4 Schritte zur Stärkung Ihrer Cyber-Versicherungsstrategie
Cyber-Versicherungen sind teuer und bieten nur einen begrenzten Versicherungsschutz. Diese Schritte können Ihnen helfen, eine Police mit den bestmöglichen Bedingungen und Tarifen abzuschließen.
Wichtige Punkte
- Als die Cyberkriminalität in den letzten Jahren eskalierte, erhöhten die Versicherer ihre Prämien drastisch und verschärften den Versicherungsschutz.
- Um einen angemessenen Versicherungsschutz zu einem vernünftigen Preis zu erhalten, sollten Sie diese vier Schritte befolgen: Verstehen Sie Ihr Risikoprofil, reduzieren Sie Ihre Angriffsfläche, maximieren Sie Ihre Sicherheitskontrollen, und teilen Sie den Versicherern quantifizierbare Ergebnisse mit.
In den Jahren seit Beginn der COVID-19-Pandemie und der Umstellung auf Telearbeit haben Cyberkriminelle die Umwälzungen ausgenutzt. S&P Global hat festgestellt, dass Ransomware-Angriffe zwischen 2019 und 2021 um 232 % zugenommen haben[1] und im Jahr 2022 um weitere 25 % gestiegen sind.[2]
Diese Statistiken spiegeln sich in den Kosten der Cyberversicherung wider. Die Prämien haben sich von 2020 bis 2021 fast verdoppelt. Das Wall Street Journal berichtete kürzlich, dass sich der Markt zu stabilisieren beginnt,[3] aber das ist nur relativ. Der Versicherer Marsh berichtete, dass die Preise für Cyberversicherungen in den USA im dritten Quartal 2022 um 48 % gestiegen sind, gegenüber 79 % im zweiten Quartal.[4]
Darüber hinaus haben die Versicherer von die Messlatte für die Versicherungsnehmer höher gelegt , um nachzuweisen, dass ihr Risikomanagement den Anforderungen entspricht, und sie schränken ihre Deckungsmöglichkeiten ein. So hat beispielsweise Lloyd's of London vor kurzem die Deckung von Cyberangriffen durch staatlich unterstützte Akteure aus seinen Policen gestrichen.[5]
In unserer Umfrage State of Ransomware Readiness 2022 gab etwa ein Drittel der Befragten an, dass ihr Unternehmen versichert ist, und etwa die gleiche Anzahl gab an, dass ihr Unternehmen eine Cyberversicherung benötigt. Die Sicherheitsstrategien der Unternehmen sind so konzipiert, dass sie innerhalb vernünftiger Cyber-Risikoparameter die Bremsen für Schnelligkeit und Innovation bilden. Eine Möglichkeit, dieses Spannungsverhältnis auszugleichen, ist der Abschluss von Cyber-Versicherungspolicen zur Deckung von Ausgaben wie Reaktion auf Vorfälle, Krisenkommunikation und forensische Untersuchungen.
Als Sicherheitsexperten sind wir bestrebt, jeden Angriff zu verhindern, aber am Ende kommt es auf eine Kosten-Nutzen-Analyse an. Die Anwendung bewährter Praktiken kann dazu beitragen, das aktuelle Umfeld zu bewältigen und eine optimale Cyberabdeckung aufrechtzuerhalten und gleichzeitig die Kosten zu senken. Viele dieser Praktiken haben wir in unserem jüngsten Webinar "Strengthen Your Cybersecurity Insurance Strategy with Mimecast" behandelt, das Sie unter auf Abruf ansehen können. Die wichtigsten Erkenntnisse aus dem Webinar sind im Folgenden zusammengefasst.
Verstehen Sie Ihr Risikoprofil
Viele Faktoren wirken sich auf Ihr Risikoniveau aus: In welcher Branche sind Sie tätig? Welche Ziele in Ihrem Sektor sind auf dem Radar der Angreifer? Wie viele sensible Daten haben Sie, und was wären sie im Dark Web wert?
Bewertungen der Auswirkungen auf das Unternehmen, Bedrohungsanalysen und Risikoanalysen sind nützliche Instrumente, um Ihre Situation zu verstehen und sie den Beteiligten zu vermitteln. Ihr Risikoverständnis kann sich von dem Ihres Versicherungsanbieters unterscheiden. Daher sollten Sie eine enge Beziehung zu Ihrem Versicherer und Ihren Finanz- und Rechtsteams pflegen, um Überraschungen zu vermeiden.
Reduzieren Sie Ihre Angriffsfläche
Es ist einfach eine gute Praxis, das Risiko im Internet zu begrenzen. Bei der Implementierung und Aufrechterhaltung guter Sicherheitskontrollen geht es also darum, das ganze Jahr über eine gute Hygiene zu praktizieren, und nicht darum, heldenhaft zu handeln, wenn es an der Zeit ist, Ihre Police zu erneuern.
Fragen Sie sich selbst: Gibt es etwas, das von außen sichtbar ist und nicht sein sollte? Eine gute IP- und Subnetzzuordnung kann sicherstellen, dass Ihre Versicherung nicht durch Vermögenswerte beeinträchtigt wird, von denen Sie nicht einmal wissen, dass Sie sie haben. Darüber hinaus schützen Tools wie domain-based message authentication, reporting, and conformance (DMARC) vor E-Mail-Spoofing, ein erhebliches Risiko, das Versicherungsanbieter nicht eingehen. Weitere hilfreiche Praktiken sind Mitarbeiterschulungen, konsequente Patching-Maßnahmen und die Trennung des Wi-Fi-Datenverkehrs von Gästen vom Unternehmensnetzwerk, um Malware-Infektionen zu verhindern. Betrachten Sie das Ganze aus der Sicht eines Versicherers: Warum sollten sie Ihnen den Schutz einer Police gewähren, wenn Ihr Unternehmen solche grundlegenden Maßnahmen nicht ergreift?
