Risiken von Cyberangriffen können hoch sein, sogar geschäftsgefährdend. Perfekter Schutz ist unmöglich. Aber ist die Versicherung die Lösung? Ein Podcast zusammen mit Martin Steiger.
Datenverlust!
Den „ganz normalen“ Datenverlust führen wir uns viel zu selten vor Augen:
- Eine unwiederbringliche Datei wurde aus Versehen gelöscht,
- die Festplatte ist abgestürzt,
- eine falsche Verkabelung oder ein Blitz hat den Server fritiert,
- es regnete durch das offene Fenster auf den Laptop oder
- das Handy ist in den Rhein gefallen.
Dafür hilft ein Backup, insbesondere auch ein sogenanntes Offsite-Backup, welches an einem anderen Ort gelagert wird und somit nicht gleichzeitig Schaden nehmen kann oder gestohlen wird.
Neben dem obigen „alltäglichen“ Datenverlust sollte sich aber auch jede:r — insbesondere Firmen — vor
- einem Social-Engineering-Angriff (z.B. Anruf des „Microsoft-Supports“ oder eines angeblichen Mitarbeiters/Zulieferrs),
- gezielten Hackerangriff oder
- Ransomware schützen (heute oftmals kombiniert mit der Drohung, die erbeuteten Daten zu veröffentlichen).
Schutz?
Schon wenige Schritte können die Risiken signifikant reduzieren, das letzte Quentchen Risiko wird man aber nie ganz los, egal, wie sehr man sich auch anstrengt. Deshalb bieten viele Versicherungsgesellschaften jetzt auch Produkte an, welche die finanziellen Risiken eines Datenverlustes oder Angriffs teilweise kompensieren sollen. Diese laufen häufig unter einem hippen Namen wie z.B. „Cyberversicherung„.
Martin Steiger und ich haben uns eine solche Versicherung mal angeschaut, genauer gesagt, die Erklärung, die man als Versicherungsnehmer vor Abschluss einer solchen Police abgeben muss:
- Sie haben keine Geschäftstätigkeit und keine Einnahmequellen in den USA und/oder Kanada.
- Nur das geeignete Personal hat Zugang zu allen Servern, Firewalls und IT-Infrastrukturkomponenten.
- Backups werden mindestens wöchentlich erstellt und an einem sicheren externen Ort aufbewahrt, wozu auch ein Cloud Hosting-Service gehören kann.
- Sie verfügen über eine oder mehrere Firewalls, die den externen Zugriff auf Ihre Systeme schützen.
- Alle Systembenutzer haben individuelle, obligatorische und nicht triviale Benutzer-IDs und Passwörter mit regelmässigen Passwortänderungen.
- Die Mitarbeiter erhalten Awareness-Schulungen und/oder Informationen über Phishing und andere Angriffsarten.
- Alle PC und Server verfügen über einen Virenschutz, der regelmässig aktualisiert wird.
- Sie speichern weniger als 250’000 Datensätze mit persönlich identifizierbaren Informationen (ein Datensatz entspricht einer Person).
- Zahlungskartendaten werden niemals übertragen und werden niemals in Ihren Netzwerken oder Systemen gespeichert.
- Der gesamte Fernzugriff auf Ihre Systeme wird durch die Verwendung verschlüsselter Verbindungen wie etwa VPN geschützt.
- Ihnen sind keine Cybervorfälle, Gefährdungen von persönlichen Daten, Verletzungen der Privatsphäre, keine unvorgesehenen Netzwerkausfälle, Urheberrechtsprobleme oder sonstigen Vorfälle oder Ereignisse bekannt, die einen Anspruch im Rahmen einer Cyber-Versicherung begründen könnten.
Im Rahmen der Datenschutz-Plaudereien analysieren wir diese Aussagen und die dahintersteckenden Empfehlungen und kommen zum Schluss, dass wir beide diese Erklärung nicht ohne grössere Änderungen/Kommentare unterzeichnen könnten. Mehr dazu im Podcast oder lokal hier:
Grundsätzlich muss man sagen, dass eine Versicherung nie ein Ersatz für Datenschutz oder Datensicherheit in der Firma sein kann, sondern nur eine Ergänzung, ein zusätzliches(!) Sicherheitsnetz. Dies auch, weil das aus einem Datenverlust oder Datenklau entstehende Chaos trotzdem auf der Firma und ihren Kundenbeziehungen lasten bleibt. In einem unserer Workshops hat eine Ärztin sehr eindrücklich erzählt, alleine welches Terminchaos nach einem Ransomware-Angriff ihre Praxis über viele Wochen begleitete. Glauben Sie mir: Vorbeugen ist ganz besonders auch in diesem Fall besser als heilen.
