Grundsätzlich schließen Unternehmen eine Cyber-Versicherung ab, um sich vor den finanziellen Folgen eines Cyber-Angriffs zu schützen. Neben der Funktion der Risikoverlagerung stellt sie verschiedene Mechanismen bereit, Hacker-Angriffen zu begegnen und die Wiederherstellung der betroffenen Systeme und Daten zu unterstützen (z.B. durch Wiederherstellung des Geschäftsbetriebs, Abwehr von Cyber-Kriminellen, Krisenmanagement oder Anwendung von Cyber-Forensik zur Ursachenforschung).
Dabei ist der Abschluss einer entsprechenden Versicherungspolice kein Freifahrtschein für eine unzureichende Informationssicherheit, wie folgende Beispiele verdeutlichen:
Üblicherweise kann eine Cyber-Versicherung nur ab einem bestimmten Mindestmaß an bestehender IT-Sicherheit zu angemessenen Kosten abgeschlossen werden. Mittels Audits durch Sicherheitsdienstleister, Versicherungsexperten oder Interviews (sogenannten „Self-Assessments“) kann das Risikoniveau und die Cyber-Exposition des Versicherungsnehmers bewertet und daraus ein dem Risikoprofil entsprechender Versicherungsschutz abgeleitet werden.
Vermehrt ist heute festzustellen, dass den Unternehmen aufgrund unklarer Risikoexposition bzw. mangelnder Awareness über die Bedrohungen aus dem Cyber-Umfeld oder fehlender Reife zur Abwehr und Reaktion auf Cyber-Angriffe gar keine Versicherungsleistung angeboten wird.
Für eine solide Cyber-Resilienz sollten Unternehmen im Vorfeld demnach selbst sorgen und sich angemessen auf den Ernstfall eines Cyber-Angriffs vorbereiten. Somit können potentielle Angriffsvektoren (z.B. Sicherheitslücken in der IT-Anwendungslandschaft oder Spear-Phishing) und Auswirkungen durch deren Ausnutzung deutlich verringert werden. Ist ein entsprechendes, auf das Unternehmen zugeschnittenes Informationssicherheitsfundament geschaffen, sorgt eine Cyber-Versicherung für zusätzliche Absicherung im – hoffentlich niemals eintretenden – Cyber-Notfall.
Die Vorbereitung sowie Reaktion auf Cyber-Angriffe erfordert neben ausgereiften Policies und Guidelines vor allem qualifiziertes Personal, welches allerdings für kleine und mittelständige Unternehmen nur schwer zu finden ist. Hierfür stellt das sogenannte „Cyber Incident Response-Retainer“-Modell einen für die meisten Unternehmen lukrativen Ansatz zur Bekämpfung bzw. Behebung von Incidents dar, wobei neben einer stetigen Verbesserung des Schutzniveaus von Unternehmensinformationen eine kurzfristige Unterstützung im Falle eines Cyber-Notfalls gewährleistet wird.
Dieser Ansatz ist auf eine mehrjährige Zusammenarbeit (in der Regel mindestens 3 Jahre) zwischen Unternehmen und einem Incident Response-Provider ausgelegt mit dem Ziel, einander Kennenzulernen und Schwächen bei der Erkennung und Abhandlung potentieller Incidents gemeinsam effektiv und nachhaltig zu beheben. Zu diesem Zweck wird sich im Vorfeld auf ein Jahresbudget geeinigt – potentielle Aufwände des Providers werden hiermit verrechnet.
Für die schnelle Reaktion auf Cyber-Incidents stellt der Provider eine 24/7-Hotline zur Verfügung, über die Unterstützung angefordert werden kann. Dadurch, dass Vertragsmodalitäten im Vorfeld erledigt werden, kann die Unterstützung im Falle eines Incidents innerhalb von vordefinierten Service Level Agreements (SLA) kurzfristig (i.d.R. 2-4 Stunden) zunächst remote – innerhalb von 24 Stunden in Transit, also auf dem Weg zum Kunden – bereitgestellt werden.
Maßgeblich für die Effektivität und Nachhaltigkeit bei der Behandlung von Incidents ist zum einen das Onboarding zu Beginn der Laufzeit, wobei der Provider einen Überblick über die technischen Gegebenheiten der Kundeninfrastruktur erhält und in diesem Rahmen eine Evaluierung der Protokoll- und Sicherheitsmechanismen vornehmen kann. Außerdem werden Kommunikations- und Datenaustauschschnittstellen definiert, die im Falle einer Kompromittierung des Kundennetzwerks einen Austausch weiterhin gewährleisten. Nach einem Incident wird im Rahmen eines Lesson Learned die Abhandlung reflektiert und potentielle Verbesserungsmaßnahmen werden in die bestehenden Prozesse integriert.
Wird das Retainer-Budget in einem Jahr nicht vollständig ausgeschöpft, steht dieses im Folgejahr weiterhin für andere, proaktive Beratungsleistungen bereit. Der Fokus liegt auf einer Erhöhung der Widerstandsfähigkeit: Ein Assessment bestehender Prozesse und die Ableitung von Verbesserungsmaßnahmen bzw. Transformationsprogrammen, Übungen (Table top, Red/Blue/Purple-Teaming, Phishing-Kampagnen, u.v.m.) zur Erhöhung der Mitarbeiter-Awareness, Cyber Compromise-Assessments oder Penetration Testing & Vulnerability-Assessments zur Identifikation potentieller Breach-Indikatoren im Unternehmensnetzwerk, und vieles Weiteres. Somit wird gewährleistet, dass sich die Resilienz eines Unternehmens kontinuierlich steigert. Dies kann sich auch positiv auf bestehende Versicherungsprämien auswirken.
Nachfolgende Abbildung stellt den Ablauf eines Retainer-Jahres dar. Sie beginnt initial mit der Unterzeichnung des Vertrags bzw. dem Onboarding. Anschließend findet ein regelmäßiger Austausch zu aktuellen Themen bzw. anstehenden Maßnahmen seitens des Kunden statt Hierbei werden auch die Möglichkeiten proaktiver Services diskutiert. Im Falle eines Incidents stehen Experten 24/7 bereit, die sowohl Remote als auch Vor-Ort unterstützen.
Der Retainer stellt somit eine Möglichkeit dar, die Widerstandsfähigkeit eines Unternehmens gegen Cyber-Angriffe stetig zu verbessern, um diese idealerweise gar nicht erst entstehen zu lassen. Da jedoch auch das reifste Unternehmen nicht von Cyber-Angriffen verschont bleibt, kann eine zusätzliche Cyber-Versicherung vor den finanziellen Folgen eines Cyber-Angriffs schützen. Insofern stellt eine Cyber-Versicherung eine gute Ergänzung zum Retainer dar (und nicht umgekehrt).
Deloitte Cyber Risk bietet passende Methoden und Rahmenwerke nach führenden Standards und den Deloitte Best Practices an, um Unternehmen je nach Ausgangslage bei der Beurteilung, Planung und Optimierung der Informationssicherheit zu unterstützen. Sprechen Sie uns an.