Mit den richtigen Tipps: Cyber-Versicherer zufrieden stellen
5. April 2023Cyber-Security-Risiken bestmöglich abzusichern, hat für viele IT- und Sicherheitsverantwortliche höchste Priorität. Kein Wunder, bereiten Cyber-Gefahren wie Ransomware-Angriffe, Datenschutzverletzungen oder IT-Ausfälle den Unternehmen weltweit doch mittlerweile die größten Sorgen, wie das Allianz Risk Barometer 2022 zeigt. Da auch die beste Cyber-Sicherheitsstrategie und fortschrittliche Abwehrmaßnahmen keinen hundertprozentigen Schutz bieten, wollen immer mehr Unternehmen das Restrisiko über eine Cyber-Police abgesichert wissen.
Doch die Kosten für entsprechende Versicherungen sind in jüngster Zeit stark gestiegen, was für viele Unternehmen zur Folge hat, dass sie entweder die entsprechenden Budgets erhöhen oder eine höhere Selbstbeteiligung akzeptieren müssen. Zudem sind längst nicht mehr alle gängigen Bedrohungen abgedeckt.
Damit ziehen die Versicherer allmählich die Reißleine, um sich selbst vor der steigenden Zahl gemeldeter Schadensfälle zu schützen. Dies tun sie auch, indem sie von ihren Klienten immer enger definierte Sicherheitsvorkehrungen verlangen, um einen gewissen Grundschutz und somit die Versicherbarkeit nachzuweisen. Setzen Unternehmen diese Maßnahmen nicht gänzlich um oder haben keine entsprechende Dokumentation, kann es passieren, dass der Versicherer im Ernstfall nicht einspringt und die Schadensübernahme verweigert wird.
Versicherungsunternehmen verlangen von ihren Kunden heutzutage eine proaktive Sicherheitsstrategie, die es ihnen ermöglicht, Cyber-Bedrohungen zu stoppen, bevor diese das Netzwerk infiltrieren. Mit der Umsetzung folgender sieben Sicherheitsmaßnahmen können IT- und Sicherheitsverantwortliche diese Proaktivität nachweisen und ihre Versicherer so zufrieden stellen:
Haben Sie die Bedrohungslandschaft im Blick und schulen Sie Ihre Mitarbeitenden
Cyber-Versicherer setzen voraus, dass ihre Kunden über ein angemessenes Risk Management verfügen. Dieses beinhaltet eine fortlaufende und intensive Auseinandersetzung mit der aktuellen Bedrohungslandschaft sowie die Fähigkeit, Cyber-Risiken verstehen und priorisieren zu können. Zudem sollten IT- und Sicherheitsteams in der Lage sein, unternehmenseigene Schwachstellen zu identifizieren, um die eigene Risikotoleranz realistisch einzuschätzen.
Dabei soll möglichst die gesamte Belegschaft mit ins Boot geholt werden, weshalb viele Versicherer die Durchführung von Cyber-Security-Schulungen verpflichtend vorgeben. Entscheidend ist dabei, dass es sich um von Spezialisten abgehaltene und auf die jeweilige Abteilung zugeschnittene Schulungen handelt, die über einfache (und meist nutzlose) Online-Tests oder das bloße Unterschreiben von Sicherheitsrichtlinien hinausgehen.
Verschaffen Sie sich einen Überblick über privilegierte Konten und kritische Assets
Unternehmen sollten nicht nur jederzeit ein Inventar sämtlicher im Einsatz befindender Hard- und Software vorlegen können, sondern auch über eine Auflistung aller im Unternehmensnetzwerk existierenden privilegierten Konten und Identitäten verfügen. Hierfür empfiehlt sich der Einsatz von automatisierten Erkennungs-Tools, die Active Directory-Konten und -Passwörter, Service-Accounts aber auch sensible lokale Konten und Anwendungen lückenlos identifizieren – einschließlich der von externen Partnern genutzten.
Auf diese Weise kommen auch veraltete, jedoch weiterhin aktive Accounts zum Vorschein, die etwa im Zuge eines Mitarbeiter-Offboardings nicht vorschriftsgemäß gelöscht wurden und nun ein hohes Risiko für die Kompromittierung durch Hacker bedeuten. Ein solcher Überblick ermöglicht es den Sicherheitsverantwortlichen, potenzielle Risiken noch besser zu beurteilen und nach einer Priorisierung gezielt Sicherheitskontrollen umzusetzen.
Automatisieren Sie Passwörter und verwenden Sie immer eine MFA
Die Verwendung von manuellen Tabellen für die Passwortverwaltung ist für jeden Versicherer ein Warnsignal, dass es um die Passworthygiene eines Unternehmens nicht so gut bestimmt ist. Die Implementierung einer Passwort-Management-Lösung, z. B. eines Passwort-Tresors, wird von vielen Cyber-Policen daher vorausgesetzt.
