Cyberversicherungen wurden von Unternehmensleitern oft als finanzielle Garantie dafür angesehen, dass Hacker, selbst wenn sie in ihre Netzwerke einbrechen und ihre Daten stehlen, finanziell unbeschadet davonkommen.
Diese Prämisse wurde jedoch kürzlich ins Wanken gebracht nachdem Lloyd’s of London, das weltweit größte Versicherungskonsortium, seine Richtlinien neu definierte, um Cyberangriffe durch Nationalstaaten nicht mehr abzudecken. Der Cyber-Versicherungssektor steht auch im kommenden Jahr vor weiteren Herausforderungen.
Wir sprachen mit Julia O’Toole, CEO von MyCena Security Solutions, das Organisationen einfach zu implementierende Zugriffssegmentierungs-und Verschlüsselungsmanagementlösungen zum Schutz ihrer Netzwerke vor Eindringlingen anbietet, und Gerry Kennedy, CEO von Observatory Strategic Management, ein Beratungsunternehmen zur Risikominderung, das mit Kunden zusammenarbeitet, um Schwachstellen zu analysieren und zu beheben.
BN: Wie ist der Stand der Cyberversicherung heute?
GK: Der Cyber-Versicherungsmarkt entwickelt sich ständig weiter, da Versicherer mehr über Bedrohungen wissen, aber die Zeit der Verwirrung entwickelt sich jetzt zu einer Zeit des Handelns und der Verschärfung der Policen.
Die Versicherer beginnen aufzuwachen der Allgegenwart von Cyber und verstehen jetzt die sehr kinetischen Auswirkungen, die Cyberangriffe haben können.
Als Reaktion darauf aktualisieren sie ihre Richtlinien, um deutlicher zu machen, was sie als sicher definieren und was nicht. Bald werden wir sehen, dass Versicherer genau vorschreiben, welche technischen Maßnahmen Unternehmen ergreifen müssen, um ihr Vermögen zu schützen. Wenn sie diese Maßnahmen nicht ergreifen, erhalten sie keine Versicherung.
BN: Welche Probleme sind heute die größten Risikofaktoren für Cyber-Versicherer?
GK: Eine der größten Sorgen der Versicherungsnehmer heute ist, dass sie nicht mehr wissen, ob sie den Versicherern vertrauen sollen. Organisationen wurden im Zuge von COVID hart getroffen, und es wächst die Sorge, dass Versicherer nicht zahlen, wenn etwas schief geht. Dies wird durch die Tatsache verstärkt, dass Berater ihren Kunden jetzt sagen, dass sie heute keine Cyber-Versicherung kaufen sollen und stattdessen ihr Budget für Verteidigungsinstrumente ausgeben sollen.
Als Reaktion auf diese wachsende Unsicherheit müssen Versicherer mehr sein transparente und aktualisierte Richtlinien, um die heutigen Cyber-Anforderungen von Unternehmen zu erfüllen. Dies wird das Vertrauen in die Branche zurückgewinnen, aber es wird Unternehmen auch dazu zwingen, robustere Tools zum Schutz ihrer Daten einzuführen.
BN: Welche Richtlinienänderungen müssen von Cyber-Versicherern vorgenommen werden, um die und sie vor dem Kollaps bewahren?
GK: Versicherer müssen verstehen, wo sie jetzt stehen und was sie tun müssen, um sie dorthin zu bringen, wo sie sein wollen. Einige der heute existierenden Versicherungspolicen wurden Mitte des letzten Jahrhunderts entwickelt, daher besteht der erste Schritt darin, diese an die heutige digitale Landschaft anzupassen.
Cyber ist sehr gut versicherbar, aber es muss richtig gemacht werden. Versicherer sind im Gefahrengeschäft tätig, und sie müssen genau definieren, was sie abdecken, sowie die Ausschlüsse.
Nennen Sie die Gefahren und definieren Sie, wie die Sicherheit aussehen sollte, indem Sie die Lösungen und Tools erläutern, die Unternehmen benötigen ihre Netze sichern. Versicherer können nicht vage sein.
BN: Welche Cyber-Bedrohungen stellen die größten Risiken für Cyber-Versicherer dar?
JOT: Hinter fast jedem Cyberangriff steckt heute ein kompromittierte Mitarbeiteranmeldeinformationen. Dies bedeutet, dass Versicherer strengere Sicherheitskontrollen darüber haben müssen, wie Unternehmen ihre Zugangsdaten sichern.
Unternehmen werden oft über ihre Mitarbeiter mit Phishing-Betrug angegriffen, und wenn ein Mitarbeiter hinters Licht geführt wird, geben sie seine Zugangsdaten zum Netzwerk heraus. Kriminelle dringen in das Netzwerk ein, und da so viele Organisationen Single-Sign-On-Lösungen verwenden, was bedeutet, dass es keine Sicherheitsbarrieren gibt, sobald sie sich im Netzwerk befinden, ist es für sie einfach, sich seitlich zu bewegen, Berechtigungen zu eskalieren, Daten zu stehlen und zu implementieren Ransomware.
