Risiken von Cyberangriffen können hoch sein, sogar geschäftsgefährdend. Perfekter Schutz ist unmöglich. Aber ist die Versicherung die Lösung? Ein Podcast zusammen mit Martin Steiger.
Datenverlust!
Den „ganz normalen“ Datenverlust führen wir uns viel zu selten vor Augen:
- Eine unwiederbringliche Datei wurde aus Versehen gelöscht,
- die Festplatte ist abgestürzt,
- eine falsche Verkabelung oder ein Blitz hat den Server fritiert,
- es regnete durch das offene Fenster auf den Laptop oder
- das Handy ist in den Rhein gefallen.
Dafür hilft ein Backup, insbesondere auch ein sogenanntes Offsite-Backup, welches an einem anderen Ort gelagert wird und somit nicht gleichzeitig Schaden nehmen kann oder gestohlen wird.
Neben dem obigen „alltäglichen“ Datenverlust sollte sich aber auch jede:r — insbesondere Firmen — vor
- einem Social-Engineering-Angriff (z.B. Anruf des „Microsoft-Supports“ oder eines angeblichen Mitarbeiters/Zulieferrs),
- gezielten Hackerangriff oder
- Ransomware schützen (heute oftmals kombiniert mit der Drohung, die erbeuteten Daten zu veröffentlichen).
Schutz?
Schon wenige Schritte können die Risiken signifikant reduzieren, das letzte Quentchen Risiko wird man aber nie ganz los, egal, wie sehr man sich auch anstrengt. Deshalb bieten viele Versicherungsgesellschaften jetzt auch Produkte an, welche die finanziellen Risiken eines Datenverlustes oder Angriffs teilweise kompensieren sollen. Diese laufen häufig unter einem hippen Namen wie z.B. „Cyberversicherung„.
Martin Steiger und ich haben uns eine solche Versicherung mal angeschaut, genauer gesagt, die Erklärung, die man als Versicherungsnehmer vor Abschluss einer solchen Police abgeben muss:
- Sie haben keine Geschäftstätigkeit und keine Einnahmequellen in den USA und/oder Kanada.
- Nur das geeignete Personal hat Zugang zu allen Servern, Firewalls und IT-Infrastrukturkomponenten.
- Backups werden mindestens wöchentlich erstellt und an einem sicheren externen Ort aufbewahrt, wozu auch ein Cloud Hosting-Service gehören kann.
- Sie verfügen über eine oder mehrere Firewalls, die den externen Zugriff auf Ihre Systeme schützen.
- Alle Systembenutzer haben individuelle, obligatorische und nicht triviale Benutzer-IDs und Passwörter mit regelmässigen Passwortänderungen.
- Die Mitarbeiter erhalten Awareness-Schulungen und/oder Informationen über Phishing und andere Angriffsarten.
- Alle PC und Server verfügen über einen Virenschutz, der regelmässig aktualisiert wird.
- Sie speichern weniger als 250’000 Datensätze mit persönlich identifizierbaren Informationen (ein Datensatz entspricht einer Person).
- Zahlungskartendaten werden niemals übertragen und werden niemals in Ihren Netzwerken oder Systemen gespeichert.
- Der gesamte Fernzugriff auf Ihre Systeme wird durch die Verwendung verschlüsselter Verbindungen wie etwa VPN geschützt.
- Ihnen sind keine Cybervorfälle, Gefährdungen von persönlichen Daten, Verletzungen der Privatsphäre, keine unvorgesehenen Netzwerkausfälle, Urheberrechtsprobleme oder sonstigen Vorfälle oder Ereignisse bekannt, die einen Anspruch im Rahmen einer Cyber-Versicherung begründen könnten.
