profile

Michael Mayer

Sonnenschirm bei Regen

Published 9 days ago • 3 min read

Die meisten Firmen haben inzwischen eine Cyberversicherung. Für Versicherungsmakler ist es schließlich super, wenn ein komplett neues Produkt auf den Markt kommt, das sie dann vertreiben können.

Die Geschäftsführung liest sich die Deckungssummen durch und unterschreibt. Endlich wieder ruhig schlafen! Aber war's das damit?

Die Theorie

Wenn du schon mal mit Versicherungen und Schadensmeldungen zu tun hast, dann weißt du, dass nur der Vertragsabschluss reibungslos ist.

Das erinnert mich gerade an eine Sache, die vor ein paar Jahren passiert ist. Jemand hat mir aus meinem versperrten Fahrradkeller alle möglichen Teile meines Fahrrads gestohlen, sodass am Ende nur noch der Rahmen und ein Reifen übrig waren. Die Versicherung hat abgelehnt: Es gilt nur, wenn das ganze Fahrrad gestohlen wird – Teilediebstahl zählt nicht. 😡

Warum sollte es bei Cyberversicherungen anders sein? Am Ende sind sie auch nur ein Finanzprodukt mit vielen "If-Then-Else"-Funktionen. Die Auflagen sind teilweise echt schwer zu erfüllen und werden oft nicht zugunsten des Versicherungsnehmers ausgelegt.

Nur ein kurzer Disclaimer: Jede Polizze und jede Versicherungsgesellschaft sind anders und auch von den Gesetzen in den jeweiligen Ländern abhängig. Ich kann hier logischerweise keine Generalauskunft geben. Wenn du eine Cyberversicherung abschließt, solltest du vorher die Verträge durchlesen.

Nehmen wir das Beispiel Multi-Faktor-Authentisierung. Das ist mittlerweile bei den meisten Cyberversicherungen eine Voraussetzung.

  • Sie ist nicht für alle Accounts aktiviert? Nicht gedeckt!
  • Eine alte Anwendung Ausnahme für MFA? Nicht gedeckt!
  • Du hast die Ausnahmen nicht dokumentiert? Nicht gedeckt!
  • Du hast eine Dokumentation, aber sie wurde verschlüsselt? Nicht gedeckt!

Die Praxis

Die Uhr tickt! Während du mit der Versicherung wochenlang diskutierst und endlos viele Stunden dabei draufgehen nachzuweisen, dass du alles richtig gemacht hast, steht der Betrieb und wartet auf Wiederherstellung.

In der Realität beauftragt die Versicherung einen unabhängigen Gutachter, der deine Systeme untersucht. Je nachdem, wie schlimm der Vorfall ist, kann es sein, dass du deine Cybersecurity-Maßnahmen nicht nachweisen kannst.

Das Rechte- und Rollenkonzept, das du über das zentrale Active Directory brav implementiert hast, ist nicht zugänglich, weil die Domain Controller nicht mehr hochfahren.

Du kannst deine MFA und Conditional Access-Policies nicht abrufen, weil dein Microsoft 365 Tenant nicht mehr zugänglich ist, da alle Global Admins ausgesperrt wurden.

Jetzt mal Hand aufs Herz: Wann hast du deine Einstellungen das letzte Mal dokumentiert und ausgedruckt und in einen Tresor gelegt? Wenn du nicht erst kürzlich eine Schulung zum Business Continuity Management (BCM) oder ein ISO 27001-Audit absolviert hast, wahrscheinlich noch nie.

Die logische Alternative

Cyberversicherungen sind kein Ersatz für Prävention. Sie setzen sie voraus.

Du fährst doch schließlich auch nicht mit dem Auto wie ein Berserker und denkst dir dabei: Die Kasko zahlt das schon! Bei einem Totalschaden kriegst du nur den Schrottwert. Die verlorene Zeit wird dir aber niemals ersetzt.

Wenn du wissen willst, ob dein Regenschirm dicht ist, musst du ihn regelmäßig prüfen. Aber nicht nur drinnen, sondern im strömenden Regen bei Wind und Wetter.

