Firmenfachbeitrag 10.09.2018, 08:20 Uhr

Cyber-Risiken versichern lassen. Die Lösung?

Neu gibt es eine Versicherung gegen Cyber-Risiken. Sie unterstützt Firmen im Worst-Case-Szenario und im konkreten Schadensfall mit der Expertise der IT-Security-Spezialisten von terreActive. Wie bei einer Feuerversicherung gilt: abschliessen, bevor das Feuer unter dem Dach ist.
(Quelle: Unsplash.com)
Seit Oktober 2017 bietet die Mobiliar in Zusammenarbeit mit terreActive eine Cyber-Schutz Versicherung an. Sie bietet Unternehmen jeder Grösse
  • Beratung bei Prävention
  • Sofort-Hilfe im Schadensfall
  • Unterstützung bei der Wiederherstellung
  • Absicherung im Schadensfall.
Die Versicherung deckt Eigenschäden sowie Fremdschäden infolge eines Cyber-Ereignisses ab. Abgedeckt sind zum Beispiel Datenverlust, Ertragsausfall, Persönlichkeits- oder Urheberrechtsverletzung.

Zusammenarbeit von Experten

Der Umgang mit Cyber-Risiken ist komplex und fordert eine interdisziplinäre Zusammenarbeit. Die Mobiliar als Versicherungsexpertin arbeitet mit den Security-Spezialisten von terreActive zusammen. terreActive ist im Auftrag der Mobiliar in der Risikobeurteilung oder in der Prävention für das Risk Engineering und im Schadensfall für die Sachverhaltsabklärung zuständig. Das ist zum Beispiel die Sicherstellung von Beweismitteln zur forensischen Analyse einer Cyberattacke. Der Kunde ist für die Behebung des Schadens selber zuständig und terreActive kann im Rahmen von Sofortmassnahmen den Kunden schadenmindernd oder bei technischen Fragen unterstützen.

Der richtige Zeitpunkt

Wie bei einer Feuerversicherung wird auch die Cyber-Schutz-Versicherung abgeschlossen, wenn noch kein akutes Problem vorliegt. Auf Wunsch der Mobiliar schätzen die Experten von terreActive das Risiko des Versicherungsnehmers ein und führen ein Risk Engineering zur Eruierung des Cyber-Gefährdungspotentials und zur Hilfe bei der Risikoprävention durch. Gestützt auf diesen Erkenntnissen wird die Versicherungsdeckung und -prämie festgelegt.

Risiko: Erwerbsausfall

Oft sind sich Firmen dem wachsenden Cyber-Risiko nicht bewusst: Ein einzelner Hacker-Angriff kann zu einem massiven Erwerbsausfall führen. Zum Beispiel kann durch einen Ransomware-Angriff, bei dem der Hacker Daten verschlüsselt, das ganze Login-System blockiert werden. Dann stehen sämtliche Geschäftsaktivitäten still – von der Produktion bis zum Online-Shop. Oder die Infrastruktur wie ein Schlüsselsystem funktioniert nicht mehr und Hotelgäste stehen vor verschlossenen Zimmertüren. Auch der Ertragsausfall durch Denial-of-Service-Attacken führt jährlich zu beachtlichen finanziellen Einbussen.

Das Prinzip der Cyber-Versicherung

Wer eine Versicherung abschliesst, muss die folgenden Aspekte beachten:
1. Das Gesetz:
Das Unternehmen muss die gesetzlichen Mindestanforderungen erfüllen (z.B. Compliance Richtlinien, das Datenschutzgesetz DSG oder die EU Datenschutzgrundverordnung DSGVO).
2. Den Eigenschutz:
Das Unternehmen muss einen ausreichenden Eigenschutz sicherstellen.
  • Vorbeugende Schutzmassnahmen (z.B. Firewalls, Security Monitoring, Vulnerability Scans, Malwareschutz, regelmässige Systempatches etc.)
  • Security-Awareness-Schulungen für Mitarbeitende
  • Szenario für Wiederherstellungsmassnahmen (z.B. geprüfte Prozesse für Backup/Restore)
  • Finanzielle Rücklagen
3. Die Versicherung:
Das Unternehmen sichert sich gegen den unvorhergesehenen Cyber-Angriff ab (nicht gegen den fehlenden Eigenschutz) und hat dabei die vertraglichen Verpflichtungen mit der Versicherung einzuhalten. Das sind sogenannte Obliegenheiten wie regelmässige Datensicherung, Installation von Anti-Malware-Software und anderen Schutzmechanismen. Die Unternehmen müssen sich bewusst sein, dass eine Versicherung kein Ersatz für fehlenden Eigenschutz ist.
Das Prinzip der Cyber-Versicherung. Eigenschutz ist die Voraussetzung für eine Versicherung.

Risk Engineering durch terreActive

Risk Engineering zeigt auf, wie robust der Eigenschutz eines Unternehmens ist. So kann terreActive bereits vor dem Abschluss der Versicherung Präventionsmassnahmen vorschlagen, um die IT-Infrastruktur sicherer zu machen. Das Risk Engineering kann durch die Versicherung in Auftrag gegeben werden oder auch als Security Audit direkt vom Versicherungsnehmer.