Im Rahmen der Datenschutz-Plaudereien analysieren wir diese Aussagen und die dahintersteckenden Empfehlungen und kommen zum Schluss, dass wir beide diese Erklärung nicht ohne grössere Änderungen/Kommentare unterzeichnen könnten. Mehr dazu im Podcast oder lokal hier:
Grundsätzlich muss man sagen, dass eine Versicherung nie ein Ersatz für Datenschutz oder Datensicherheit in der Firma sein kann, sondern nur eine Ergänzung, ein zusätzliches(!) Sicherheitsnetz. Dies auch, weil das aus einem Datenverlust oder Datenklau entstehende Chaos trotzdem auf der Firma und ihren Kundenbeziehungen lasten bleibt. In einem unserer Workshops hat eine Ärztin sehr eindrücklich erzählt, alleine welches Terminchaos nach einem Ransomware-Angriff ihre Praxis über viele Wochen begleitete. Glauben Sie mir: Vorbeugen ist ganz besonders auch in diesem Fall besser als heilen.
(Bei grösseren Firmen oder bedeutenden IT-Risiken wollen Sie ein systematisches Vorgehen, beispielsweise mittels einem Datenschutz- und -sicherheitskonzeptes.)
Mehr zu Sicherheit
- Was Prozessoren und die Frequenzwand mit der Cloud zu tun haben
Seit bald 20 Jahren werden die CPU-Kerne für Computer nicht mehr schneller. Trotzdem werden neue Prozessoren verkauft. Und der Trend geht in… Was Prozessoren und die Frequenzwand mit der Cloud zu tun haben weiterlesen - Facebook: Moderation für Geschäftsinteressenmaximierung, nicht für das Soziale im Netz
Hatte mich nach wahrscheinlich mehr als einem Jahr mal wieder bei Facebook eingeloggt. Das erste, was mir entgegenkam: Offensichtlicher Spam, der… Facebook: Moderation für Geschäftsinteressenmaximierung, nicht für das Soziale im Netz weiterlesen - Was verraten KI-Chatbots?
«Täderlät» die KI? Vor ein paar Wochen fragte mich jemand besorgt, ob man denn gar nichts in Chatbot-Fenster eingeben könne, was… Was verraten KI-Chatbots? weiterlesen - Sicherheit versteckt sich gerne
Wieso sieht man einer Firma nicht von aussen an, wie gut ihre IT-Sicherheit ist? Einige Überlegungen aus Erfahrung. - Chatkontrolle: Schöner als Fiktion
Wir kennen «1984» nicht, weil es eine technische, objektive Abhandlung war. Wir erinnern uns, weil es eine packende, düstere, verstörende Erzählung… Chatkontrolle: Schöner als Fiktion weiterlesen - Chatkontrolle, die Schweiz und unsere Freiheit
In der EU wird seit vergangenem Mittwoch wieder über die sogenannte «Chatkontrolle» verhandelt. Worum geht es da? Und welche Auswirkungen hat… Chatkontrolle, die Schweiz und unsere Freiheit weiterlesen - Cloudspeicher sind nicht (immer) für die Ewigkeit
Wieder streicht ein Cloudspeicher seine Segel. Was wir daraus lernen sollten. - IT sind nicht nur Kosten
Oft wird die ganze IT-Abteilung aus Sicht der Geschäftsführung nur als Kostenfaktor angesehen. Wer das so sieht, macht es sich zu… IT sind nicht nur Kosten weiterlesen - CrowdStrike, die Dritte
In den 1½ Wochen seit Publikation der ersten beiden Teile hat sich einiges getan. Microsoft liess es sich nicht nehmen, die… CrowdStrike, die Dritte weiterlesen - Unnützes Wissen zu CrowdStrike
Ich habe die letzten Wochen viele Informationen zu CrowdStrike zusammengetragen und bei DNIP veröffentlicht. Hier ein paar Punkte, die bei DNIP… Unnützes Wissen zu CrowdStrike weiterlesen - Marcel pendelt zwischem Spam und Scam
Beim Pendeln hatte ich viel Zeit. Auch um Mails aus dem Spamordner zu lesen. Hier ein paar Dinge, die man daraus… Marcel pendelt zwischem Spam und Scam weiterlesen - Die NZZ liefert Daten an Microsoft — und Nein sagen ist nicht
