Wenn Cyberversicherungen bei Angriffen nicht mehr zahlen

Wenn die Cyberversicherung bei Angriffen nicht mehr zahlt
Anzeige

Beitrag teilen

Angesichts steigender Cyberbedrohungen werden Versicherungen gegen diese Risiken immer beliebter. Damit erhoffen sich Unternehmen Unterstützung in der forensischen Aufarbeitung eines Cyber-Angriffs sowie einen finanziellen Ausgleich für den entstandenen Schaden. Max Rahner, Sales Director DACH des Industrial-Cybersecurity-Anbieters Claroty, zu den neuen Standardklauseln für Cyberversicherungen.

Finanziellen Ausgleich für den entstandenen Schaden einer Cyberattacke: Diese Hoffnungen könnte jetzt einen deutlichen Dämpfer bekommen. Der für Europa bedeutendste Branchenverband Lloyds Market Association (LMA) hat neue Standardklauseln für Cyberversicherungen beschlossen und sich auf einen geänderten Umgang mit der War Exclusion Clause im Zusammenhang mit Cybersecurity-Schäden verständigt.

Anzeige

Warum die Cyberversicherungen nicht zahlen

Demnach werden künftig Angriffe von staatlichen Akteuren als kriegerischer Akt verstanden und fallen unter die Kriegsausschlussklausel, so dass Cyber-Versicherungen für solche Schäden nicht mehr haften müssen. Das bedeutet, dass z. B. bei dem SolarWinds-Hack geschädigte Unternehmen möglicherweise keinen Versicherungsschutz hätten, da allgemeiner Annahme zufolge die Angreifer im Auftrag des russischen Staats handelten. Gleichwohl gibt es hier für die Versicherer ein paar Hürden. So muss der staatlich initiierte Cyberangriff einen „major detrimental impact“ auf den angegriffenen Staat haben. „Das wäre zum Beispiel der Fall, wenn das Finanzsystem, die Wasser- oder Stromversorgung oder das Gesundheitssystem infolge eines Angriffs zusammenbräche“, erklärt Jürgen Reinhart, Leiter des Geschäfts mit Cyberversicherungen bei Munich Re, bei Spiegel Online.

Viele Angriffe auf KRITIS

Allerdings wurden in letzter Zeit tatsächlich vermehrt Angriffe auf kritische Infrastrukturen beobachtet, etwa auf die Wasserversorgung in Israel oder die Stromversorgung in der Ukraine – teilweise mit verheerenden Folgen. Zudem können – wie im Falle SolarWinds – Unternehmen auch zum Kollateralschaden eines staatlichen Angriffs werden. Unternehmen auf der ganzen Welt waren vom SolarWinds-Fall betroffen, auch wenn es streng genommen ein Angriff russischer Akteure auf ein US-Unternehmen war. Durch die mit der Digitalisierung einhergehende Internationalisierung werden wir meiner Meinung nach künftig nicht mehr so einfach sagen können, dass uns ein Angriff auf einen anderen Staat nicht interessiert. Ganz besonders nicht im Falle eines Cyber-Angriffs.

Anzeige

Cybersecurity-Strategie ist Voraussetzung für Versicherungsschutz

Da sich Unternehmen natürlich nicht aussuchen können, von wem sie angegriffen werden, führt das vor Augen, wie unumgänglich die sorgfältige Absicherung von Netzwerken und eine umfassende Cybersecurity-Strategie ist, zumal Versicherer dies ohnehin zur Voraussetzung für den Versicherungsschutz machen und es im Schadensfall die Aufarbeitung erheblich erleichtert. Dies gilt insbesondere auch für die Bereiche, die bislang noch nicht so stark im Bewusstsein insbesondere der Geschäftsführung sind, allen voran Betriebstechnik- und industrielle Netzwerke. In diese Richtung zielt auch das neue IT-Sicherheitsgesetz 2.0, das explizit auch vernetzte Technologien jenseits der IT wie IoT, IIoT oder industrielle Steuerungssysteme / Betriebstechnik (ICS) einschließt. Für alle Unternehmen ist es nun also höchste Zeit zu handeln, damit der Versicherungsfall möglichst gar nicht erst eintritt.

Mehr bei Claroty.com

 


Über Claroty

Claroty, die Industrial Cybersecurity Company, hilft ihren weltweiten Kunden, ihre OT-, IoT- und IIoT-Anlagen zu erkennen, zu schützen und zu verwalten. Die umfassende Plattform des Unternehmens lässt sich nahtlos in die bestehende Infrastruktur und Prozesse der Kunden einbinden und bietet eine breite Palette an industriellen Cybersicherheitskontrollen für Transparenz, Bedrohungserkennung, Risiko- und Schwachstellenmanagement sowie sicheren Fernzugriff – bei deutlich reduzierten Gesamtbetriebskosten.


 

Passende Artikel zum Thema

Isolierte Air Gap Netzwerke für KRITIS sind angreifbar 

Auch isolierte Netzwerke für KRITIS sind vor Angriffen oder Datendiebstahl nicht sicher. ESET Forscher untersuchen spezielle Schadprogramme, die es auf sogenannte ➡ Weiterlesen

Cybersicherheits-Studie über Störfall-relevante Betriebsbereiche

Aktuelle Studie des Bundesamtes für Sicherheit in der Informationstechnik (BSI) beleuchtet Sicherheitsherausforderungen für Betreiber industrieller Automatisierungssysteme mit Störfall-relevanten Betriebsbereichen. TÜV ➡ Weiterlesen

KRITIS: Schlecht geschützte industrielle Steuerungssysteme

Industrielle Steuerungssysteme sind oft unzureichend gegen Cyberattacken gesichert, wie Sicherheitsforscher von CloudSEK berichten. Das betrifft auch Unternehmen der Kritischen Infrastruktur. ➡ Weiterlesen

Neue High Security Netzwerk-TAPs nach IEC Norm 62443

Netzwerk-TAPs (Test Access Ports) dienen dem sicheren und zuverlässigen Abgriff von Netzwerkdaten. Dabei werden TAPs in die zu überwachende Netzwerkleitung ➡ Weiterlesen

Zahl der Attacken auf EU-KRITIS hat sich verdoppelt

Zahl der Cyberattacken auf kritische Ziele (KRITIS) in Europa hat sich 2020 verdoppelt. Cyberattacken auf kritische Infrastrukturen sind im vergangenen ➡ Weiterlesen

DriveLock erhält BSI-anerkannte Zertifizierung CC EAL3+

DriveLock erzielt BSI-anerkannte Zertifizierung Common Criteria EAL3+. Der Spezialist für IT- und Datensicherheit erfüllt damit einen wichtigen Sicherheitsstandard für öffentliche Stellen ➡ Weiterlesen