Nur so kann sichergestellt werden, dass Anmeldeinformationen sicher generiert, regelmäßig rotiert und zudem rückverfolgt werden können, und menschliches Fehverhalten in Bezug auf die Passwortverwendung keine Chance mehr hat. Der Zugriff auf sensible Daten und kritische Systeme sowie die Erhöhung von Privilegien sollte zudem grundsätzlich eine Multi-Faktor-Authentifizierung (MFA) erfordern, um Cyber-Angreifern die Möglichkeit zu nehmen, sich in den Netzwerken auszubreiten.
Setzen Sie auf PAM und einen Least-Privilege-Access
Hacker verbergen ihre Aktivitäten oft unter dem Deckmantel eines legitimen administrativen Benutzers. Eine umfassende Privileged-Access-Management (PAM)-Lösung unterstützt Security-Teams bei der Kontrolle von Zugriffen auf Systeme und Daten und bei der Einhaltung von Vorschriften. Dabei ist wichtig, dass die Software die Identifizierung und Analyse von Risiken für privilegierte Konten automatisieren kann, und zudem eine kontinuierliche Überwachung und Aufzeichnung von Sessions bietet.
Idealerweise kann ein Unternehmen zusätzliche Maßnahmen zum Schutz vor Malware und Manipulationen vorweisen, indem Zugriffe flächendeckend gemäß einem Least-Privilege-Prinzip gewährt, lokale Administratorrechte einschränkt sowie Threat Intelligence und Endpunktschutzlösungen integriert werden.
Erstellen Sie Backups und verwenden Sie Endpunktsicherheit
Im Falle eines vorangegangenen Sicherheitsvorfalls ist es essenziell, schnell zum ursprünglichen Zustand zurückzukehren, um hohe Folgekosten zu vermeiden. Umfangreiche Backup-Prozesse sind für Cyber-Versicherer daher oft Voraussetzung für den Abschluss einer Police bzw. die Ausbezahlung von Entschädigungen. Dazu gehört, dass sämtliche Secrets, d.h. Passwörter und andere Anmeldedaten nicht an einen einzigen Ort gebunden sind, sondern an einen sicheren Ort verschoben werden können, weshalb das eingesetzte Passwortmanagement bzw. PAM über eine redundante Infrastruktur verfügen sollte.
Und auch eine entsprechende Endpoint-Security-Lösung kann die Erkennung von und die Reaktion auf Angriffe nachhaltig erleichtern. Dazu sollte eine Lösung gewählt werden, die umfassende Überwachungs-, Warn- und Reporting-Funktionen für privilegiertes Verhalten auf Workstations und Servern bietet und im Falle eines Verstoßes eine forensische Analyse durchführt.
Überwachen Sie die Benutzung sensibler Credentials
Laut dem Verizon Data Breach Investigations Report 2022 sind 82 Prozent der Datenschutzverletzungen auf den Faktor Mensch zurückzuführen, einschließlich Social Engineering, unbeabsichtigter Fehler und gezieltem Missbrauch.
Deshalb sollte auf eine PAM-Lösung gesetzt werden, die Remote-Sitzungen – inkl. Cloud-Sitzungen – überwachen kann und mittels Privileged-Behaviour-Analytics erkennt, auf welche digitalen Identitäten zugegriffen wird. Auf diese Weise können Anomalien frühzeitig identifiziert und Angriffe rechtzeitig gestoppt werden.
Erstellen Sie einen Incident-Response-Plan
Wird ein Unternehmen von einem Cyber-Angriff oder einer Datenschutzverletzung heimgesucht, müssen IT- und Security-Teams schnell und vor allem routiniert reagieren, damit der Vorfall nicht zur Katastrophe wird. Ein Incident-Response-Plan kann ihnen dabei helfen, eine schnelle Reaktion zu koordinieren und so den potenziellen Schaden zu begrenzen und die Geschäftskontinuität zu wahren. Auch Versicherungsunternehmen setzen einen solchen Notfallplan bei den Versicherungsnehmern voraus.
Weil eine gründliche Vorbereitung des Incident-Response-Plans essenziell ist, empfiehlt es sich, eine anpassbare Vorlage heranzuziehen. Darauf basierend sollte eine Checkliste mit den verschiedenen Rollen und Verantwortlichkeiten erstellt sowie konkret definierte Schritte und Handlungsanweisungen formuliert werden, um das Ausmaß eines Cyber-Sicherheitsvorfalls bewerten und den Schaden eindämmen zu können, bevor wichtige Systeme betroffen sind. Zudem sollten regelmäßig Vorfallsimulationen durchgeführt werden, um Optimierungsmöglichkeiten zu ermitteln und nicht nur theoretisch, sondern praktisch vorbereitet zu sein.
Eine Cyber-Versicherung kann Unternehmen im Falle eines Angriffs oder einer Datenschutzverletzung vor teils existenzbedrohenden Folgekosten schützen, auch wenn diese längst keine Rundum-Absicherung mehr bietet. Umso wichtiger ist es, dass Unternehmen eine nachhaltige Sicherheitsstrategie entwickeln, um einerseits Attacken bestmöglich abwehren zu können und andererseits den von den Versicherern vorausgesetzten Grundschutz erfüllen.
Andreas Müller ist Vice President für die Region DACH bei Delinea.