Wie Cyber-Versicherungen für mehr Security sorgen könnten

29. Juni 2021, 13:49
image

Cyberversicherungen tragen wenig zur IT-Sicherheit bei, so eine Studie. Ein Think Tank schlägt Massnahmen wie eine Black Box der Versicherung vor.

Der Weg gehe zwar in die richtige Richtung, doch kämpfe die Cyberversicherung insgesamt noch damit, von der Theorie in die Praxis überzugehen, wenn es um Anreize für Cybersicherheit geht. Dies schreiben die Autoren eines Papers des britischen Think Tanks RUSI, in dem sie untersuchen, ob und inwiefern Cyberversicherungen ein Teil der Lösung sein könnten.

Weder Zuckerbrot noch Peitsche

Grundsätzlich, so ein Fazit, könnten Cyberversicherungen durchaus auch dazu beitragen, Cyberrisiken zu verkleinern in Unternehmen. Aber es würden sowohl Zuckerbrot (finanzielle Anreise) als auch Peitsche (Security-Verpflichtungen) fehlen, um die Security-Praktiken in den Unternehmen zu verbessern. Die zunehmenden Schäden hätten aber nun deutlich gemacht, dass die derzeitige Realität für die Versicherer nicht nachhaltig sei, heisst es weiter.
Der Think Tank schlägt in der Publikation "Cyber Insurance and the Cyber Security Challenge" eine Reihe von Massnahmen vor, um dies zu ändern.

Die Branche braucht mehr Daten

Die Versicherungs-Anbieter müssten viel mehr Daten sammeln, tauschen und analysieren können – vergleichbar mit Wetter- und Unwetterdaten. Vorstellbar wäre hier eine engere Zusammenarbeit mit Threat-Intelligence-Spezialisten oder den nationalen Cybersecurity-Zentren.
In diesem Zusammenhang sei auch die Regulierung ein Thema, führen die Autoren aus. Man könnte beispielsweise die Versicherungsanbieter dazu verpflichten, gewisse Daten über Vorfälle und Trends zu teilen.
Diese externen Daten über die allgemeine Bedrohungslage könnten schliesslich mit internen Daten eines Unternehmens kombiniert werden. In der Publikation wird hier eine Parallele zu Autoversicherern gezogen, die eine "Black Box" im Auto der Kunden verbauen, um deren Fahrdaten zu erfassen.
Ein solcher "Black-Box"-Ansatz würde erfordern, dass die Versicherer mit Partnern zusammenarbeiten, heisst es weiter. Eine Art Black Box des Versicherers in der eigenen Firma zu installieren, scheint aber für viele Versicherungskunden nicht in Frage zu kommen. In Interviews mit den Unternehmen sei mangelndes Vertrauen in Hard- und Software ein grosses Thema gewesen, gerade mit Blick auf Supply-Chain-Angriffe. Alternativ könnten Versicherer Partnerschaften mit IT-Dienstleistern anstreben, etwa mit Managed Security Service Providern oder Cloud Providern.
Ein Problem sehen die Autoren auch dabei, was die Frage der minimalen Security-Standards angeht. Ein Versicherer könne einerseits kaum einen völlig neuen Satz von Anforderungen und Best Practices aufstellen, wenn er Kunden gewinnen wolle. Andererseits besteht auf Kundenseite die Gefahr, dass im Schadensfall nicht – oder weniger – bezahlt wird, wenn eine Massnahme nicht ordentlich umgesetzt war. Gerade für kleinere Firmen stelle dies eine grosse Herausforderung da. Ein regulierter Satz an Standards sei somit nötig, finden die Autoren.

Die grösste Herausforderung: Ransomware

Die drängendste Herausforderung sehen die Autoren in Ransomware-Angriffen. Cyber-Versicherer sind dem Paper zufolge stark in die Kritik geraten, weil sie Lösegeldzahlungen an Cyber-Kriminelle unterstützen. Dies schaffe weitere Anreize für Cyberkriminelle.
Wachsende Verluste durch Ransomware-Angriffe hätten aber auch deutlich gemacht, dass die derzeitige Realität auch für Versicherer nicht tragbar sei. Axa hat kürzlich beispielsweise erklärt, dass ihre in Frankreich abgeschlossenen Cyber-Versicherungspolicen Lösegeldzahlungen nicht mehr abdecken.
Statt Kunden im Falle einer Lösegeldforderung zu unterstützen, müssten die Versicherungsanbieter Anreize schaffen, die die Security-Massnahmen der Unternehmen erhöhen, schliessen die Autoren.
Ein Problem sei, dass es manchmal billiger sein kann, die Erpresser zu bezahlen, als die IT-Infrastruktur selbst wieder herzustellen. Ein kleinerer finanzieller Schaden liege auch im Interesse der Versicherer.
Dass in vielen Fällen Lösegeld bezahlt wird, obwohl die Behörden davon abraten, habe nicht nur den Akt der Zahlung normalisiert, sondern mache das Business umso interessanter für die Kriminellen. Eine mögliche Lösung sehen die Autoren in einem Verbot von Ransomware-Zahlungen und raten den Behörden dessen Machbarkeit zu überprüfen.
Das Paper "Cyber Insurance and the Cyber Security Challenge" ist Teil eines 12-monatigen Forschungsprojekts von RUSI und der University of Kent (PDF). Während sich gewisse Aspekte auf die UK beziehen, sind viele allgemein gültig. Weitere Informationen zum Projekt gibt es online

Loading

Mehr zum Thema

image

USA lockert Sanktionen für IT-Firmen im Iran

Weil die iranische Regierung den Zugang zum Internet eingeschränkt hat, versuchen sowohl Behörden als auch Private den Informationsfluss aufrecht zu halten.

publiziert am 26.9.2022
image

Zurich Film Festival – Ticketverkauf dank flexibler Standortvernetzung.

Heute ist das Zurich Film Festival (ZFF) das grösste Herbstfilm-Festival im deutschsprachigen Raum und ein Sprungbrett zu den Oscars. 2005 fand es zum ersten Mal statt.

image

TAP Portugal bestätigt den Klau von Passagierdaten

Nach dem Cyberangriff sind 600 Gigabyte an Daten der Airline veröffentlicht worden – auch von Schweizer Passagieren. Kunden werden vor möglichen Phishing-Angriffen gewarnt.

publiziert am 23.9.2022
image

100 Millionen Dollar für zwei Schweizer Krypto-Startups

Zwei Firmen mit offiziellem Sitz in Zug konnten je 50 Millionen sammeln. Eine verspricht "grüne" Blockchain-Infrastruktur, die andere umfassende Möglichkeiten für Krypto-Investments.

publiziert am 23.9.2022