Erklärt: Das Kleingedruckte bei Cyber-Versicherung

Risiken von Cyberangriffen können hoch sein, sogar geschäftsgefährdend. Perfekter Schutz ist unmöglich. Aber ist die Versicherung die Lösung? Ein Podcast zusammen mit Martin Steiger.

Datenverlust!

Den „ganz normalen“ Datenverlust führen wir uns viel zu selten vor Augen:

  • Eine unwiederbringliche Datei wurde aus Versehen gelöscht,
  • die Festplatte ist abgestürzt,
  • eine falsche Verkabelung oder ein Blitz hat den Server fritiert,
  • es regnete durch das offene Fenster auf den Laptop oder
  • das Handy ist in den Rhein gefallen.

Dafür hilft ein Backup, insbesondere auch ein sogenanntes Offsite-Backup, welches an einem anderen Ort gelagert wird und somit nicht gleichzeitig Schaden nehmen kann oder gestohlen wird.

Neben dem obigen „alltäglichen“ Datenverlust sollte sich aber auch jede:r — insbesondere Firmen — vor

  1. einem Social-Engineering-Angriff (z.B. Anruf des „Microsoft-Supports“ oder eines angeblichen Mitarbeiters/Zulieferrs),
  2. gezielten Hackerangriff oder
  3. Ransomware schützen (heute oftmals kombiniert mit der Drohung, die erbeuteten Daten zu veröffentlichen).

Schutz?

Schon wenige Schritte können die Risiken signifikant reduzieren, das letzte Quentchen Risiko wird man aber nie ganz los, egal, wie sehr man sich auch anstrengt. Deshalb bieten viele Versicherungsgesellschaften jetzt auch Produkte an, welche die finanziellen Risiken eines Datenverlustes oder Angriffs teilweise kompensieren sollen. Diese laufen häufig unter einem hippen Namen wie z.B. „Cyberversicherung„.

Martin Steiger und ich haben uns eine solche Versicherung mal angeschaut, genauer gesagt, die Erklärung, die man als Versicherungsnehmer vor Abschluss einer solchen Police abgeben muss:

  1. Sie haben keine Geschäftstätigkeit und keine Einnahmequellen in den USA und/oder Kanada.
  2. Nur das geeignete Personal hat Zugang zu allen Servern, Firewalls und IT-Infrastrukturkomponenten.
  3. Backups werden mindestens wöchentlich erstellt und an einem sicheren externen Ort aufbewahrt, wozu auch ein Cloud Hosting-Service gehören kann.
  4. Sie verfügen über eine oder mehrere Firewalls, die den externen Zugriff auf Ihre Systeme schützen.
  5. Alle Systembenutzer haben individuelle, obligatorische und nicht triviale Benutzer-IDs und Passwörter mit regelmässigen Passwortänderungen.
  6. Die Mitarbeiter erhalten Awareness-Schulungen und/oder Informationen über Phishing und andere Angriffsarten.
  7. Alle PC und Server verfügen über einen Virenschutz, der regelmässig aktualisiert wird.
  8. Sie speichern weniger als 250’000 Datensätze mit persönlich identifizierbaren Informationen (ein Datensatz entspricht einer Person).
  9. Zahlungskartendaten werden niemals übertragen und werden niemals in Ihren Netzwerken oder Systemen gespeichert.
  10. Der gesamte Fernzugriff auf Ihre Systeme wird durch die Verwendung verschlüsselter Verbindungen wie etwa VPN geschützt.
  11. Ihnen sind keine Cybervorfälle, Gefährdungen von persönlichen Daten, Verletzungen der Privatsphäre, keine unvorgesehenen Netzwerkausfälle, Urheberrechtsprobleme oder sonstigen Vorfälle oder Ereignisse bekannt, die einen Anspruch im Rahmen einer Cyber-Versicherung begründen könnten.

Im Rahmen der Datenschutz-Plaudereien analysieren wir diese Aussagen und die dahintersteckenden Empfehlungen und kommen zum Schluss, dass wir beide diese Erklärung nicht ohne grössere Änderungen/Kommentare unterzeichnen könnten. Mehr dazu im Podcast oder lokal hier:

Grundsätzlich muss man sagen, dass eine Versicherung nie ein Ersatz für Datenschutz oder Datensicherheit in der Firma sein kann, sondern nur eine Ergänzung, ein zusätzliches(!) Sicherheitsnetz. Dies auch, weil das aus einem Datenverlust oder Datenklau entstehende Chaos trotzdem auf der Firma und ihren Kundenbeziehungen lasten bleibt. In einem unserer Workshops hat eine Ärztin sehr eindrücklich erzählt, alleine welches Terminchaos nach einem Ransomware-Angriff ihre Praxis über viele Wochen begleitete. Glauben Sie mir: Vorbeugen ist ganz besonders auch in diesem Fall besser als heilen.

(Bei grösseren Firmen oder bedeutenden IT-Risiken wollen Sie ein systematisches Vorgehen, beispielsweise mittels einem Datenschutz- und -sicherheitskonzeptes, bei welchem ich Sie gerne unterstütze.)

4 Gedanken zu „Erklärt: Das Kleingedruckte bei Cyber-Versicherung

  1. Tobias Antworten

    Es scheint hier um Versicherungen für KMU zu gehen. Wie steht es mit „Cyberversicherungen“ für Privatpersonen? Mir wurde kürzlich eine solche offeriert (von einer der grossen, seriösen Vwrsicherungsgesellschaften, bei der ich Kunde bin). Gehe ich richtig in der Annahme, dass auch in diesem Fall die Probleme ganz ähnlich gelagert sind?

    • Marcel Waldvogel Autor des BeitragsAntworten

      Ja, in diesem Fall geht es um KMUs.

      Eine andere bekannte CH-Versicherung macht derzeit auch Werbung für ihr Cyber-Produkt für Private (Selbständige fast komplett ausgeschlossen). Neben einer limitierten Datenrettungskomponente und noch limitiertere Reinstallationsunterstützung ist das Produkt hauptsächlich eine Rechtsschutzversicherung. Da muss man scheinbar auch keine Erklärungen abgeben, aber der Nutzen ist auch klein. Den Bekannten/Verwandten mit IT-Kenntnissen ab&zu zum Essen einzuladen scheint mir da ein deutlich besseres Kosten-/Nutzenverhältnis zu haben (wenn man schon eine Rechtsschutzversicherung hat).

      Die Produktstruktur liegt wahrscheinlich daran, dass die Versicherungen in diesem Bereich noch auf keine belastbaren Risikomodelle zurückgreifen können (das ist ja ein Hauptasset).

  2. Abdelrahman Abdelhafez Antworten

    I didn’t get the bit where you mention that „one should have no business operations and no sources of income in the USA and/or Canada“?

    Could you please explain why? Thanks!

    • Marcel Waldvogel Autor des BeitragsAntworten

      The insurers are afraid of litigation risks in North America.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.