(Bei grösseren Firmen oder bedeutenden IT-Risiken wollen Sie ein systematisches Vorgehen, beispielsweise mittels einem Datenschutz- und -sicherheitskonzeptes.)
Mehr zu Sicherheit
- Auch du, mein Sohn FirefoxIch habe bisher immer Firefox empfohlen, weil seine Standardeinstellungen aus Sicht der Privatsphäre sehr gut waren, im Vergleich zu den anderen… Auch du, mein Sohn Firefox weiterlesen
- «Voting Village»-TranskriptLetzten August fand an der Hackerkonferenz DEFCON eine Veranstaltung der Election Integrity Foundation statt. Sie fasste mit einem hochkarätigen Podium wesentliche… «Voting Village»-Transkript weiterlesen
- «QualityLand» sagt die Gegenwart voraus und erklärt sieIch habe vor Kurzem das Buch «QualityLand» von Marc-Uwe Kling von 2017 in meinem Büchergestell gefunden. Und war erstaunt, wie akkurat… «QualityLand» sagt die Gegenwart voraus und erklärt sie weiterlesen
- 50 Jahre «unentdeckbare Sicherheitslücke»Vor 50 Jahren erfand Ken Thompson die «unentdeckbare Sicherheitslücke». Vor gut 40 Jahren präsentierte er sie als Vortrag unter dem Titel… 50 Jahre «unentdeckbare Sicherheitslücke» weiterlesen
- Stimmbeteiligung erhöhen ohne eVotingEines der Argumente für eVoting ist die Erhöhung der Stimmbeteiligung. Stimmbeteiligung—nur für sich alleine gesehen—ist keine ausreichende Metrik für die Beurteilung… Stimmbeteiligung erhöhen ohne eVoting weiterlesen
- 🧑🏫 «eVoting: Rettung der Demokratie oder Todesstoss?»Die Demokratie ist unter Beschuss, neuerdings auch durch Fake News, Trollfabriken und KI. «Vote éléctronique», so heisst die elektronische Abstimmung im… 🧑🏫 «eVoting: Rettung der Demokratie oder Todesstoss?» weiterlesen
- Mutmassungen über «Jia Tan»: Spuren eines HackersIch habe versucht, dem mutmasslich grössten Hack der Geschichte etwas auf den Grund zu gehen. Daraus ist eine spannende Spurensuche geworden,… Mutmassungen über «Jia Tan»: Spuren eines Hackers weiterlesen
- Wie erkenne ich betrügerische Webseiten — am Beispiel einer aktuellen SpamwelleAktuell laufen wieder Spamwellen durchs Land. Eine bot einen angeblichen Schweizer Bitcoin-ETF an, mit zuverlässiger Firma und offizieller Zulassung dahinter. Doch… Wie erkenne ich betrügerische Webseiten — am Beispiel einer aktuellen Spamwelle weiterlesen
- Wie die Open-Source-Community an Ostern die (IT-)Welt retteteHuch, waren das spannende Ostern, aus IT-Sicht! Es wurde die potenziell schlimmste IT-Sicherheitskatastrophe durch puren Zufall noch rechtzeitig abgewendet. Ansonsten hätte… Wie die Open-Source-Community an Ostern die (IT-)Welt rettete weiterlesen
- Endet die Zeit im Jahr 2038?Heute in 14 Jahren endet die Zeit, so wie sie noch viele Computer kennen. Vor allem Computer, die in anderen Geräten eingebaut… Endet die Zeit im Jahr 2038? weiterlesen
- Wie zählt ein Computer?Computer sind geprägt von Limiten: Maximale Textlängen, maximale Zahlengrössen. Nicht erstaunlich, wenn man ihre Vorfahren kennt, die Kästchenfelder und Milchbüchlein mit… Wie zählt ein Computer? weiterlesen
- Spamwelle zu Weihnachten?Wenige Tage bevor alle Systemadministratoren sich zu ihren Familien in die verdienten Weihnachtsferien zurückziehen, lässt SEC Consult die Bombe platzen: Die… Spamwelle zu Weihnachten? weiterlesen
