Arctic Wolf hat die Ergebnisse seines jährlichen State of Cybersecurity Trend-Reports veröffentlicht. Der Report basiert auf einer weltweiten Umfrage unter mehr als 1.000 leitenden IT- und Cybersecurity-Entscheiderinnen und -Entscheidern. Demnach haben mittlerweile mehr als die Hälfte der DACH-Unternehmen eine Cyberversicherung.
Der State of Cybersecurity: 2024 Trends Report gibt Sicherheitsverantwortlichen wichtige Informationen zum aktuellen Stand der Cybersicherheitslandschaft sowie zukünftigen Entwicklungen und unterstützt Unternehmen so dabei, sich in einer sich ständig weiterentwickelnden Bedrohungsumgebung effektiv zu schützen und bei der Cyberabwehr auf dem Laufenden zu bleiben.
Cyberversicherung wird zum Standard
Vor gut zehn Jahren wurden in der DACH-Region die ersten Cyberversicherungen für Unternehmen angeboten. Seither ist der Markt gewachsen und die Angebote der Versicherungen sind deutlich reifer geworden. Versicherer haben das mögliche Risiko besser verstanden und ihre Versicherungspolicen dementsprechend ausgerichtet und stärker diversifiziert. Obwohl es ein Wachstumsmarkt ist, wird es für Versicherungsnehmer zunehmend schwerer, eine Versicherung zu attraktiven Konditionen abzuschließen, wenn adäquate Sicherheitsvorkehrungen fehlen oder nicht nachgewiesen werden können.
Die aktuelle Studie von Arctic Wolf zeigt, dass mittlerweile mehr als die Hälfte (55 %) der Unternehmen in Deutschland, Österreich und der Schweiz eine aktive Cyberversicherungspolice hat. Weitere 39 % gaben an, entweder derzeit eine Police abzuschließen oder sich innerhalb der nächsten zwölf Monate um eine solche zu bemühen. Nur 5 % zögern, oder befinden sich in einer Situation, in der sie sich nicht für einen Versicherungsschutz qualifizieren. Dennoch ist die DACH-Region aktuell noch ein Wachstumsmarkt. In anderen Regionen haben bereits mehr Unternehmen eine aktive Police, so z.B. in den Nordics (58 %), Benelux (64 %), UK und USA (je 69 %) oder Südafrika (80 %).
„Ein 100-prozentiger Cyberschutz ist in einer Zeit, in der Angreifer mithilfe von KI und einem hohen Grad an Professionalisierung arbeiten und auf immer größere Angriffsflächen zielen, realistisch nicht möglich“, erklärt Dr. Sebastian Schmerl, Regional Vice President Security Services EMEA bei Arctic Wolf. „Deshalb sind Cyberversicherungen ein wichtiges Tool, um ‚die letzte Meile‘ des Cyberschutzes abzudecken, sprich mögliche finanzielle Schäden zu minimieren. Aber natürlich ersetzen Versicherungen keine umfassenden Sicherheitsmaßnahmen, sie sind die Ultima Ratio. Hinzu kommt, dass Unternehmen mittlerweile immer höhere Sicherheitsstandards nachweisen müssen, um überhaupt einen Versicherungsschutz zu erhalten.“
Sorge um steigende Prämien bei Unternehmen
Nach ihren größten Sorgen in Bezug auf Cyberversicherungen gefragt, gab in DACH ein Viertel (25 %) der Unternehmen die gestiegenen Kosten an. Neben den rein finanziellen Aspekten des Abschlusses einer Cyberversicherung nannten außerdem 27 % der Befragten strengere Sicherheitsanforderungen und 19 % den zeitaufwändigen Prozess des Abschlusses und der Aufrechterhaltung ihrer Police.
Aufgrund der angespannten Bedrohungslage und wachsenden Schäden führen Versicherungen mittlerweile eine genaue Risikobewertung und Prüfung der eingesetzten Schutzmaßnahmen durch, bevor sie eine Versicherung vergeben und die Höhe der Prämie festsetzen.
