Risiken von Cyberangriffen können hoch sein, sogar geschäftsgefährdend. Perfekter Schutz ist unmöglich. Aber ist die Versicherung die Lösung? Ein Podcast zusammen mit Martin Steiger.
Datenverlust!
Den „ganz normalen“ Datenverlust führen wir uns viel zu selten vor Augen:
- Eine unwiederbringliche Datei wurde aus Versehen gelöscht,
- die Festplatte ist abgestürzt,
- eine falsche Verkabelung oder ein Blitz hat den Server fritiert,
- es regnete durch das offene Fenster auf den Laptop oder
- das Handy ist in den Rhein gefallen.
Dafür hilft ein Backup, insbesondere auch ein sogenanntes Offsite-Backup, welches an einem anderen Ort gelagert wird und somit nicht gleichzeitig Schaden nehmen kann oder gestohlen wird.
Neben dem obigen „alltäglichen“ Datenverlust sollte sich aber auch jede:r — insbesondere Firmen — vor
- einem Social-Engineering-Angriff (z.B. Anruf des „Microsoft-Supports“ oder eines angeblichen Mitarbeiters/Zulieferrs),
- gezielten Hackerangriff oder
- Ransomware schützen (heute oftmals kombiniert mit der Drohung, die erbeuteten Daten zu veröffentlichen).
Schutz?
Schon wenige Schritte können die Risiken signifikant reduzieren, das letzte Quentchen Risiko wird man aber nie ganz los, egal, wie sehr man sich auch anstrengt. Deshalb bieten viele Versicherungsgesellschaften jetzt auch Produkte an, welche die finanziellen Risiken eines Datenverlustes oder Angriffs teilweise kompensieren sollen. Diese laufen häufig unter einem hippen Namen wie z.B. „Cyberversicherung„.
Martin Steiger und ich haben uns eine solche Versicherung mal angeschaut, genauer gesagt, die Erklärung, die man als Versicherungsnehmer vor Abschluss einer solchen Police abgeben muss:
- Sie haben keine Geschäftstätigkeit und keine Einnahmequellen in den USA und/oder Kanada.
- Nur das geeignete Personal hat Zugang zu allen Servern, Firewalls und IT-Infrastrukturkomponenten.
- Backups werden mindestens wöchentlich erstellt und an einem sicheren externen Ort aufbewahrt, wozu auch ein Cloud Hosting-Service gehören kann.
- Sie verfügen über eine oder mehrere Firewalls, die den externen Zugriff auf Ihre Systeme schützen.
- Alle Systembenutzer haben individuelle, obligatorische und nicht triviale Benutzer-IDs und Passwörter mit regelmässigen Passwortänderungen.
- Die Mitarbeiter erhalten Awareness-Schulungen und/oder Informationen über Phishing und andere Angriffsarten.
- Alle PC und Server verfügen über einen Virenschutz, der regelmässig aktualisiert wird.
- Sie speichern weniger als 250’000 Datensätze mit persönlich identifizierbaren Informationen (ein Datensatz entspricht einer Person).
- Zahlungskartendaten werden niemals übertragen und werden niemals in Ihren Netzwerken oder Systemen gespeichert.
- Der gesamte Fernzugriff auf Ihre Systeme wird durch die Verwendung verschlüsselter Verbindungen wie etwa VPN geschützt.
- Ihnen sind keine Cybervorfälle, Gefährdungen von persönlichen Daten, Verletzungen der Privatsphäre, keine unvorgesehenen Netzwerkausfälle, Urheberrechtsprobleme oder sonstigen Vorfälle oder Ereignisse bekannt, die einen Anspruch im Rahmen einer Cyber-Versicherung begründen könnten.
