Risiken von Cyberangriffen können hoch sein, sogar geschäftsgefährdend. Perfekter Schutz ist unmöglich. Aber ist die Versicherung die Lösung? Ein Podcast zusammen mit Martin Steiger.
Datenverlust!
Den „ganz normalen“ Datenverlust führen wir uns viel zu selten vor Augen:
- Eine unwiederbringliche Datei wurde aus Versehen gelöscht,
- die Festplatte ist abgestürzt,
- eine falsche Verkabelung oder ein Blitz hat den Server fritiert,
- es regnete durch das offene Fenster auf den Laptop oder
- das Handy ist in den Rhein gefallen.
Dafür hilft ein Backup, insbesondere auch ein sogenanntes Offsite-Backup, welches an einem anderen Ort gelagert wird und somit nicht gleichzeitig Schaden nehmen kann oder gestohlen wird.
Neben dem obigen „alltäglichen“ Datenverlust sollte sich aber auch jede:r — insbesondere Firmen — vor
- einem Social-Engineering-Angriff (z.B. Anruf des „Microsoft-Supports“ oder eines angeblichen Mitarbeiters/Zulieferrs),
- gezielten Hackerangriff oder
- Ransomware schützen (heute oftmals kombiniert mit der Drohung, die erbeuteten Daten zu veröffentlichen).
Schutz?
Schon wenige Schritte können die Risiken signifikant reduzieren, das letzte Quentchen Risiko wird man aber nie ganz los, egal, wie sehr man sich auch anstrengt. Deshalb bieten viele Versicherungsgesellschaften jetzt auch Produkte an, welche die finanziellen Risiken eines Datenverlustes oder Angriffs teilweise kompensieren sollen. Diese laufen häufig unter einem hippen Namen wie z.B. „Cyberversicherung„.
Martin Steiger und ich haben uns eine solche Versicherung mal angeschaut, genauer gesagt, die Erklärung, die man als Versicherungsnehmer vor Abschluss einer solchen Police abgeben muss:
- Sie haben keine Geschäftstätigkeit und keine Einnahmequellen in den USA und/oder Kanada.
- Nur das geeignete Personal hat Zugang zu allen Servern, Firewalls und IT-Infrastrukturkomponenten.
- Backups werden mindestens wöchentlich erstellt und an einem sicheren externen Ort aufbewahrt, wozu auch ein Cloud Hosting-Service gehören kann.
- Sie verfügen über eine oder mehrere Firewalls, die den externen Zugriff auf Ihre Systeme schützen.
- Alle Systembenutzer haben individuelle, obligatorische und nicht triviale Benutzer-IDs und Passwörter mit regelmässigen Passwortänderungen.
- Die Mitarbeiter erhalten Awareness-Schulungen und/oder Informationen über Phishing und andere Angriffsarten.
- Alle PC und Server verfügen über einen Virenschutz, der regelmässig aktualisiert wird.
- Sie speichern weniger als 250’000 Datensätze mit persönlich identifizierbaren Informationen (ein Datensatz entspricht einer Person).
- Zahlungskartendaten werden niemals übertragen und werden niemals in Ihren Netzwerken oder Systemen gespeichert.
- Der gesamte Fernzugriff auf Ihre Systeme wird durch die Verwendung verschlüsselter Verbindungen wie etwa VPN geschützt.
- Ihnen sind keine Cybervorfälle, Gefährdungen von persönlichen Daten, Verletzungen der Privatsphäre, keine unvorgesehenen Netzwerkausfälle, Urheberrechtsprobleme oder sonstigen Vorfälle oder Ereignisse bekannt, die einen Anspruch im Rahmen einer Cyber-Versicherung begründen könnten.
Im Rahmen der Datenschutz-Plaudereien analysieren wir diese Aussagen und die dahintersteckenden Empfehlungen und kommen zum Schluss, dass wir beide diese Erklärung nicht ohne grössere Änderungen/Kommentare unterzeichnen könnten. Mehr dazu im Podcast oder lokal hier:
Grundsätzlich muss man sagen, dass eine Versicherung nie ein Ersatz für Datenschutz oder Datensicherheit in der Firma sein kann, sondern nur eine Ergänzung, ein zusätzliches(!) Sicherheitsnetz. Dies auch, weil das aus einem Datenverlust oder Datenklau entstehende Chaos trotzdem auf der Firma und ihren Kundenbeziehungen lasten bleibt. In einem unserer Workshops hat eine Ärztin sehr eindrücklich erzählt, alleine welches Terminchaos nach einem Ransomware-Angriff ihre Praxis über viele Wochen begleitete. Glauben Sie mir: Vorbeugen ist ganz besonders auch in diesem Fall besser als heilen.
(Bei grösseren Firmen oder bedeutenden IT-Risiken wollen Sie ein systematisches Vorgehen, beispielsweise mittels einem Datenschutz- und -sicherheitskonzeptes, bei welchem ich Sie gerne unterstütze.)
Mehr zu Sicherheit
- Wie erkenne ich betrügerische Webseiten — am Beispiel einer aktuellen Spamwelle
Aktuell laufen wieder Spamwellen durchs Land. Eine bot einen angeblichen Schweizer Bitcoin-ETF an, mit zuverlässiger Firma und offizieller Zulassung dahinter. Doch … Weiterlesen: Wie erkenne ich betrügerische Webseiten — am Beispiel einer aktuellen Spamwelle - Wie die Open-Source-Community an Ostern die (IT-)Welt rettete
Huch, waren das spannende Ostern, aus IT-Sicht! Es wurde die potenziell schlimmste IT-Sicherheitskatastrophe durch puren Zufall noch rechtzeitig abgewendet. Ansonsten hätte … Weiterlesen: Wie die Open-Source-Community an Ostern die (IT-)Welt rettete - Endet die Zeit im Jahr 2038?
Heute in 14 Jahren endet die Zeit, so wie sie noch viele Computer kennen. Vor allem Computer, die in anderen Geräten eingebaut … Weiterlesen: Endet die Zeit im Jahr 2038?
Schreibe einen Kommentar