Ob eine Cyberversicherung sinnvoll ist oder nicht, muss in einem Abwägungsprozess festgestellt werden, dem eine Kosten-Nutzen-Analyse zugrunde liegt. Dabei ist von entscheidender Bedeutung, wie hoch das eigene Risiko, Opfer einer Cyberattacke zu werden, eingeschätzt wird. Einige Faktoren für den Abschluss einer Versicherung sind:
- Wahrscheinlichkeit des Schadenseintritts
- Geschäftsfeld/Gewerbe (Abhängigkeit von der IT)
- Höhe des zu erwartenden Schadens
- Unternehmensgröße
Auch die Art der Absicherung muss gewählt werden, da hier gravierende Unterschiede in den Versicherungsbeiträgen bestehen. Beispiele für Versicherungsarten sind: Garantien gegen Betriebsausfälle, Identitätsdiebstahl oder die vollständige Wiederherstellung des Informationssystems nach einem Cyber-Angriff. In jedem Fall sollten die Risiken, die für den Fortbestand eines Unternehmens elementar sind, tatsächlich abgesichert werden. „Eine Versicherung ist sicher einer der letzten Schritte bei der IT-Sicherheit des eigenen Unternehmens. Zunächst sollte gut und wirkungsvoll investiert werden, denn die Versicherungsunternehmen verlangen bereits einen Katalog an Mindestanforderungen. Dazu gehören unter anderem ein Backup, das gut gegen Manipulation abgesichert ist, Patch-Management zur raschen Schließung von Sicherheitslücken, Firewalls, E-Mail-Security, Schutz privilegierter Konten und Multi-Faktor-Authentifizierung“, berichtet Dr. Voßbein und verweist auf die vorherigen Teile der UIMC-Reihe zu Informationssicherheit.
Wichtiger ist noch die Frage: Was aber ist zu tun, wenn das eigene Unternehmen Opfer einer Cyber-Attacke ist? Hierzu sind Meldewege zu definieren, alle betroffenen Personen zu informieren und Kontaktdaten auch offline bzw. analog verfügbar zu halten, schließlich kann eine digitale Kontaktliste ebenfalls vom Cyber-Angriff betroffen sein. „Was trivial klingt, wird oftmals versäumt“, so Dr. Voßbein und verweist darauf, dass bei Attacken insbesondere schnelles Handeln elementar ist.
Bei einem IT-Sicherheitsvorfall sollten die Geräte und das IT-System des Unternehmens vom Internet getrennt werden. Folge: Der Angreifende wird daran gehindert, seinen Angriff zu steuern. Eine mögliche Datenexfiltration wird verhindert. Vom Angriff betroffene Geräte und Computer sollten nach Möglichkeit nicht abgeschaltet werden, um die Arbeit von Ermittlern nicht zu behindern. Für das Unternehmen ist es in einem solchen Angriffsfall von hoher Bedeutung, ob zu normalen Zeiten regelmäßig passgenaue Backups erstellt wurden. Wenn dies so ist, kann der Geschäftsbetrieb zeitnah wieder anlaufen. „Lösegeld sollte auch nicht voreilig gezahlt werden, schließlich weiß man nie, ob die Systeme wieder ‚freigegeben‘ werden und man nicht beim nächsten Mal gezielt angegriffen wird“, empfiehlt Dr. Jörn Voßbein.
Die UIMC ist eine gesellschaftergeführte mittelständische Unternehmensberatung mit den Kerngebieten Datenschutz und Informationssicherheit; im Datenschutz gehören wir zu den marktführenden Beraterhäusern. Wir bieten als Vollsortimenter sämtliche Unterstützungsmöglichkeiten der Analyse, Beratung, Umsetzung und Schulung/Sensibilisierung bis hin zum Komplett-Outsourcing des Beauftragten an.
Das Schwesterunternehmen UIMCert ist als sachverständige Prüfstelle für die Norm ISO/IEC 27001 von der DAkkS akkreditiert.
UIMC Dr. Vossbein GmbH & Co. KG
Otto-Hausmann-Ring 113
42115 Wuppertal
Telefon: +49 (202) 946 7726 200
Telefax: +49 (202) 946 7726 9200
http://www.uimc.de
Geschäftsführer
Telefon: +49 (202) 9467726-200
Fax: +49 (202) 9467726-9200
E-Mail: consultants@uimc.de