Cyberversicherung als notwendige Maßnahme für Cybersicherheit
Der geschilderte Sicherheitsvorfall macht einmal mehr deutlich, wie wichtig die professionelle Beratung im Hinblick auf notwendige Maßnahmen zur Cybersicherheit ist und dass der Abschluss einer Cyberpolice für jedes Unternehmen Standard sein sollte. Unabhängig vom Produktgeber nähern sich aktuell viele Versicherer in ihren Leistungen einander an, und zwar so, dass die nachfolgenden Leistungen grundsätzlich gleich sind, im Einzelfall aber abweichen können.
Ein praktisches Beispiel zeigt, was Cyberversicherungen für Unternehmen bei solchen Vorfällen leisten:
Die Musterpumpenbau GmbH hat 150 Mitarbeiter und macht einen Umsatz von 19,7 Mio. Euro p. a. Zur Kommunikation wird ein Exchange-Server eingesetzt. Das Unternehmen wurde postalisch vom BSI wegen der Sicherheitslücke kontaktiert, da die normalen Warnmails beim Kunden nicht mehr ankamen. Sie waren vom System automatisch gelöscht worden – ein erstes Anzeichen, dass auch Musterpumpenbau dem Angriff zum Opfer gefallen war. Das Unternehmen reagierte umgehend und kontaktierte seinen Versicherer über die Notfallnummer.
Der Dienstleister des Versicherers hat sich dann über eine gesicherte Verbindung auf das System aufgeschaltet und umgehend mit der Diagnose begonnen. Dabei stellte sich heraus, dass bereits eine Webshell installiert und auch Daten kopiert worden waren. Nachdem die Forensiker den Umfang des Angriffs analysiert hatten, erfolgte die form- und fristgerechte Meldung an die zuständige Landesdatenschutzbehörde durch den hinzugezogenen Rechtsanwalt und Datenschutzbeauftragten. Im nächsten Schritt wurde der Exchange-Server vom IT-Dienstleister vor Ort komplett neu aufgesetzt und gepatcht, dann wurden die vorhandenen Datensicherungen wieder eingespielt. Die betroffenen Kunden wurden darüber informiert, dass Daten durch den Angriff abgeflossen waren, und vor gegebenenfalls eingehenden Falschmails gewarnt.
Die Gesamtkosten für diesen Schaden beliefen sich auf 106.587 Euro. Diese wurden vom Versicherer komplett übernommen. Um Unternehmen automatisch und rechtzeitig darüber zu informieren, dass Kriminelle sich auf ihre Systeme aufgeschaltet haben, setzen immer mehr Versicherer deshalb zum Beispiel auch auf eine digitale Alarmanlage wie „CyCo-Trap“.
Aus Sicherheitsvorfällen lernen
Die Aussagen von Unternehmern „der Vorfall betrifft mich nicht“, „mein Unternehmen ist zu klein“ oder „ich nutze keinen Exchange-Server“ als Argumente gegen eine Cyberversicherung sind zu kurz gedacht und oftmals folgenschwer. Ohne eine Cyberpolice stellt sich beim skizzierten Beispiel die Frage, wer die Kosten von 106.587 Euro übernimmt. Die Antwort der Unternehmerkunden, dass Microsoft als Hersteller verantwortlich sei und die Kosten trage, scheint zwar plausibel, ist aber dennoch nicht korrekt, denn das Unternehmen hat dies explizit ausgeschlossen. Der Kunde hat den AGB zugestimmt mit der Folge, dass er auf den Kosten sitzen bleibt.
Wie kann sich ein Unternehmer gegen Sicherheitslücken von Herstellern schützen? Der Unternehmer ist eigentlich Opfer, muss sich aber wie ein Täter nicht nur enthaften und entlasten, sondern auch noch für den Schaden aufkommen.
Fazit
Eine Cyberversicherung ist heutzutage ein Muss für jedes Unternehmen. Die Frage ist nicht mehr, ob ich gehackt werde, sondern ob ich mein Unternehmen vor oder erst nach einem entstandenen Angriff versichere.
Den Artikel lesen Sie auch in AssCompact 07/2021 und in unserem ePaper.
Bild oben: © Melica – stock.adobe.com
Seite 1 Alarmstufe Rot – Sofortiges Handeln erforderlich!
Seite 2 Cyberversicherung als notwendige Maßnahme für Cybersicherheit
Nikolaus Stapels 
- Anmelden, um Kommentare verfassen zu können
