Die Corona Krise hat unsere Welt und auch unser Alltagsleben stark verändert. Die Home-Office Pflicht setzt viele Unternehmen unter massiven Druck. Denn die Voraussetzungen für das Arbeiten von zu Hause sind nicht überall gegeben. Ein Problem, welches sich deutlich auf die Cyber-Sicherheit auswirkt.
Vor der weltweiten Pandemie wurde die Arbeit in deutschen Büros grundsätzlich vor Ort erledigt: Großraumbüros, Call-Center und große Team Meetings. All dies wurde durch die gesetzliche Vorschrift abrupt geändert. Eine Situation, die für viele Unternehmen eine echte Herausforderung darstellt. Arbeitsplätze waren noch nicht eingerichtet, es fehlt an der notwendigen Hardware und der insgesamt technischen Umsetzung. Der nicht geplante Umstieg hat hier einen Rückschlag auf die Cyber-Sicherheit bewirkt. Die Gründe sind offensichtlich: Schlechter gesicherte Internet-Zugänge, private Hardware und private Internet-Nutzung der Mitarbeiter.
Warum gerade das Home-Office oftmals als Eingangstor genutzt wird, haben wir in unserem Blog bereits beschrieben: Homeoffice – Einfallstor in das Firmennetzwerk albfinanz GmbH (albfinanz-cyber.de)
Die Auswirkung des Corona-Virus auf die Cyber-Sicherheit
Als Folge durch die Corona Krise wird unsere Welt und unser Arbeitsalltag immer digitaler. Die Unternehmen werden gezwungen, diese Entwicklung voranzubringen, um in der schwierigen Zeit dem operativen Geschäft nachzukommen. Umso größer wird die Gefahr der Cyber-Risiken.
Neben der Corona Krise haben die Sicherheitslücken in den Microsoft Exchange Servern hohe Wellen geschlagen. Auch in unserem Kundenstamm wurden Daten verschlüsselt, Lösegeld gefordert und ganze Betriebe außer Gefecht gesetzt.
Diese zwei Punkte sind unserer Meinung nach Haupttreiber für Cyber-Attacken im Jahr 2021. Deutlich wird das auch mit unseren Gesprächen mit Versicherungen. Die durch Cyber Kriminalität resultierenden Schadensfälle steigen deutlich an.
Verschärfung der Annahmerichtlinien
Um die Cyber-Risiken in Zeiten der Corona-Pandemie einzudämmen, erwarten wir schärfere Risikoprüfungen bzw. Annahmerichtlinien und höhere Beiträge. Schon jetzt fordert die COGITANDA Dataprotect AG eine Zusatzerklärung des Kunden:
„Alle Sicherheitspatches, die aktuell vom BSI empfohlen werden, wurden auf den Systemen der o. g. VN und der mitversicherten Unternehmen installiert (insb. die Patches für die Exchange Server) und die o. g. VN hat ihre sowie die Systeme der mitversicherten Unternehmen im Anschluss daran einer den Empfehlungen des BSI folgenden Sicherheitskontrolle unterzogen und diese wurde mit einem positiven Ergebnis abgeschlossen.“
Neue Annahmerichtlinien der Cyber Versicherung zum Schutz weiterer Risiken
Schon lange gehört in der Gewerbeberatung der Cyber-Schutz definitiv betrachtet und bewertet. Die aktuellen Corona-Entwicklungen werden wir mit Spannung beobachten, um die richtige Absicherung unserer Kunden zu gewährleisten. Es fehlen Standards. Die Bedingungen der Cyber Versicherung sind unterschiedlich und die Reaktion auf ansteigende Fallzahlen und Schadenshöhen wird definitiv unterschiedlich ausfallen.
Schauen wir uns das am Beispiel des Microsoft Exchange Servers genauer an:
- COITANDA: Fordert bereits wie erwähnt eine Zusatzerklärung des Kunden
- Allianz Versicherung: Es wird explizit nachgefragt, ob Microsoft Exchange Server eingesetzt werden. Ist dies der Fall, dann muss das Einspielen des Patches bis zum 16.03.2021 bereits erfolgt sein. Hier soll sichergestellt werden, dass zukünftige Fälle auszuschließen sind. Der Hinweis dazu: „zahlreiche Angreifer haben – für den Anwender zunächst nicht oder kaum zu erkennen – Systeme kompromittiert und back doors (Hintertüren) für einen späteren Zugriff (z.B. Verschlüsselung von Daten etc.) implementiert“
- Markel Insurance SE: Auf Nachfrage vom 21.04.2021 hat die Markel die Annahmerichtlinien noch nicht verändert und die Hiscox S.A. verweist
- Hiscox S.A.: Es wird auf die Antragsfragen verwiesen: „Spielen Sie regelmäßig und zeitnah Sicherheitsupdates (Patches) ein“
- HDI Versicherung: Werden vom Hersteller bereitgestellte Updates (z.B. Sicherheitspatches) unverzüglich eingespielt?
Allein dieser kleine Ausschnitt von Annahmerichtlinien zeigt, der Markt der Cyber Versicherung reagiert auf Gegebenheiten und Risiken.
Die Beratung zur Cyber-Sicherheit ist wichtiger denn je!
Versicherungsmakler sind hier in der Pflicht, das nötige Wissen über die Cyber-Sicherheit mitzubringen. Oftmals sieht der Unternehmer die Gefahr, bewertet diese aber unzureichend. Es gilt das Cyber-Risiko verständlich zu vermitteln. Wie bereits erwähnt, sind Beratungen zur Gewerbeversicherung ohne Cyber-Schutz undenkbar.