Versicherer müssen gegen diese häufigste Ursache von Sicherheitsverletzungen vorgehen und in ihre Richtlinien die Notwendigkeit aufnehmen, dass die Anmeldeinformationen der Mitarbeiter von der Organisation und nicht von den Mitarbeitern gewissenhaft kontrolliert werden müssen. Das bedeutet, dass die Anmeldeinformationen verschlüsselt werden müssen, damit sie nicht von Angreifern gestohlen werden können, und dass der gesamte Zugriff auf das Unternehmensnetzwerk segmentiert wird, sodass jede digitale Tür mit einem starken, unabhängigen, zufällig generierten Passwort gesichert ist, um seitliche Bewegungen zu verhindern.
BN: Welche Cyber-Risiken müssen Unternehmen angehen, um in Zukunft eine Cyber-Versicherung zu erreichen?
JOT: Während viele Unternehmen wissen, dass Anmeldeinformationen die Hauptursache für Datenschutzverletzungen sind, Sie wissen nicht, wie sie das Problem richtig angehen sollen. Als die Welt begann, ihre IT und OT massiv mit dem Netzwerk zu verbinden, machte sie zwei entscheidende Fehler, für die wir heute alle den Preis zahlen. Wenn Sie an einem physischen Ort arbeiten, erhalten Sie zunächst die Schlüssel zu verschiedenen Standorten und Räumen. Aber wenn Sie digital arbeiten, erstellen Sie plötzlich die Schlüssel – die Passwörter – für alle Systeme und Daten, auf die Sie zugreifen müssen. Das bedeutet, dass das Unternehmen keine Kontrolle oder Transparenz über seinen eigenen Zugriff mehr hat. Dieser Verlust der Passwortkontrolle muss rückgängig gemacht werden.
Zweitens, wenn Sie an einem physischen Ort arbeiten, müssen Sie mehrere Türen öffnen, um von Ort zu Ort zu gelangen. Wenn Sie beispielsweise auf einem Nuklearstandort arbeiten, können Sie nicht einfach eine Tür öffnen, um direkt zum Reaktor zu gelangen. Sie müssen verschiedene Zugangstüren aufschließen. Aber wenn Sie digital arbeiten, können Sie plötzlich mit einer einzigen Zugangsanmeldung alle Türen auf einmal öffnen. Das bedeutet, dass das Unternehmen keine Zugriffsebenen, Segmentierung und Ausfallsicherheit mehr hat, da sie alle in einem Zugriffspunkt zusammengeführt wurden. Dies geschieht, wenn Sie Single-Sign-On-Technologien wie Single Access Password Manager, Identity Access Management (IAM) oder Privileged Access Management (PAM)-Lösungen bereitstellen. Diese Lösungen beseitigen die Notwendigkeit für Mitarbeiter, sich mehrere Passwörter zu merken, machen es Kriminellen aber dadurch einfacher, nur ein Passwort zu finden, beispielsweise über Phishing, um alles auf einmal zu erhalten.
Die Risiken sind größer verschärft, wenn Menschen anfangen, ihre Identitätsbiometrie zu verwenden, da es sich um personenbezogene, unveränderliche Daten handelt. Wenn biometrische Daten kompromittiert werden, können sie weder gelöscht noch geändert werden, wodurch Menschen dem Risiko von Identitätsdiebstahl und digitalem Tod ausgesetzt sind.
Um eine zukünftige Abdeckung zu erreichen, müssen Unternehmen diese beiden Probleme beheben.
BN: Welche anderen Änderungen bei der Cyberversicherung können wir in Zukunft erwarten?
GK: Die Erwartung einer vollständigen Entschädigung für einen Verlust wird verschwinden, es sei denn, Organisationen erhöhen ihre Pflicht Sorgfalt, um ihr Vermögen zu sichern. Organisationen müssen die Cyber-Probleme aufzeigen, die ihnen am meisten Sorgen bereiten, und dann den Versicherern zeigen, was sie tun, um sich davor zu schützen, da dies der einzige Weg sein wird, um in Zukunft Deckung zu erreichen. Wenn es darum geht, zu demonstrieren, wie Unternehmen ihre Vermögenswerte schützen, müssen sie zeigen, mit welchen Anbietern und verwalteten Diensten sie zusammenarbeiten und wie sie das Unternehmen sicherer und schwerer angreifbar machen
JOT: Das war es lange auf sich warten lassen, aber die Versicherer fangen endlich an, sich der Verbreitung und systemischen Risiken von Cyber bewusst zu werden. Die Bedrohung ist nicht unversicherbar, aber die Policen müssen um neue Richtlinien ergänzt werden, die sich auf den heutigen doppelten digital-physischen Bereich beziehen. Ein wichtiger Teil davon wird sich auf den Netzwerkzugriff der Mitarbeiter konzentrieren, was zu IT-und OT-Sicherheit führt, und auf die Bedeutung von Organisationen, die verschlüsselten Netzwerkzugriff und Netzwerkzugriffssegmentierung verwenden.
Bildnachweis: FuzzBones/Shutterstock