Wie hoch ist Ihre Haftung in einer gehackten Welt – sind Sie abgesichert?
ZUSAMMENFASSUNG
Wenn Apps vom Rechenzentrum in die Cloud verlagert werden, sind Unternehmen zwangsläufig gezwungen, Risiken auf vier Arten anzugehen: Minderung, Vermeidung, Akzeptanz und Übertragung. In diesem Artikel geht es um diesen letzten Weg, die Risikoübertragung – und insbesondere um die Notwendigkeit einer Cyber-Versicherung. Da Verstöße immer häufiger vorkommen oder gar unvermeidbar sind, ist der Versicherungsbedarf exponentiell gestiegen. Dies gilt auch für die Fähigkeit der Versicherer, Risiken einzuschätzen und Verbesserungen zu empfehlen. Jedes Unternehmen sollte den Abschluss einer Cyber-Versicherung in Erwägung ziehen.
5 Min. LESEN
Jedes Unternehmen sollte den Abschluss einer Cyber-Versicherung in Erwägung ziehen. Sie werden erstaunt sein, was Sie aus diesem Prozess lernen können.
Vor Jahren bestand die Beantragung einer Cyber-Versicherung darin, ein einziges Formular auszufüllen, ein paar Fragen zu beantworten und zu bestätigen, dass Ihr Unternehmen bestimmte Standards einhält. Heutzutage ist der Prozess viel mühsamer und intensiver, aber auch viel lehrreicher – nicht nur für den Versicherer, sondern auch für Sie. Sie können viel über die Risiken erfahren, denen Ihr Unternehmen ausgesetzt ist, wenn Sie sich die Zeit nehmen, einen Application auf eine Cyber-Versicherung auszufüllen.
Das Durchstehen dieses Prozesses kann dazu beitragen, Schwächen und Mängel in Ihrer Strategie aufzudecken.
Manche Risiken sind für jeden offensichtlich, der die heutigen Schlagzeilen liest: Datenlecks, cyberbedingte Betriebsunterbrechungen (DDoS-Angriffe) und Cyber-Erpressung sind die drei wichtigsten Gründe, warum Unternehmen sich nach einer Cyber-Versicherung umsehen.
Es gibt jedoch auch viele nicht so offensichtliche Risiken. Viele Unternehmen nutzen beispielsweise eine Cyber-Versicherung, um das Risiko einer unbeabsichtigten Nichteinhaltung von Vorschriften abzusichern. Tatsächlich ist die Vermeidung von Bußgeldern und Strafen einer der häufigsten Gründe dafür, dass Unternehmen eine Cyber-Versicherung abschließen. Auch wenn Sie glauben, dass Sie die Vorschriften einhalten, kann das Risiko, dass Sie das eine oder andere „i“ vergessen haben, den Abschluss einer Cyber-Versicherung lohnenswert machen. Wenig überraschend gehören die drei Branchen, die in Zukunft wahrscheinlich die meisten Cyber-Versicherungen abschließen werden, auch zu den am stärksten regulierten: professionelle Dienstleistungen, Finanzdienstleistungen und das Gesundheitswesen.
Warum sind Versicherungs Applications so hilfreich? Denn Versicherer möchten genau das überprüfen, was auch Sie wissen müssen: dass Sie über eine starke Strategie und Prozesse verfügen, um Angriffe abzuwehren und Schäden zu begrenzen. Wenn Sie den Prozess der Erläuterung der Sicherheitstechnologien, -prozesse und -richtlinien Ihres Unternehmens überstehen, können Sie Schwächen und Mängel in Ihrer Strategie aufdecken. Es ist eine harte Herausforderung, aus der Ihr Unternehmen jedoch gestärkt hervorgehen wird.
Kennen Sie Ihren Sicherheitswert
Versicherungsunternehmen nutzen zunehmend Sicherheitsbewertungssysteme wie BitSight, SecurityScorecard und sogar FICO, das sein eigenes Bewertungssystem kürzlich um den Bereich Sicherheit erweitert hat. Solche Dienste überwachen ständig nach außen sichtbare Ereignisse – darunter Spam-Relays, kompromittierte Computer innerhalb des Netzwerks Ihrer Firma und offene Ports innerhalb des IP-Adressraums Ihres Unternehmens – die Hinweise darauf geben, ob das Netzwerk Ihres Unternehmens angegriffen wurde.
