Eine kostenlose Heise-Sonderveröffentlichung beschäftigt sich mit dem Thema Security und Cyberversicherungen. Sie greift Ransomware-Attacken auf und wie sich Unternehmen vor ihnen schützen können. Ein weiterer Beitrag beleuchtet die Zertifizierungen, die die Versicherer verlangen.
Das Security-Special war Teil der c’t 17/23, die Mitte Juli 2023 erschien. Interessierte können sich das achtseitige PDF mit dem Titel „Security und Cyberversicherungen“ jetzt kostenlos herunterladen. Unter der Überschrift „Backup oder Lösegeld“ schreibt Autor Dirk Bongardt in der Einleitung des ersten Beitrags: „Cyberpolicen sind meist ein Service-Koppelprodukt, das zum einen Kosten übernimmt, zum anderen im Ernstfall Erste Hilfe leistet, damit sich der Schaden in Grenzen hält. Das klappt aber nur, wenn das Ransomware-Opfer auf eine Datenwiederherstellung gefasst ist und für praktikable Backups gesorgt hat.“ Sprich: Unternehmen sollten Vorsorge betreiben und nicht einfach sorglos auf den nächsten Angriff warten. Bongardt nennt Maßnahmen, die auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt. Zum Beispiel aktualisierte Software und Patches, getrennte Admin- und User-Konten oder sichere Remote-Zugänge.
Verhalten im Schadensfall
Auf der anderen Seite betont Bongardt, dass es keinen hundertprozentigen Schutz gegen Attacken dieser Art gibt. Er beschreibt, was Verantwortliche im Fall des Falles umgehend tun sollten: Systeme isolieren und herunterfahren, Behörden benachrichtigen, Experten kontaktieren und grundsätzlich kein Lösegeld zahlen. „Stattdessen sollte das Unternehmen eng mit Strafverfolgungsbehörden und Sicherheitsexperten zusammenarbeiten, um Alternativen zur Datenwiederherstellung auszuloten“, so der Autor. Im Folgenden kommt er auf Cyberversicherungen zu sprechen und zählt deren typische Leistungen auf, etwa die Übernahme der Kosten bei der Datenwiederherstellung. Welche weiteren Vorteile solche Versicherungen bieten, erfahren Sie im weiteren Verlauf des Artikels.
ISO 27001 und SOC 2
Im zweiten Beitrag („Audit vor dem Abschluss“), der ebenfalls aus der Feder von Dirk Bongardt stammt, geht es um Zertifizierungen. Damit ein Unternehmen überhaupt eine Cyberversicherung abschließen kann, muss es vorher seine Risiken minimieren sowie gewisse organisatorische und technische Voraussetzungen erfüllen. Diesen Nachweis erbringt normalerweise ISO 27001, eine Norm, die den IT-Grundschutz bescheinigt. „Zertifizierungen sind ein wichtiger erster Schritt, um Versicherer zu überzeugen“, schreibt Bongardt. „Damit eine Versicherung im Schadensfall übernimmt, muss zum einen der Vorfall von der Versicherung gedeckt sein, zum anderen die Art des Schadens.“ Zu typischen Schäden zählen beispielsweise Computerbetrug oder Betrug mit Zugangsrechten. Im weiteren Verlauf des Artikels geht Bongardt intensiv auf ISO 27001 ein und nennt mit SOC 2 („Service Organization Control 2“) noch einen weiteren IT-Grundschutz-Standard, der vom American Institute of Certified Public Accountants (AICPA) stammt. Was ihn von ISO 27001 unterscheidet, zeigt der Rest des Beitrags.