Die 5 häufigsten Risikofragen in der Cyberversicherung

Nein, so richtige Standards lassen sich auf dem Gebiet der Cyberversicherung noch nicht erkennen. Das stellt der auf solche Policen spezialisierte Berliner Makler Cyberdirekt in einer aktuellen Marktstudie fest. Darin befasst er sich mit Risikofragen und technischen Mindestanforderungen, die Cyberversicherer an ihre Kunden stellen.

Denn bevor ein Anbieter den Kunden versichert, muss er ja wissen, auf welchem technischen Stand dessen IT überhaupt ist. Doch das passiert höchst unterschiedlich. So stellen die Berliner in dieser Hinsicht eine Spanne von einer einzigen bis 21 Fragen fest. Und selbst das sagt nichts darüber aus, wie schnell oder einfach die zu beantworten sind.

Parallel dazu zeigt sich in der Risikoprüfung für die Cyberversicherung ein Trend: der sogenannte Schwachstellen-Scan. Dabei klopfen externe Organisationen die IT-Infrastruktur des Antragstellers auf mögliche Sicherheitslücken ab. Finden sie dabei etwas, kann das den Schutz verteuern – oder der Antragsteller muss das Problem beheben. Andererseits macht der Schwachstellen-Scan einige Risikofragen überflüssig.

Mehr zum Thema

Direkter Vergleich

Cyberdirekt entwickelt Rating für Cyberversicherungen

Cloud, Krieg, Lösegeld

In welchen Punkten sich Cyberversicherungen stark unterscheiden

Chefin von Stoïk in Deutschland

„Wir stellen weniger Fragen, weil wir die Systeme selbst scannen“

Direkter Vergleich

Cyberdirekt entwickelt Rating für Cyberversicherungen

Cloud, Krieg, Lösegeld

In welchen Punkten sich Cyberversicherungen stark unterscheiden

Chefin von Stoïk in Deutschland

„Wir stellen weniger Fragen, weil wir die Systeme selbst scannen“

Auch die Umsatzklassen, nach denen Cyberversicherer die Kunden einteilen, zeigen enorme Unterschiede. Insgesamt zählt Cyberdirekt 14 Umsatzbänder, die zwischen 2,5 und 100 Millionen Euro Jahresumsatz liegen. Manche decken aber auch Kunden mit Umsätzen unter 2,5 Millionen Euro mit ab. Außerdem steigt bei den meisten Anbietern die Zahl der Fragen enorm, sobald der Umsatz die Grenze von 10 Millionen Euro übersteigt.

So heterogen die ganze Sache auch daherkommt – schließlich wird keine einzige Risikofrage von wirklich allen Anbietern gestellt – in der Studie kristallisiert sich heraus, welche Risikofragen besonders häufig fallen. Hier sind sie:

Firewall und Virenschutz

94 Prozent der Cyberversicherer fordern, dass Kunden eine aktive Firewall und einen Virenschutz vorweisen können. Manche fragen allerdings nur vage nach, andere gehen richtig ins Detail. 29 Prozent fordern zum Beispiel, dass sich beide Schutzsysteme automatisch aktualisieren. 59 Prozent verlangen einen bestimmten Mindestrhythmus für Updates.

Tipp von Cyberdirekt: Firewall und Virenschutz automatisch aktualisieren und Erkennung und Reaktion bei Anomalien (Endpoint Detection and Response, EDR) einschließen.

Datensicherung

88 Prozent der Cyberversicherer sprechen an, wie und wie oft Kunden ihre Daten sichern. Auch dort geht es bei manchen eher unscharf und bei anderen schon detaillierter zur Sache. 82 Prozent fragen konkret, wie oft gesichert wird. 76 Prozent möchten wissen, wo gesichert wird.

Tipp von Cyberdirekt: Geschäftskritische Daten (also auch Kundendaten) mindestens täglich sichern.

Patch-Management

71 Prozent erkundigen sich nach regelmäßigen Updates für Software. Manche verlangen lediglich, dass sie „zeitnah“ aufgespielt werden. Andere bestehen auf konkrete zeitliche Rahmen. Noch andere fordern sogar automatische Patch-Management-Abläufe.

Tipp von Cyberdirekt: Geschäftskritische Sicherheitsupdates auf allen Servern und Clients innerhalb von 14 Tagen standardmäßig aufspielen. Wer selbst Server betreiben, sollten das auch für diese Betriebssysteme und geschäftskritische Dienste sicherstellen.

Berechtigungskonzept

53 Prozent der Cyberversicherer fragen, ob Antragsteller als Schutzmaßnahme ein (funktionierendes) Konzept für Rechte und Rollen der Mitarbeiter haben. Manche verlangen lediglich aktive Zugangskontrollen. Andere wollen abgestufte Rechtekonzepte mit Admin-Rechten ausschließlich für IT-Verantwortliche und separate Benutzerkonten für administrative Aufgaben.

Als Mindeststandard gilt, dass jeder Mitarbeiter nur über Rechte und passwortgeschützte Zugänge verfügt, die für die Arbeit nötig sind.

Tipp von Cyberdirekt: Administrative Zugänge nur für Administratoren. Diese sollten auch nur für entsprechende Tätigkeiten vorgesehen sein. Admin-Konten in Domain-Admin-Konten und Cloud-Admin-Konten unterteilen und trennen.

Fernzugriffe und Multi-Faktor-Authentifizierung

47 Prozent fordern, dass Kunden ihre Systeme durch Multi-Faktor-Authentifizierung (MFA) sichern. Einige verlangen sie pauschal, andere gehen näher auf die konkreten Systeme ein. Manche wollen auch, dass der Zugriff auf dienstliche E-Mails über Webportale oder Anwendungen per MFA gesichert ist.

Tipp von Cyberdirekt: Fernzugriffe aufs Unternehmensnetzwerk und Benutzeranmeldung zu geschäftskritischen Cloud-Diensten und Online-Anwendungen mindestens über Zwei-Faktor-Authentifizierung (2FA).

Die komplette Studie von Cyberdirekt mit zahlreichen weiteren Erkenntnissen und Informationen finden Sie hier.