Die Gefahr, die durch Cyberangriffe ausgeht macht Cyberversicherungen für immer mehr Unternehmen interessant. Doch auch die Versicherer sind sich dem Risiko bewusst – nicht nur die Preise für solche Policen schießen in die Höhe, auch die Liste der Anforderungen an Versicherungsnehmer:innen wächst. Hinzu kommt, dass diese Versicherungen keine zusätzliche Sicherheit schaffen, sondern nur im Schadensfall einspringen und die finanziellen Einbußen auffangen – und das auch nicht immer im vollen Umfang, wie eine Cybereason Studie aus 2021 zeigt. Der Schaden, der bei einem erfolgreichen Angriff auf die Opfer zukommt, geht jedoch meist über diese hinaus. Ein Reputationsverlust und Schaden für die Marke sind mindestens genauso schwerwiegende Konsequenzen.
Vernetzung bietet Angriffsfläche
Denn durch Angriffe gelangen auch die Daten von Kunden und Zulieferbetrieben in die Hände der Hacker. Diese werden für die Kriminellen immer wertvoller – denn die sogenannten Supply-Chain-Angriffe werden zu einer wachsenden Bedrohung. Eine Lieferkette ist immer nur so stark wie ihr schwächstes Glied. Kriminelle nutzen diesen Umstand, um über die Schnittstellen zwischen den verschiedenen Netzwerken auch andere Unternehmen ins Visier zu nehmen. Zeitgemäße und starke Sicherheitsmaßnahmen sollten daher immer die höchste Priorität für die Unternehmen haben, da Cyberversicherungen allein nicht vor Disruption schützen.
Regulierung der Cyberwelt: Quo vadis EU?
Die zunehmende Gefahr durch Cyberattacken führt auch zu verschärften Regulierungsmaßnahmen durch den Gesetzgeber. Die gesetzlichen Regularien bilden auch für viele Versicherer die Mindestanforderung, die sie an mögliche Kunden stellen. Mit zunehmender Regulierung steigt jedoch auch die Komplexität. Für Versicherer und Kund:innen erhöht sich der Aufwand und die Preise der Versicherungen steigen. Trotzdem ist umfassende Regulierung alternativlos, wenn die digitale Sicherheit in Zukunft gewährleistet werden soll. In diesem Bereich steht die Politik jedoch vor zwei großen Herausforderungen:
1. Regulationen entwickelt sich meist deutlich langsamer als das Anwendungsfeld. Was bereits in der „realen Welt“ ein Problem darstellt, potenziert sich im digitalen Umfeld. Besonders globale Regulierungsansätze, die beispielsweise auf den Schutz der weltweit verzweigten Lieferketten einzahlen, brauchen in Planung und Umsetzung viel Zeit. Denn die digitale Welt ist deutlich schnelleren Entwicklungen unterworfen als andere Politikfelder. Um wirksam zu sein, sollten Regularien mit den Entwicklungen Schritt halten. Daher müssen Gesetze zukunftssicher gestaltet werden. Sie dürfen nicht um bestehende Technologie „herumgebaut“ werden, da sich diese schnell verändert. So laufen Gesetze Gefahr, von heute auf morgen wirkungslos zu werden. Lösungen, die bereits implementiert worden sind, müssen zudem stets von Politik, Versicherern und Unternehmen auf den Prüfstand gestellt und getestet werden. Strategien, die in der Vergangenheit funktioniert haben, können gegen neue Angreifer schon veraltet sein.
2. Die Grenze zwischen privaten Hackergruppen und staatlichen Akteuren verschwimmt. Ein gutes Beispiel hierfür waren im letzten Jahr die Angriffe durch die Gruppe MalKamak, die gefördert durch den iranischen Staat weltweit Luft-, Raumfahrt- und Telekommunikationsunternehmen ins Visier nahmen. Zwar ist es für Verteidiger und Versicherer erst einmal gleich, welchen Hintergrund die Bedrohungsakteure haben – doch für den Gesetzgeber ist dieser sehr wohl von Interesse. Denn Angriffe eines staatlichen Aggressors haben andere Konsequenzen, beispielsweise für die diplomatischen Beziehungen beider Nationen.
Die nächsten Monate sind entscheidend
Wichtige Weichenstellungen dafür, diese Herausforderungen zu meistern, kann die Novelle des Network Information Security Directive (NIS-2) in der europäischen Union liefern. So ist es beispielsweise begrüßenswert, dass eine frühzeitige Meldepflicht bei erfolgreichen Attacken geplant ist. In der Vergangenheit wurde Angreifern hier häufig zu viel Zeit gelassen, sodass sie ihre Spuren verwischen und in neue Netzwerke eindringen konnten, bevor die zuständigen Behörden von dem Angriff erfuhren.
Wichtig für den Erfolg der Regulierungsmaßnahmen ist, dass die Politik eng mit Expert:innen aus dem Feld zusammenarbeiten, die praktische Erfahrung mitbringen und wissen, ob eine gesetzliche Maßnahme sinnvoll und auch praktisch umsetzbar ist. Auch ob die Anschaffung einer Cyberversicherung Sinn macht, hängt von den regulatorischen Rahmenbedingungen ab und wie diese sich in den nächsten Monaten verändern werden. Fest steht: das effektivste Mittel gegen die Gefahr aus dem Netz bietet ein umfassendes Sicherheitssystem. Eine Cyberversicherung kann den Schaden zwar etwas lindern – verhindern kann sie ihn nicht. Nur umfassende Security-Maßnahmen können den Hackern wirklich etwas entgegensetzen.
Frank Kölmel ist General Manager EMEA bei Cybereason, diese zählen derzeit zu den am schnellsten wachsenden Security Unternehmen weltweit. Er wechselte zuletzt von Paolo Alto Networks zu Cybereason und bringt über 25 Jahre Erfahrung in der ITK-Branche mit sich.