Im Rahmen der Datenschutz-Plaudereien analysieren wir diese Aussagen und die dahintersteckenden Empfehlungen und kommen zum Schluss, dass wir beide diese Erklärung nicht ohne grössere Änderungen/Kommentare unterzeichnen könnten. Mehr dazu im Podcast oder lokal hier:
Grundsätzlich muss man sagen, dass eine Versicherung nie ein Ersatz für Datenschutz oder Datensicherheit in der Firma sein kann, sondern nur eine Ergänzung, ein zusätzliches(!) Sicherheitsnetz. Dies auch, weil das aus einem Datenverlust oder Datenklau entstehende Chaos trotzdem auf der Firma und ihren Kundenbeziehungen lasten bleibt. In einem unserer Workshops hat eine Ärztin sehr eindrücklich erzählt, alleine welches Terminchaos nach einem Ransomware-Angriff ihre Praxis über viele Wochen begleitete. Glauben Sie mir: Vorbeugen ist ganz besonders auch in diesem Fall besser als heilen.
(Bei grösseren Firmen oder bedeutenden IT-Risiken wollen Sie ein systematisches Vorgehen, beispielsweise mittels einem Datenschutz- und -sicherheitskonzeptes.)
Mehr zu Sicherheit
- Ransomware-sicheres Backup
Cyberangriffe können verheerend sein. Doch ein letztes Sicherheitsnetz ist nicht so schwierig zu bauen. Hier die Hintergründe, was es beim Aufbau… Ransomware-sicheres Backup weiterlesen - Löst die e-ID die Probleme von Jugendschutz und Privatsphäre?
Heute gehen wir der Frage nach, ob eine e-ID unsere gesellschaftlichen Probleme im Internet lösen kann. Und wie wir zu einer… Löst die e-ID die Probleme von Jugendschutz und Privatsphäre? weiterlesen - 📻 E-ID: Kollidiert Altersverifikation mit dem Recht auf Anonymität?
Die e-ID ist aktuell auch im rund um Altersverifikation in Diskussion. In einem Interview mit Radio SRF versuchte ich, einige Punkte… 📻 E-ID: Kollidiert Altersverifikation mit dem Recht auf Anonymität? weiterlesen - Ja zur E-ID
Ich setze mich bekanntermassen sehr für IT-Sicherheit und Privatsphäre ein. Und genau deshalb finde ich die E-ID in ihrer jetzt geplanten… Ja zur E-ID weiterlesen - CH-Journi-Starterpack fürs Fediverse
Im gestrigen Artikel rund ums Fediverse – das offene, föderierte soziale Netzwerk – hatte ich euch ein Starterpack versprochen. Hier ist… CH-Journi-Starterpack fürs Fediverse weiterlesen - Föderalismus auch bei sozialen Netzen
Föderalismus liegt uns im Blut. Unsere gesamte Gesellschaft ist föderal aufgebaut. Aber – wieso lassen wir uns dann bei sogenannten «sozialen»,… Föderalismus auch bei sozialen Netzen weiterlesen - Unterschreiben gegen mehr Überwachung
Der Bundesrat will auf dem Verordnungsweg den Überwachungsstaat massiv ausbauen und die Schweizer IT-Wirtschaft im Vergleich zu ausländischen Anbieter schlechter stellen.… Unterschreiben gegen mehr Überwachung weiterlesen - Sichere VoIP-Telefone: Nein, danke‽
Zumindest war dies das erste, was ich dachte, als ich hörte, dass der weltgrösste Hersteller von Schreibtischtelefonen mit Internetanbindung, Yealink, es… Sichere VoIP-Telefone: Nein, danke‽ weiterlesen - Diceware: Sicher & deutsch
Diceware ist, laut Wikipedia, «eine einfache Methode, sichere und leicht erinnerbare Passwörter und Passphrasen mithilfe eines Würfels zu erzeugen». Auf der… Diceware: Sicher & deutsch weiterlesen - Nextcloud: Automatischer Upload auf Android verstehen