- «5 Minuten für mehr Datenschutz»: Tracking vermeiden«Überwachungskapitalismus» wird der Versuch vieler Webseiten auch genannt, uns dauernd zu überwachen und aus diesen persönlichen Daten Kapital zu schlagen. Trotz… «5 Minuten für mehr Datenschutz»: Tracking vermeiden weiterlesen
- 2FA verschwindet in der CloudZwei-Faktor-Authentifizierung (2FA bzw. MFA) ist ein wichtiger Sicherheitsmechanismus, der effizient gegen den Missbrauch von erratenen, ergaunerten oder kopierten Passwörtern schützt. Durch… 2FA verschwindet in der Cloud weiterlesen
- IT-Sicherheit ≠ BürostuhlDer Bund hat am 17. Juli 2023 einen Brief an seine Informatikdienstleister verschickt. Die Forderungen reichen von selbstverständlich bis fragwürdig. Wir… IT-Sicherheit ≠ Bürostuhl weiterlesen
- 📹 Cloud: Technologie für Datenschutz?Moderne Technologie wie Homomorphe Verschlüsselung könne vielleicht künftig den Datenschutz in der Cloud garantieren, meinte kürzlich der oberste Datenschützer. Hier Hintergründe… 📹 Cloud: Technologie für Datenschutz? weiterlesen
- SBB-Kundentracking: Offene FragenSeit einer Woche wird heiss über die zukünftige biometrische Verfolgung der Bahnhofsbesucher diskutiert. Hier ein paar Bemerkungen und Fragen zum «KundenFrequenzMessSystem… SBB-Kundentracking: Offene Fragen weiterlesen
- Cloud-Sicherheit am WinterkongressAm Winterkongress der Digitalen Gesellschaft halten Adrienne Fichter, Patrick Seemann und ich zwei Vorträge zu Cloud-Sicherheit am 25. Februar. Es hat… Cloud-Sicherheit am Winterkongress weiterlesen
- Jugendschutzgesetz: Ein kleiner Medien-FaktencheckIn der letzten Woche haben sowohl Tagesanzeiger als auch NZZ über das JSFVG berichtet. In den jeweiligen Artikeln werden die Aussagen… Jugendschutzgesetz: Ein kleiner Medien-Faktencheck weiterlesen
- Rechteausweitung von Google mit MapsGoogle Maps ändert seine URL von maps.google.com auf google.com/maps. Eigentlich sollte das keine Schlagzeile wert sein müssen. Wieso doch, darüber diskutieren… Rechteausweitung von Google mit Maps weiterlesen
- Was uns Ransomware zu Datenschutz und Datensicherheit lehrtWinterzeit ist Viruszeit. Neben Menschen erkranken aktuell aber auch wieder vermehrt Computer, aktuell an Ransomware. In der Cloud ist ein grosser… Was uns Ransomware zu Datenschutz und Datensicherheit lehrt weiterlesen
- Hinter den Kulissen der VerschlüsselungVerschlüsselung nutzen wir täglich: Kaum mehr eine Webseite, Nachricht oder Mail nutzt nicht mindestens ein bisschen Verschlüsselung. Und trotzdem wissen viele… Hinter den Kulissen der Verschlüsselung weiterlesen
- Erklärt: Das Kleingedruckte bei Cyber-VersicherungRisiken von Cyberangriffen können hoch sein, sogar geschäftsgefährdend. Perfekter Schutz ist unmöglich. Aber ist die Versicherung die Lösung? Ein Podcast zusammen… Erklärt: Das Kleingedruckte bei Cyber-Versicherung weiterlesen
- Digitales Offline-Geld?Immer wieder taucht die Frage nach dem Einsatz von digitalem Geld bei Netzausfall auf. Hier eine Übersicht über die Möglichkeiten und… Digitales Offline-Geld? weiterlesen
Schreibe einen Kommentar