Pro­zes­sor-Gau: Melt­down und Spec­tre

Cyber­kri­mi­na­li­tät: Sie­ben Posi­tio­nen der deut­schen Ver­si­che­rer

Meltdown und Spectre sind Angriffsszenarien die sich global abspielen können – auf Computern und Smartphones. Auch wenn bislang noch kein Fall bekannt wurden, der die aktuelle Sicherheitslücke von Computer-Chips ausgenutzt hätte, ist offensichtlich, wie groß mögliche Schäden werden können. „Viele Verbraucher und Entscheider unterschätzen noch immer die Gefahr von Cyberattacken und müssen stärker für Gefahren aus dem Netz sensibilisiert werden“, sagt GDV-Präsident Wolfgang Weiler. Auch wenn der Markt noch jung ist: Cyber-Risiken sind schon heute versicherbar – die Branche vertritt dabei sieben Positionen.

Das Geschäftsfeld Cyber-Sicherheit ist für Versicherer in gleichem Maße vielversprechend wie herausfordernd. „Wir erwarten in diesem Segment exponentielles Wachstum, denn kein Unternehmen wird es sich in Zukunft leisten können, dieses Risiko zu ignorieren“, sagt der Präsident des Gesamtverbandes der Deutschen Versicherungswirtschaft (GDV), Wolfgang Weiler. Ein Mindeststandard an IT-Sicherheit sei dabei allerdings Voraussetzung für Versicherungsschutz. „Eine gute IT-Sicherheitsstrategie und Cyber-Policen gehören unabdingbar zusammen.“

Die deutsche Versicherungswirtschaft setzt sich beim Kampf gegen und dem Schutz vor Cyberkriminalität für folgende Punkte ein:

1. Eine neue Risikokultur für den Cyber-Space

Deutschlands Unternehmen können dank der Digitalisierung Prozesse beschleunigen, neue Dienstleistungen anbieten und flexibler auf Wünsche ihrer Kunden reagieren. Doch im Windschatten dieser Dynamik sind auch Cyberkriminelle unterwegs. Die Bedrohung wird zunehmen, Unternehmen müssen sich besser schützen: Gut ein Viertel des deutschen Mittelstandes hat bereits finanzielle oder materielle Schäden durch Cyber-Angriffe erlitten. Das belegt eine repräsentative Forsa-Umfrage im Auftrag des GDV. Dennoch wird das Risiko von Cyber-Angriffen unterschätzt. Die Deutschen Versicherer klären auf, etwa durch das Magazin „Cyber Security – IT-Risiken für den Mittelstand erkennen, vorbeugen, versichern“. Die VdS Schadenverhütung GmbH, eine Tochtergesellschaft des GDV, hat einen Quick-Check zur Cyber-Sicherheit erarbeitet. Damit können kleine und mittelständische Unternehmen eine automatisierte Selbstauskunft über ihr IT-Sicherheitsniveau erhalten. Zudem ist in diesem Jahr eine Content-Initiative geplant, die regelmäßig auf die Gefahren aus dem Web aufmerksam machen wird.


2. Cyber-Risiken versichern

Die Versicherungswirtschaft hat unverbindliche Musterbedingungen für Cyberversicherungspolicen entwickelt. Sie sollen Versicherern bei der Entwicklung ihrer Angebote unterstützen. Die Musterbedingungen sind speziell auf die Bedürfnisse von Unternehmen mit einem Umsatz bis 50 Millionen Euro und einer Größe bis 250 Mitarbeiter zugeschnitten. Die Versicherung leistet nicht nur bei Datenklau und Betriebsunterbrechungen, sondern übernimmt auch Kosten für IT-Forensiker oder Krisenkommunikation. Auch Privatkunden können sich mit verschiedenen Policen vor Cyber-Risiken schützen, etwa mit der Haftpflicht- oder Rechtsschutzversicherung.

3. Prävention ist Voraussetzung für Versicherungsschutz

Versicherer sorgen für Prävention, indem sie die Prozesse zur Cybersicherheit ihrer Kunden abfragen, auf Sicherheitslücken hinweisen und – falls notwendig – technische und organisatorische Änderungen bei der Cybersicherheit der Unternehmen einfordern. Erst dann geht es um die Frage des Versicherungsschutzes. Kunden müssen bestimmte Vorgaben erfüllen, damit die Wahrscheinlichkeit, dass sie zum Opfer werden sinkt – und die damit verbundenen Schäden beherrschbar sowie kalkulierbar bleiben. Dieses Vorgehen ist gleich zweifach im Sinne des Kunden: Indem die IT-Sicherheit stetig an den technologischen Fortschritt angepasst wird, sinkt die Wahrscheinlichkeit eines Angriffs – gleichzeitig wird sichergestellt, dass der Versicherungsschutz dauerhaft angeboten werden kann, da der Ernstfall für Versicherer kalkulierbar bleibt.