IT-Infrastruktur sicherer machen

Durch das Risk Engineering und das fortlaufende Risikomonitoring werden Schwachstellen aufgezeigt. Mit entsprechenden Massnahmen zur Risikoverbesserung kann der Unternehmenskunde seine IT-Infrastruktur sicherer machen. Mit dem Security Operations Center (SOC) unterstützt terreActive beim Eigenschutz mit permanenter Überwachung vor Angriffen – 24 Stunden und 365 Tage im Jahr. So kann der Kunde seine IT-Infrastruktur im Rahmen des Versicherungsabschlusses auf den neusten Stand bringen und ist gegen einen Cyber-Angriff und unliebsame Folgen geschützt.

Für wen lohnt sich eine Cyper-Versicherung?

Das Risiko wird oftmals unterschätzt – und auch die Konsequenzen wie ein Geschäftsausfall. Auch durch die Digitalisierung steigt das Risiko weiter; fast jeder Geschäftsprozess ist heute IT-gestützt. Die Schweiz ist für Hacker ein lohnendes Angriffsziel, denn hier hat es viele zahlungskräftige KMU, die das Upgrade auf eine IT-Security, die State of the Art ist, verpasst haben und somit besonders verwundbar sind. Die Experteneinschätzung von terreActive zeigt ein besonderes Cyber-Risiko für folgende Bereiche auf:
  • Öffentliche Hand wie z.B. Gemeinden
  • Gesundheitswesen mit Ärzten, Spitälern und Altersheimen
  • Metall-, Maschinen- und Elektronikindustrie
  • Berater wie Anwälte, Planer/Architekten, Ingenieure
  • Hotellerie und Gastronomie
  • Energie und Umweltschutz
Welche Rolle hat der Security-Spezialist bei der Cyber-Versicherung
Vor dem Versicherungsabschluss: Fortlaufend: Im Schadensfall:
◦ Cyber-Gefährdungspotential eruieren ◦ Durchführung von Security-Audits zur Aufdeckung von Schwachstellen ◦ Sachverhaltsabklärung wie Sicherstellen von Beweismittel, forensische Analyse
◦ Risiko beurteilen  ◦ Security-Awareness-Schulungen für Mitarbeiter ◦ Sofortmassnahmen zur Schadenminimierung
◦ Prävention für das Risk Engineering ◦ Laufendes Security Monitoring  ◦ Support bei technischen Fragen
◦ Präventionsmassnahmen empfehlen, um die IT sicherer zu machen ◦ Unterstützung der Firmen-IT z.B. durch Übernahme von 7x24-Überwachung ◦ Support bei der Wiederherstellung
Welche Rolle hat der Security-Spezialist bei der Cyber-Versicherung
Vor dem Versicherungsabschluss: Fortlaufend: Im Schadensfall:
◦ Cyber-Gefährdungspotential eruieren ◦ Durchführung von Security-Audits zur Aufdeckung von Schwachstellen ◦ Sachverhaltsabklärung wie Sicherstellen von Beweismittel, forensische Analyse
◦ Risiko beurteilen  ◦ Security-Awareness-Schulungen für Mitarbeiter ◦ Sofortmassnahmen zur Schadenminimierung
◦ Prävention für das Risk Engineering ◦ Laufendes Security Monitoring  ◦ Support bei technischen Fragen
◦ Präventionsmassnahmen empfehlen, um die IT sicherer zu machen ◦ Unterstützung der Firmen-IT z.B. durch Übernahme von 7x24-Überwachung ◦ Support bei der Wiederherstellung

Fazit: Investition in Eigenschutz und Risikoprävention mit dem richtigen Mass an Versicherung

Eine Investition in den Eigenschutz lohnt sich auf jeden Fall, um einen möglichen Ertragsausfall durch Hacker-Angriffe zu vermeiden. Mit einem guten Stand seiner IT-Security kann der Kunde nicht nur sein Risiko gegen einen drohenden Cyber-Angriff präventiv minimieren, sondern auch seine Cyber-Schutz Versicherung leistungsmässig wie prämienseitig optimieren. Unternehmen, die aktiv in die Prävention und in den Eigenschutz investieren, profitieren bei ihrer Cyber-Schutz Versicherung letztendlich von besseren Konditionen und attraktiveren Prämien.
Zum Autor
Marc-Yves Bächli
Marc-Yves Bächli, Dipl. Ing. ETH/Eurecom, ist Firmengründer, Mitglied der Geschäftsleitung und CFO der terreActive AG. Er ist der erste Kontakt für Unternehmen und Versicherung, wenn es um die Einschätzung von Cyber-Risiken geht.
Zum Unternehmen: Cyber-Security seit 1996. Die terreActive AG konzipiert, integriert und betreibt IT-Sicherheitslösungen. 50 Mitarbeiter in Aarau und das eigene SOC schützen die IT-Infrastrukturen und Daten der Unternehmenskunden.
Mehr Informationen: www.security.ch

Dieser Beitrag wurde von der terreActive AG zur Verfügung gestellt und stellt die Sicht des Unternehmens dar. Computerworld übernimmt für dessen Inhalt keine Verantwortung.

Das könnte Sie auch interessieren