„Sicherheitsmaßnahmen nachzuweisen kann zur Herausforderung werden, wenn der Überblick über eingesetzte Maßnahmen und/oder konkrete Notfallpläne fehlen“, so Dr. Schmerl. „In Security-Operations-Centern laufen alle sicherheitsrelevanten Daten zusammen, was den Informationsaustausch mit Versicherungen erleichtert. Weil insbesondere mittelständische Unternehmen meist nicht über ein eigenes SOC verfügen, können Unternehmen und Versicherungen mit Sicherheitspartnern zusammenarbeiten, die Security-Operations-as-a-Service anbieten. Diese überwachen nicht nur die Angriffsoberfläche 24/7 und verbessern so die Sicherheitslage, sondern liefern auch alle benötigten Informationen für die Risikobewertung und damit die Basis für die Festsetzung der Versicherungsprämie.“
Lösegeld wird häufig gezahlt
Cyberkriminelle setzen ihre Opfer stark unter Druck und verlangen immer höhere Lösegeldforderungen. So ergab eine Auswertung von Arctic Wolf, dass die initiale Lösegeldforderung im letzten Jahr um 20 % auf durchschnittlich 600.000 US-Dollar gestiegen ist. Entgegen der Empfehlung der Strafverfolgungsbehörden wurde weltweit im letzten Jahr in 82 % der Fälle ein Lösegeld gezahlt (77 % in DACH), in 30 % der Fälle hat das die Cyberversicherung zumindest in Teilen übernommen. In 9 von 10 Fällen wurde in der DACH-Region außerdem ein Ransomware-Verhandler hinzugezogen, der den Betrag in 61 % der Fälle erfolgreich drücken konnte.
Schnelle Reaktion auf Cyberattacken spart Kosten für Unternehmen und Versicherungen
Bei knapp der Hälfte (48 %) aller befragten Unternehmen wurde in den letzten 12 Monaten ein Sicherheitsvorfall festgestellt, in DACH waren es sogar 58 %. Dies ist jedoch lediglich der Anteil der Unternehmen, bei denen konkrete Beweise für eine Datenverletzung gefunden wurden. So war in DACH nur ein Viertel (25 %) sicher, dass sie nicht Opfer einer Datenschutzverletzung wurden, 17 % konnten nicht mit Gewissheit sagen, ob es einen unbemerkten Vorfall gab.
Die zeitliche Spreizung bei der Behandlung von Sicherheitsvorfällen ist sehr groß und unterscheidet sich stark von Angriff zu Angriff. Ransomware-Fälle dauern beispielsweise deutlich länger als Business-E-Mail-Compromise-Fälle. So dauert es laut Arctic Wolf durchschnittlich ca. 70 Tage bis die Incident-Response (IR)-Aktivitäten bei einem Ransomware-Vorfall abgeschlossen sind und volle Betriebskontinuität wiederhergestellt ist. Oftmals könnten die IR-Maßnahmen schneller durch einen IR-Dienstleister umgesetzt werden. Leider sind die betroffenen Organisationen häufig der vorzögernde Faktor, da z. B. Entscheidungen nicht zeitnah getroffen werden, Zugriffe oder Zugänge zur IT-Infrastruktur (im Besonderen zu Systemen von Drittanbietern oder extern gemanagten Systemen) nicht schnell zur Verfügung gestellt werden.
Ein vorab angefertigter Notfall-Plan mit definierten Ansprechpartnern und Zugangsentscheidungen ist sehr ratsam. Bemerkenswert ist, dass bei der forensischen Untersuchung oftmals festgestellt wird, dass Angreifer bereits Wochen vor der eigentlichen Schadwirkung schon in der Infrastruktur aktiv waren. Diese Angreifer-Aktionen bleiben vielfach bis zur Schadeinsetzung unentdeckt, da betroffene Organisationen ihre IT-Landschaft nicht kontinuierlich auf IT-Sicherheitsverletzungen monitoren und sofort reagieren bevor Angreifer die eigentliche Schadfunktionen (Extraktion oder Verschlüsselung von Daten) aktivieren.
„Je länger ein Angriff dauert, desto mehr Infrastrukturen oder Identitäten sind betroffen und desto höher sind die damit verbundenen Kosten zu Bereinigung und Wiederherstellung. Deshalb ist es wichtig, Attacken schnellstmöglich zu erkennen, um schnell mit Gegenmaßnahmen zu kontern und geschickt mit Angreifern zu verhandeln, um Informationen oder Zeit zu gewinnen und Schäden zu minimieren“, so Dr. Schmerl.
Wurde ein Angriff entdeckt, können Unternehmen selbst auf Incident-Response-Anbieter zugehen. Das BSI stellt auf seiner Website beispielsweise eine Liste qualifizierter APT-Response-Dienstleister bereit, die bei der Abwehr laufender oder erfolgter Angriffe unterstützen. Alternativ können Anbieter von Cyberversicherungen auch mit Security-Providern wie Arctic Wolf zusammenarbeiten, die nach Meldung eines Schadensfalls sofort agieren, um gemeinsam die Schäden zu minimieren und effektiv zu regulieren – eine Win-Win-Situation für Versicherung und Versicherte gleichermaßen.