4. Das Schweigen über Cyber-Angriffe schadet mehr als es nützt

Ob Betroffene im Fall eines Cyber-Angriffs an die Öffentlichkeit gehen, hängt natürlich vom konkreten Einzelfall ab. Wir werben aber im Grundsatz für einen offeneren Umgang mit der Gefahr von Cyber-Angriffen und eine stärkere Zusammenarbeit zwischen Unternehmen, Verbänden, Ermittlern und Strafverfolgern. Dazu gehört auch, externe Experten und Behörden bei einem Angriff zu informieren. Ein Verschweigen hilft nur den Tätern. Nur eine schnelle Täterermittlung und Strafverfolgung wird mittelfristig helfen die Flut an Cyber-Angriffen einzudämmen.

5. Elektronische Kommunikation muss besonders geschützt werden

Für die Sicherheit digitaler Daten sind sichere Übertragungswege von zentraler Bedeutung. Gerade wenn es um sensible Daten geht, muss elektronische Kommunikation besonders geschützt, sichere Authentifizierungsverfahren im Netz gestärkt werden. Lösungen sollten sich dabei eng am Alltag und der Praxis von Verbrauchern und Unternehmen orientieren. Versicherer haben für ihre Branche mit der Trusted German Insurance Cloud (TGIC) bereits eine Möglichkeit zur abgesicherten, webbasierte Kommunikation über eine Cloud vorgelegt. Mit der Zertifizierung der TGIC hat die Branche gemeinsam mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) einen Beitrag für die Etablierung von Sicherheitsstandards für Cloud-Lösungen geleistet. Mindeststandards zum Schutz elektronischer Geschäftsprozesse sollten für alle Branchen etabliert werden.

6. Sicherheitsstandards für Hardware, wie Smart-Home-Produkte verbessern

Nicht nur Software, sondern auch Hardware ist anfällig für Cyberattacken. Das machen die jüngsten Angriffsszenarien Meltdown und Spectre deutlich. Bislang gibt es keine verbindlichen Sicherheitsstandards etwa für Smart-Home-Produkte. Auch nicht für Geräte, die in der unmittelbaren Privatsphäre der Verbraucher eingesetzt werden, wie etwa internetfähige Kameras. Dabei können hier Sicherheitslücken von Kriminellen genutzt werden, um über das Internet Hausbesitzer aus der Ferne zu beobachten und den richtigen Zeitpunkt für einen Einbruch abzupassen. Es muss deshalb klare und für alle Anbieter verbindliche Regeln geben, um Cyberrisiken für die Anwender möglichst gering zu halten. Hersteller müssen möglichst lange Support und Sicherheitsupdates leisten – gerade auch bei Smart-Home-Produkten. Zentrale Forderungen sind etwa: Sicherheitsupdates müssen automatisch auf die Geräte geladen werden, Hersteller sollten die Sicherheit ihrer Produkte grundsätzlich auch nach dem Verkauf mit Support und sicherheitsrelevanten Updates gewährleisten und die Länge des Supportzeitraums sollte auf dem Gerät für Verbraucher klar erkennbar sein.

7. Auch Versicherer sind potenzielle Angriffsziele und müssen ihre Systeme schützen

Als Hüter sensibler Kundendaten steht die Versicherungsbranche selbst im Fokus potenzieller Angriffe und ist entsprechend gefordert. Dabei geht es um weit mehr als um Firewalls und Virenscanner. Dazu gehört auch, externe Experten und Behörden bei einem Angriff zu informieren und entstandene Lücken zu schließen. Der GDV hat gemeinsam mit der Kölner Staatsanwaltschaft und dem Justizministerium NRW einen Krisenreaktionsplan für den Cyber-Ernstfall erarbeitet. Erklärtes Ziel unserer Mitgliedsunternehmen ist es, bei einem Cyberangriff noch schneller zu reagieren und den Schutz der Versicherungswirtschaft als kritische Infrastruktur sicherzustellen.

Zur Startseite
Auch inter­essant