665.000 US-Dollar
Die durchschnittlichen Kosten eines Verstoßes von 2013 bis 2015. Der durchschnittliche Datenverlust betrug über zwei Millionen Datensätze.
Ähnlich einem Kredit-Score bieten solche Dienste eine externe Sicht auf Ihren internen Zustand – in diesem Fall Ihre Sicherheitslage. Sie können sogar dabei helfen, Verstöße zu erkennen und dem Management einen Anhaltspunkt dafür geben, wie Ihr Unternehmen im Vergleich zu Mitbewerbern abschneidet.
Finden Sie heraus, ob Sie versichert sind
Leider verstehen viele Unternehmen nicht genau, was ihre Versicherung abdeckt. Für Eigenheimbesitzer kann es ein Schock sein, wenn sie erfahren, dass Überschwemmungen nicht durch ihre Gebäudeversicherung abgedeckt sind. Und für Unternehmen kann es sein, dass ein Vorfall nicht durch ihre Cyber-Versicherung abgedeckt ist.
Denken Sie deshalb über die Durchführung von Planspielen nach, bei denen Sie unterschiedliche Deckungsszenarien durchgehen können. Wenn Ihr Netzwerk aufgrund von Sicherheitsmängeln einer Drittanbieter-App angegriffen wird, ist Ihr Unternehmen dann durch die in Betracht gezogene Versicherungspolice abgedeckt? Was wäre, wenn eine Ihrer Mitarbeiterinnen auf dem Firmenparkplatz einen USB-Stick findet, ihn in ihren Laptop einsteckt und damit Ihr Netzwerk lahmlegt, wodurch Ihre E-Commerce-Site aus dem Netz geht? Sind die entgangenen Einnahmen gedeckt?
Viele Versicherer versuchen, ihre potenziellen Kosten zu minimieren, indem sie die Deckungssummen reduzieren oder Ausnahmen in ihren Versicherungsschutz aufnehmen. Es ist wichtig, diese Grenzen bei der Bewertung von Richtlinien und der Überprüfung von Szenarien zu berücksichtigen.
Auch kleinere Unternehmen und Zulieferer brauchen Versicherungsschutz
Laut der NetDiligence Cyber Claims Study 2016 führte ein durchschnittlicher Verstoß zwischen 2013 und 2015 zu einem Verlust von über zwei Millionen Datensätzen und Kosten von 665.000 US-Dollar. Die Studie ergab, dass die Mehrheit der Ansprüche von Unternehmen mit einem Umsatz von weniger als 2 Milliarden Dollar geltend gemacht wird.
Wie die Zahlen zeigen, sind Unternehmen jeder Größe von Cyber-Ereignissen betroffen und benötigen eine Cyber-Versicherung, auch kleinere Organisationen. Große Unternehmen sollten darüber nachdenken, von ihren Zulieferern ebenfalls einen gewissen Versicherungsschutz zu verlangen.
Schließlich müssen Unternehmen jeder Größe darauf achten, dass ihre Selbstbeteiligung nicht zu hoch ist und dass sie verstehen, welche Faktoren bei der Berechnung des Schadens berücksichtigt werden. Wenn Ihre Versicherung einen Vorfall nicht abdeckt, weil er unter Ihre Selbstbeteiligung fällt, ist der Versicherungsschutz wertlos.
Sara Boddy leitet derzeit F5 Labs, die Abteilung für Bedrohungsinformationen von F5 Networks. Zuvor war sie bei Demand Media als Vizepräsidentin für Informationssicherheit und Business Intelligence tätig und kam von dort zu F5. Sara leitete sechs Jahre lang das Sicherheitsteam bei Demand Media. Vor ihrer Tätigkeit bei Demand Media war sie elf Jahre lang in verschiedenen Beraterfunktionen im Bereich Informationssicherheit bei Network Computing Architects und Conjungi Networks tätig.