Ich hatte das Gefühl, dass der automatische Upload auf Android unzuverlässig sei, konnte das aber nicht richtig festmachen. Jetzt weiss ich… Nextcloud: Automatischer Upload auf Android verstehen weiterlesen - VÜPF: Staatliche Überwachungsfantasien im Realitätscheck
Die Revision der «Verordnung über die Überwachung des Post- und Fernmeldeverkehrs» (VÜPF) schreckte die Schweiz spät auf. Am Wochenende publizierte die… VÜPF: Staatliche Überwachungsfantasien im Realitätscheck weiterlesen - Phishing-Trend Schweizerdeutsch
Spam und Phishingversuche auf Schweizerdeutsch scheinen beliebter zu werden. Wieso nutzen Spammer denn diese Nischensprache? Schauen wir in dieser kleinen Weiterbildung… Phishing-Trend Schweizerdeutsch weiterlesen - Persönliche Daten für Facebook-KI
Meta – Zuckerbergs Imperium hinter Facebook, WhatsApp, Instagram, Threads etc. – hat angekündigt, ab 27. Mai die persönlichen Daten seiner Nutzer:innen… Persönliche Daten für Facebook-KI weiterlesen - In den Klauen der Cloud
Bert Hubert, niederländischer Internetpionier und Hansdampf-in-allen-Gassen, hat einen grossartigen Artikel geschrieben, in dem er die Verwirrung rund um «in die Cloud… In den Klauen der Cloud weiterlesen - Können KI-Systeme Artikel klauen?
Vor ein paar Wochen hat die NZZ einen Artikel veröffentlicht, in dem Petra Gössi das NZZ-Team erschreckte, weil via KI-Chatbot angeblich… Können KI-Systeme Artikel klauen? weiterlesen - Was Prozessoren und die Frequenzwand mit der Cloud zu tun haben
Seit bald 20 Jahren werden die CPU-Kerne für Computer nicht mehr schneller. Trotzdem werden neue Prozessoren verkauft. Und der Trend geht in… Was Prozessoren und die Frequenzwand mit der Cloud zu tun haben weiterlesen - Facebook: Moderation für Geschäftsinteressenmaximierung, nicht für das Soziale im Netz
Hatte mich nach wahrscheinlich mehr als einem Jahr mal wieder bei Facebook eingeloggt. Das erste, was mir entgegenkam: Offensichtlicher Spam, der… Facebook: Moderation für Geschäftsinteressenmaximierung, nicht für das Soziale im Netz weiterlesen - Was verraten KI-Chatbots?
«Täderlät» die KI? Vor ein paar Wochen fragte mich jemand besorgt, ob man denn gar nichts in Chatbot-Fenster eingeben könne, was… Was verraten KI-Chatbots? weiterlesen - Sicherheit versteckt sich gerne
Wieso sieht man einer Firma nicht von aussen an, wie gut ihre IT-Sicherheit ist? Einige Überlegungen aus Erfahrung. - Chatkontrolle: Schöner als Fiktion
Wir kennen «1984» nicht, weil es eine technische, objektive Abhandlung war. Wir erinnern uns, weil es eine packende, düstere, verstörende Erzählung… Chatkontrolle: Schöner als Fiktion weiterlesen - Chatkontrolle, die Schweiz und unsere Freiheit
In der EU wird seit vergangenem Mittwoch wieder über die sogenannte «Chatkontrolle» verhandelt. Worum geht es da? Und welche Auswirkungen hat… Chatkontrolle, die Schweiz und unsere Freiheit weiterlesen - Cloudspeicher sind nicht (immer) für die Ewigkeit
Wieder streicht ein Cloudspeicher seine Segel. Was wir daraus lernen sollten. - IT sind nicht nur Kosten
Oft wird die ganze IT-Abteilung aus Sicht der Geschäftsführung nur als Kostenfaktor angesehen. Wer das so sieht, macht es sich zu… IT sind nicht nur Kosten weiterlesen - CrowdStrike, die Dritte
In den 1½ Wochen seit Publikation der ersten beiden Teile hat sich einiges getan. Microsoft liess es sich nicht nehmen, die… CrowdStrike, die Dritte weiterlesen
Schreibe einen Kommentar