Helfen Versicherungen bei Hackerangriffen? IT-Sicherheitsexperte Helmut Semmelmayer erklärt, was sie aus seiner Sicht leisten können und welche Möglichkeiten Kommunen darüber hinaus haben.
Neben Unternehmen aus der Privatwirtschaft sind auch Kommunen mittlerweile zu beliebten Angriffszielen für Hacker geworden. Nicht nur, dass in den Verwaltungen viele sensible Daten gebündelt zu finden sind, deren Verlust oder Veröffentlichung enormen Schaden anrichten könnte, sie sind auch relativ leicht abzugreifen. Denn nach wie vor wird das Thema Cybersecurity in Verwaltungen und Ämtern eher stiefmütterlich behandelt. Es fehlt sowohl an monetären und personellen Ressourcen als auch an Expertise in dem Bereich, wodurch Cyberkriminelle leichtes Spiel haben.
So kam es zum Beispiel im Landkreis Anhalt-Bitterfeld im Sommer 2021 zu einem Cyberangriff, der die gesamte Verwaltung lahmlegte. Sämtliche Daten wurden verschlüsselt und die Bearbeitung von Anträgen für Sozialleistungen wie Arbeitslosengeld war unmöglich. Es wurde eine Lösegeldforderung für die Daten in Höhe von 500.000 Euro gestellt – ein klassischer Ransomware-Angriff also, von denen aktuell immer mehr Unternehmen und Behörden betroffen sind. Abgesehen von dieser Forderung wurde der Aufwand, um alle Systeme wieder zum Laufen zu bringen, auf 1,5 bis 2 Millionen Euro geschätzt – ein ziemlich großes Loch in der Kasse eines doch eher kleinen Landkreises, dessen IT-Abteilung von gerade einmal drei Fachleuten betreut wird. Das reicht nicht, um das Schiff angemessen gegen Piraten zu verteidigen.
Passieren kann es jederzeit
Hätte eine Cyberversicherung hier Abhilfe schaffen können? In der Theorie: ja – und zwar auf mehreren Ebenen. Wenn nämlich auch Dritte von dem Angriff betroffen sind, wie im Fall Anhalt-Bitterfeld die Sozialleistungsbezieher, so steht die Gewährleistung der Handlungsfähigkeit der Behörde im Zentrum, um sofort mit schadensbegrenzenden Maßnahmen beginnen und Ausfälle abfangen zu können. Bis die Behörde also wieder in die Gänge kommt, bezahlt die Cyberversicherung einen vorab vereinbarten Tagessatz aus, der sowohl die laufenden Kosten des Versicherten selbst sowie mögliche Drittschäden abdeckt.
Auch die Kosten einer IT-forensischen Begutachtung, die das Ausmaß des technischen Schadens bewertet, und die Wiederherstellung der verlorenen Daten werden von der Versicherung getragen. Sogar die Lösegeldforderung selbst kann von der Versicherung übernommen werden, wenn keine andere Möglichkeit zur Datenrettung besteht.
Das klingt nach einem durchaus sinnvollen Auffangnetz, das im Worst Case zum Tragen kommt. Doch wie sieht es in der Praxis aus? Bei einem so dynamischen Thema wie Cybersecurity, bei dem sich die Gegebenheiten und Anforderungen gefühlt im Minutentakt ändern, ist es für Versicherungen schwierig geworden, eine angemessene Risikoanalyse durchzuführen. Die Wahrscheinlichkeit, Opfer eines Hackerangriffs zu werden, ist heute so hoch, dass die Frage nicht mehr lautet ob, sondern wann er geschieht. Somit ist ein Rundumpaket inklusive Ransomware-Schutz aktuell mit hohen Kosten, niedrigen Auszahlungssummen und hohen Selbstbehalten verbunden.
So sicher, wie es nur geht
Einige Anbieter haben eine Abdeckung bei Ransomware-Angriffen komplett aus ihren Policen gestrichen. Außerdem müssen Versicherungsnehmer gewisse Mindestanforderungen erfüllen, um sich für die Versicherung zu qualifizieren. Tun sie dies nicht, werden sie als zu riskant eingestuft und bekommen keinen Schutz. Tritt ein Schadensfall ein, prüft die Versicherung außerdem, ob die geforderten Maßnahmen zu dem Zeitpunkt erfüllt oder mangelhaft waren. Wenn sie als unerfüllt bewertet werden, verweigert die Versicherung die Zahlung.
Zu den Mindestanforderungen an die IT-Security von Versicherungsnehmern zählen:
- die Nutzung von Virenschutzsoftware und die Installation einer Firewall auf allen Geräten,
- regelmäßige Daten-Backups, zum Beispiel in eine Cloud,
- die Umsetzung des so genannten „Least Privilege Prinzips“, bei dem IT-Benutzer nur jene Zugriffsrechte haben, die sie für ihre Arbeit unbedingt brauchen (und dies am besten automatisiert über eine Identity & Access Management Lösung).
Was eine Cyberversicherung definitiv nicht kann: einen Angriff abwehren. Sie kann lediglich Schadensbegrenzung leisten, nachdem der Ernstfall schon eingetreten ist. Die Mindestanforderungen, die Versicherungsanbieter an Kunden stellen, sind Anforderungen, die jedes Unternehmen sowie jede Behörde, die mit sensiblen Kundendaten hantiert, ohnehin schon umgesetzt haben sollte. Ist dies nicht der Fall, gilt es, das hausinterne Sicherheitskonzept rasch zu überarbeiten.
Autor: Helmut Semmelmayer ─ der IT-Experte hilft als VP Revenue Operations beim IAM-Entwickler tenfold Firmen dabei, Zugriffsrechte sicher und effizient zu verwalten