profile

Michael Mayer

Sonnenschirm bei Regen

Published 3 months ago • 3 min read

Die meisten Firmen haben inzwischen eine Cyberversicherung. Für Versicherungsmakler ist es schließlich super, wenn ein komplett neues Produkt auf den Markt kommt, das sie dann vertreiben können.

Die Geschäftsführung liest sich die Deckungssummen durch und unterschreibt. Endlich wieder ruhig schlafen! Aber war's das damit?

Die Theorie

Wenn du schon mal mit Versicherungen und Schadensmeldungen zu tun hast, dann weißt du, dass nur der Vertragsabschluss reibungslos ist.

Das erinnert mich gerade an eine Sache, die vor ein paar Jahren passiert ist. Jemand hat mir aus meinem versperrten Fahrradkeller alle möglichen Teile meines Fahrrads gestohlen, sodass am Ende nur noch der Rahmen und ein Reifen übrig waren. Die Versicherung hat abgelehnt: Es gilt nur, wenn das ganze Fahrrad gestohlen wird – Teilediebstahl zählt nicht. 😡

Warum sollte es bei Cyberversicherungen anders sein? Am Ende sind sie auch nur ein Finanzprodukt mit vielen "If-Then-Else"-Funktionen. Die Auflagen sind teilweise echt schwer zu erfüllen und werden oft nicht zugunsten des Versicherungsnehmers ausgelegt.

Nur ein kurzer Disclaimer: Jede Polizze und jede Versicherungsgesellschaft sind anders und auch von den Gesetzen in den jeweiligen Ländern abhängig. Ich kann hier logischerweise keine Generalauskunft geben. Wenn du eine Cyberversicherung abschließt, solltest du vorher die Verträge durchlesen.

Nehmen wir das Beispiel Multi-Faktor-Authentisierung. Das ist mittlerweile bei den meisten Cyberversicherungen eine Voraussetzung.

  • Sie ist nicht für alle Accounts aktiviert? Nicht gedeckt!
  • Eine alte Anwendung Ausnahme für MFA? Nicht gedeckt!
  • Du hast die Ausnahmen nicht dokumentiert? Nicht gedeckt!
  • Du hast eine Dokumentation, aber sie wurde verschlüsselt? Nicht gedeckt!

Die Praxis

Die Uhr tickt! Während du mit der Versicherung wochenlang diskutierst und endlos viele Stunden dabei draufgehen nachzuweisen, dass du alles richtig gemacht hast, steht der Betrieb und wartet auf Wiederherstellung.

In der Realität beauftragt die Versicherung einen unabhängigen Gutachter, der deine Systeme untersucht. Je nachdem, wie schlimm der Vorfall ist, kann es sein, dass du deine Cybersecurity-Maßnahmen nicht nachweisen kannst.

Das Rechte- und Rollenkonzept, das du über das zentrale Active Directory brav implementiert hast, ist nicht zugänglich, weil die Domain Controller nicht mehr hochfahren.

Du kannst deine MFA und Conditional Access-Policies nicht abrufen, weil dein Microsoft 365 Tenant nicht mehr zugänglich ist, da alle Global Admins ausgesperrt wurden.

Jetzt mal Hand aufs Herz: Wann hast du deine Einstellungen das letzte Mal dokumentiert und ausgedruckt und in einen Tresor gelegt? Wenn du nicht erst kürzlich eine Schulung zum Business Continuity Management (BCM) oder ein ISO 27001-Audit absolviert hast, wahrscheinlich noch nie.

Die logische Alternative

Cyberversicherungen sind kein Ersatz für Prävention. Sie setzen sie voraus.

Du fährst doch schließlich auch nicht mit dem Auto wie ein Berserker und denkst dir dabei: Die Kasko zahlt das schon! Bei einem Totalschaden kriegst du nur den Schrottwert. Die verlorene Zeit wird dir aber niemals ersetzt.

Wenn du wissen willst, ob dein Regenschirm dicht ist, musst du ihn regelmäßig prüfen. Aber nicht nur drinnen, sondern im strömenden Regen bei Wind und Wetter.