Die wichtigsten Punkte:

  • Eine solide Backup-Strategie unabhängig vom restlichen Betrieb
  • Patch-Management für alle Geräte und Software-Lösungen
  • Soft- und Hardware müssen vom Hersteller aktiv mit Sicherheits-Updates versorgt werden
  • Multi-Faktor-Authentisierung bei allen User- und Admin-Accounts aktivieren
  • Aktuelle Dokumentation aller Sicherheitsmaßnahmen, inklusive Ausnahmen
  • Incident-Response-Plan um schnelle Maßnahmen im Notfall zu treffen

Das klingt nach Arbeit? Die richtige Arbeit hast du erst, wenn du alles neu aufsetzen musst nach einem Vorfall.

Quick-Wins

Die folgenden fünf Aufgaben kannst du schnell erledigen, um deine Chance auf Deckung der Schäden durch die Cyberversicherung zu verbessern:

  1. Hol dir den Vertrag und die Polizze der Cyberversicherung und lies die technischen und organisatorischen Maßnahmen (TOMs).
  2. Mach einen kurzen Reality-Check: Welche TOMs erfüllst du zu 100%, welche nur zum Teil und welche gar nicht.
  3. Dokumentiere deine umgesetzten TOMs. Du musst nicht jede Schaltfläche und jede Config-Datei von allen Anwendungen schriftlich in ein Word-Dokument packen. Mach es dir SO EINFACH wie möglich. Du kannst auch alles auf Video aufnehmen. Hol dir zum Beispiel ein Loom-Abo und geh durch die Einstellungen aller Server und zentralen Anwendungen und sprich ein paar Wörter dazu.
  4. Plane jetzt schon die halbjährlichen Audits der TOMs und hol dir auch die Unterstützung der Geschäftsführung. Mach es zu einem Geschäftsrisiko.
  5. Wenn du dir bei gewissen TOMs nicht sicher bist, hol dir Hilfe von außen. Unabhängige Gutachter, oder Dienstleister können nicht nur von Versicherungen gebucht werden. 😉

Fazit

Eine Cyberversicherung ist wie ein Regenschirm. Ob sie hält, merkst du erst, wenn es zu spät ist.

Verlass dich also nicht darauf und halte dir lieber auch noch eine Regenjacke parat.

Michael Mayer, Modecenterstraße 22, Wien, 1030
Abbestellen · Einstellungen

Michael Mayer

Ein Security-Nerd schreibt Klartext

MACH dir deine Security selbst. Jeden Samstagmorgen, teile ich anwendbare Strategien und Anekdoten aus der Welt der Cyber Security. Ganz ohne Fachchinesisch!

Read more from Michael Mayer

Der Handwerker fährt vor, öffnet seinen Transporter und zeigt eine fest installierte und perfekt aufgeräumte Fahrzeugeinrichtung. Jeder Koffer ist beschriftet, jedes Ersatzteil ist in seinem Container und die Ladung ist gesichert. Er weiß genau, was er braucht. Die IT in vielen Firmen ist genau das Gegenteil. Wie ein Schüttkasten voller Ramsch, Dreck und viel zu vieler Werkzeuge. Den 10er Gabelschlüssel haben sie in 8-facher Ausführung, aber nie griffbereit. Das Werkzeug-Arsenal Fast jedes...

1 day ago • 5 min read

Halloween ist zwar erst nächste Woche, aber es wäre langweilig, am 1. November noch einen Grusel-Newsletter zu lesen. Daher gibt es ihn schon diese Woche! 🧟🎃 Was ist schlimmer als Stillstand? Auf einem Zombie-Pferd zu reiten! Damit meine ich keine schlecht selektierten Tools, sondern falsche Schlussfolgerungen. Die Logik, dass das Netzwerk sicher ist, weil bisher noch nichts passiert ist, ist genauso schwachsinnig wie die Vorstellung, unsterblich zu sein, nur weil man noch nicht gestorben...

16 days ago • 2 min read

Niemand klatscht, wenn nichts passiert. Keine standing Ovations, wenn das automatisierte Patching wie jeden Monat nahtlos durchläuft. Es gibt auch keinen Bonus, wenn der Spam-Filter keine Phishing-Mails durchlässt. Wenn nachts um 03:00 Uhr der Alarm losgeht und der heldenhafte Incident-Responder ausrückt, obwohl der Angriff vermeidbar gewesen wäre, gibt es ein fettes Dankeschön der Geschäftsführung und Kuchen für alle. Willkommen bei Security Tetris. Wo Erfolg niemals zählt, aber kleinste...

23 days ago • 3 min read