Die andauernden CookieBanner nerven. Aber noch viel mehr nervt es, wenn in der Liste von „800 sorgfältig ausgewählten Werbepartnern (oder so)“… Die NZZ liefert Daten an Microsoft — und Nein sagen ist nicht weiterlesen - «CrowdStrike»: Ausfälle verstehen und vermeiden
Am Freitag standen in weiten Teilen der Welt Millionen von Windows-Rechnern still: Bancomaten, Lebensmittelgeschäfte, Flughäfen, Spitäler uvam. waren lahmgelegt. Die Schweiz… «CrowdStrike»: Ausfälle verstehen und vermeiden weiterlesen - Auch du, mein Sohn Firefox
Ich habe bisher immer Firefox empfohlen, weil seine Standardeinstellungen aus Sicht der Privatsphäre sehr gut waren, im Vergleich zu den anderen… Auch du, mein Sohn Firefox weiterlesen - «Voting Village»-Transkript
Letzten August fand an der Hackerkonferenz DEFCON eine Veranstaltung der Election Integrity Foundation statt. Sie fasste mit einem hochkarätigen Podium wesentliche… «Voting Village»-Transkript weiterlesen - «QualityLand» sagt die Gegenwart voraus und erklärt sie
Ich habe vor Kurzem das Buch «QualityLand» von Marc-Uwe Kling von 2017 in meinem Büchergestell gefunden. Und war erstaunt, wie akkurat… «QualityLand» sagt die Gegenwart voraus und erklärt sie weiterlesen - 50 Jahre «unentdeckbare Sicherheitslücke»
Vor 50 Jahren erfand Ken Thompson die «unentdeckbare Sicherheitslücke». Vor gut 40 Jahren präsentierte er sie als Vortrag unter dem Titel… 50 Jahre «unentdeckbare Sicherheitslücke» weiterlesen - Stimmbeteiligung erhöhen ohne eVoting
Eines der Argumente für eVoting ist die Erhöhung der Stimmbeteiligung. Stimmbeteiligung—nur für sich alleine gesehen—ist keine ausreichende Metrik für die Beurteilung… Stimmbeteiligung erhöhen ohne eVoting weiterlesen - 🧑🏫 «eVoting: Rettung der Demokratie oder Todesstoss?»
Die Demokratie ist unter Beschuss, neuerdings auch durch Fake News, Trollfabriken und KI. «Vote éléctronique», so heisst die elektronische Abstimmung im… 🧑🏫 «eVoting: Rettung der Demokratie oder Todesstoss?» weiterlesen - Mutmassungen über «Jia Tan»: Spuren eines Hackers
Ich habe versucht, dem mutmasslich grössten Hack der Geschichte etwas auf den Grund zu gehen. Daraus ist eine spannende Spurensuche geworden,… Mutmassungen über «Jia Tan»: Spuren eines Hackers weiterlesen - Wie erkenne ich betrügerische Webseiten — am Beispiel einer aktuellen Spamwelle
Aktuell laufen wieder Spamwellen durchs Land. Eine bot einen angeblichen Schweizer Bitcoin-ETF an, mit zuverlässiger Firma und offizieller Zulassung dahinter. Doch… Wie erkenne ich betrügerische Webseiten — am Beispiel einer aktuellen Spamwelle weiterlesen - Wie die Open-Source-Community an Ostern die (IT-)Welt rettete
Huch, waren das spannende Ostern, aus IT-Sicht! Es wurde die potenziell schlimmste IT-Sicherheitskatastrophe durch puren Zufall noch rechtzeitig abgewendet. Ansonsten hätte… Wie die Open-Source-Community an Ostern die (IT-)Welt rettete weiterlesen - Endet die Zeit im Jahr 2038?
Heute in 14 Jahren endet die Zeit, so wie sie noch viele Computer kennen. Vor allem Computer, die in anderen Geräten eingebaut… Endet die Zeit im Jahr 2038? weiterlesen - Wie zählt ein Computer?
Computer sind geprägt von Limiten: Maximale Textlängen, maximale Zahlengrössen. Nicht erstaunlich, wenn man ihre Vorfahren kennt, die Kästchenfelder und Milchbüchlein mit… Wie zählt ein Computer? weiterlesen
Schreibe einen Kommentar