Die wichtigsten Punkte:

  • Eine solide Backup-Strategie unabhängig vom restlichen Betrieb
  • Patch-Management für alle Geräte und Software-Lösungen
  • Soft- und Hardware müssen vom Hersteller aktiv mit Sicherheits-Updates versorgt werden
  • Multi-Faktor-Authentisierung bei allen User- und Admin-Accounts aktivieren
  • Aktuelle Dokumentation aller Sicherheitsmaßnahmen, inklusive Ausnahmen
  • Incident-Response-Plan um schnelle Maßnahmen im Notfall zu treffen

Das klingt nach Arbeit? Die richtige Arbeit hast du erst, wenn du alles neu aufsetzen musst nach einem Vorfall.

Quick-Wins

Die folgenden fünf Aufgaben kannst du schnell erledigen, um deine Chance auf Deckung der Schäden durch die Cyberversicherung zu verbessern:

  1. Hol dir den Vertrag und die Polizze der Cyberversicherung und lies die technischen und organisatorischen Maßnahmen (TOMs).
  2. Mach einen kurzen Reality-Check: Welche TOMs erfüllst du zu 100%, welche nur zum Teil und welche gar nicht.
  3. Dokumentiere deine umgesetzten TOMs. Du musst nicht jede Schaltfläche und jede Config-Datei von allen Anwendungen schriftlich in ein Word-Dokument packen. Mach es dir SO EINFACH wie möglich. Du kannst auch alles auf Video aufnehmen. Hol dir zum Beispiel ein Loom-Abo und geh durch die Einstellungen aller Server und zentralen Anwendungen und sprich ein paar Wörter dazu.
  4. Plane jetzt schon die halbjährlichen Audits der TOMs und hol dir auch die Unterstützung der Geschäftsführung. Mach es zu einem Geschäftsrisiko.
  5. Wenn du dir bei gewissen TOMs nicht sicher bist, hol dir Hilfe von außen. Unabhängige Gutachter, oder Dienstleister können nicht nur von Versicherungen gebucht werden. 😉

Fazit

Eine Cyberversicherung ist wie ein Regenschirm. Ob sie hält, merkst du erst, wenn es zu spät ist.

Verlass dich also nicht darauf und halte dir lieber auch noch eine Regenjacke parat.

Michael Mayer, Modecenterstraße 22, Wien, 1030
Abbestellen · Einstellungen

Michael Mayer

MACH dir deine Security selbst. Jeden Samstagmorgen, teile ich anwendbare Strategien und Anekdoten aus der Welt der Cyber Security. Ganz ohne Fachchinesisch!

Read more from Michael Mayer

Einbrecher kommen nachts. Hacker? Die kommen um 10 Uhr vormittags, wenn dein Team gerade im Meeting sitzt, die Produktion läuft und der Kaffee noch warm ist. Der Angriff passiert mitten im Alltag und genau das macht ihn so verdammt schwer zu erkennen. Digitale Einbruchsspuren sind fast unsichtbar Bei einem klassischen Einbruch siehst du sofort, dass was nicht stimmt. Zersplittertes Glas, aufgebrochene Türen, durchwühlte Schränke. Alles schreit:"Hier war wer!" Cyberangriffe hinterlassen nur...

about 2 months ago • 2 min read

Jede Firma hat sie, aber keiner spricht drüber. Und alle hoffen, dass sie niemand entdeckt: Die Leichen im Keller der IT. Damit meine ich nicht Friedrich, den Mainframe-Admin aus den 80ern, der einmal im Jahr aufgetaut wird, wenn es wieder mal eine Spezial-Frage gibt. Nein, sondern von den Systemen, Prozesse und Gewohnheiten, die hysterisch … ähm historisch gewachsen sind. Die vergessenen Altlasten Du weißt ganz genau, wovon ich spreche. Jede Firma hat sie und Admins in ihrem Home-Lab...

about 2 months ago • 3 min read

Wenn sich die IT selbst prüft, ist das so, als wenn zwei Wölfe und ein Schaf darüber abstimmen, was es heute zu Mittag gibt. Das klingt zwar wie ein Vorwurf, ist es aber nicht. Wenn wir mal unser Ego beiseite lassen und akzeptieren, dass jeder von uns Fehler macht, dann wird klar, warum es unabhängige Prüfinstitute gibt. Aus demselben Grund sind Penetrationstests, Security-Audits und Hacking-Simulationen (Red Teaming) auch so wichtig. Wo endet die IT? Die IT macht den Betrieb und die Security...

2 months ago • 4 min read