Unternehmen mit ausgereifteren Sicherheitsstrukturen können Tools zur Simulation von Sicherheitsverletzungen hilfreich finden. Diese können verschiedene Arten von Angriffen durch Ihren Verteidigungsstapel imitieren, um sicherzustellen, dass Sie sie erkennen und abwehren können. Diese Übung verbessert nicht nur Ihre Verteidigung, sondern ermöglicht es Ihnen auch, Ihrem Versicherer eine gute Geschichte über Ihre proaktiven Bemühungen zu erzählen.
Maximieren Sie Ihre Sicherheitskontrollen
Nutzen Sie die Hebel, die Ihnen zur Verfügung stehen, um die Häufigkeit und den Schweregrad von Angriffen zu verringern, z. B. Datenverschlüsselung, Backups und Zugriff mit geringsten Rechten. Außerdem sollten Sie APIs und Ökosysteme nutzen, um Ihre Tools miteinander zu verbinden und so die Effizienz zu steigern. Mimecast hat über 200 Integrationen , die zum Beispiel Bedrohungsinformationen von E-Mail-Systemen über Ihre Endpunkte weiterleiten können. Diese Art von Ansatz ermöglicht es Ihnen auch, sowohl Ihren internen Stakeholdern als auch Ihrem Versicherer eine gute Geschichte zu erzählen.
Einige Tools sind im Alltag vielleicht schon zur Routine geworden; wir sprechen oft von "Alarmmüdigkeit", wenn es um E-Mail-Sicherheit geht. Aber die Aufwertung einiger dieser Bemühungen, z. B. durch die Verwendung von Banner-Benachrichtigungen, die vor verdächtigen E-Mails warnen, kann ihre Wirkung auffrischen und verbessern. Bannering kann den Mitarbeitern auch die Möglichkeit geben, auf eine Warnung zu reagieren, z. B. eine E-Mail zu melden oder sie als sicher zu markieren. Dies wiederum kann dazu beitragen, dass das maschinelle Lernen Ihr Screening auf bösartige E-Mails verbessert.
Zeigen Sie sich von Ihrer besten Seite
Konzentrieren Sie sich auf die Dinge, auf die Sie Einfluss haben und die sich wesentlich auf Ihr Risikoprofil auswirken können. Anhand von Tabletop-Übungen können Sie lernen, wie Sie im Falle eines Angriffs effektiv auf alle Beteiligten reagieren können, so dass alle Beteiligten in der Lage sind, schnell und im Einklang mit den Geschäftsanforderungen Entscheidungen zu treffen. Die Durchführung von Simulationen verschiedener Vorfälle ist eine gute Möglichkeit, sich selbst und Ihr Team zu testen. Die U.S. Cybersecurity and Infrastructure Security Agency[6] und das U.K. National Cyber Security Centre[7] bieten beide Vorlagen für Tabletop-Übungen an.
Diese Vorbereitungen helfen Ihnen auch, den Versicherern eine überzeugende Geschichte zu erzählen. Damit können Sie zeigen, dass Sie über ein belastbares Risikomanagementprogramm verfügen und in der Lage sind, die erforderliche hochwertige Sicherheit für die Menge an Warnungen zu bieten, mit denen Sie konfrontiert sind. Versicherungsanbieter suchen nach mehr als nur anekdotischen Beweisen für Ihr Cyber-Risikomanagement, daher ist jeder quantifizierbare Nachweis von Maßnahmen in den Bereichen Personal, Prozesse und Technologie von Vorteil.
Die Quintessenz
Da Versicherungsanbieter kein Geld verlieren wollen, haben sie angesichts der zunehmenden Cyberangriffe ihre Bedingungen verschärft, die Prämien erhöht und den Versicherungsschutz verringert. Indem Sie Risiken erkennen und verringern, Ihr Netzwerk für alle Benutzer (einschließlich Kunden und Lieferanten) sichern und Ihrer Versicherungsgesellschaft eine gute Geschichte erzählen, kann Ihr Unternehmen einen besseren Versicherungsschutz zu einem günstigeren Tarif erhalten. Weitere Informationen finden Sie unter in unserem On-Demand-Webinar, "Strengthen Your Cybersecurity Insurance Strategy with Mimecast".
[1] "Cyber Risk in a New Era: The Rocky Road to a Mature Cyber Insurance Market", S&P Global Ratings
[2] "Cyber-Trends und Kreditrisiken," S&P Global
[3] "Heißer Markt für Cyber-Versicherungen beginnt sich zu stabilisieren," Wall Street Journal
[4] "US-Preisgestaltung Q3 2022," Marsh
[5] "Lloyd's Cyber Insurance Tweaks Stir Coverage Restriction Concern," Bloomberg Law
[6] "CISA Tabletop-Übungspakete," Cybersecurity and Infrastructure Security Agency
[7] "Exercise in a Box," National Cyber Security Centre
Abonnieren Sie Cyber Resilience Insights für weitere Artikel wie diesen
Erhalten Sie die neuesten Nachrichten und Analysen aus der Cybersicherheitsbranche direkt in Ihren Posteingang
Anmeldung erfolgreich
Vielen Dank, dass Sie sich für den Erhalt von Updates aus unserem Blog angemeldet haben
Wir bleiben in Kontakt!