen gemeinsamen Nenner haben – die Ausnutzung von kompromittierten Benutzer- und Maschinen-Identitäten.

Auch der jüngste Verizon Data Breach Investigation Report zeigt, dass gestohlene Anmeldedaten mittlerweile die wichtigste Methode für Angreifer sind, um auf Netzwerke zuzugreifen. Ganz gleich, ob es sich um einen Phishing-Betrug handelt, der auf einen ahnungslosen Mitarbeiter abzielt, oder um einen ausgeklügelten Einbruch, bei dem gestohlene Anmeldedaten genutzt werden, um sich Zugang zu verschaffen: Die Manipulation von Identitäten ist eine der wichtigsten Waffen im Arsenal von Cyberkriminellen, denn sind die Angreifer in der Lage, die Kontrolle über ein privilegiertes Konto mit einer höheren Ebene des Systemzugriffs zu erlangen, wird der Schaden schnell existenzbedrohend.

Wie können Unternehmen dieses Risiko minimieren und den Versicherern eine durchdachte Identity-Security-Strategie vorweisen?

Privileged-Access-Management (PAM) ist der Dreh- und Angelpunkt einer ausgereiften digitalen Identitätsstrategie, weshalb immer mehr Versicherungsunternehmen die Implementierung einer modernen PAM-Lösung von ihren Kunden erwarten. Sie ermöglicht es Unternehmen, umfassend zu kontrollieren, worauf einzelne Benutzer zugreifen können, und stellt sicher, dass nur autorisierte Benutzer Zugriff auf wichtige Ressourcen haben. Indem ein strenger Least-Privilege-Ansatz umgesetzt wird, können identitätsbasierte Angriffe abgewehrt und deren Auswirkungen gemindert werden.

Eine gute PAM-Lösung deckt dabei mehrere Kernanforderungen an die Identitätssicherheit ab. So helfen beispielsweise Asset-Tracking und Inventarisierungsfunktionen für privilegierte Konten Unternehmen dabei, ein genaues Bild davon zu erstellen, wie verschiedene Konten auf Systeme zugreifen können und welche Kontrollen zu ihrer Verwaltung vorhanden sind. Darüber hinaus kann PAM mit der Multi-Faktor-Authentifizierung (MFA) eine zusätzliche Sicherheitsebene bieten, um sicherzustellen, dass der Benutzer, der den Zugriff beantragt, auch derjenige ist, für den er sich ausgibt. Kontinuierliche Überwachung, Sitzungsaufzeichnung und Risikoanalyse für privilegierte Konten versetzt die Unternehmen zudem in die Lage, ungewöhnliche Aktivität zu erkennen und zu isolieren.

All diese Kontrollen stellen also sicher, dass nur zugelassene Identitäten auf privilegierte Konten zugreifen oder erhöhte Rechte für zugelassene Aktivitäten erhalten können, was die Möglichkeiten von Bedrohungsakteuren einschränkt. Dies wiederum erfreut die Versicherer.