Warum das Ignorieren des Security Awareness Trainings Ihre Cyber-Versicherung ungültig machen könnte

Written by Nikola Talevski / 12.09.2024 /
Home » Blog » Warum das Ignorieren des Security Awareness Trainings Ihre Cyber-Versicherung ungültig machen könnte

Da Cyber-Bedrohungen immer raffinierter werden, verschärfen die Versicherungsanbieter ihre Anforderungen. Sicherheitsschulungen (auf Englisch: Security Awareness Trainings) sind nicht mehr nur eine Empfehlung, sondern werden immer mehr zu einem obligatorischen Bestandteil des Versicherungsschutzes. Ohne eine solche Schulung könnte Ihr Unternehmen Lücken in Ihrer Police aufweisen, so dass Sie im Falle eines Angriffs schutzlos dastehen. In diesem Blogpost erörtern wir, warum Schulungen zum Sicherheitsbewusstsein nicht nur ein „Nice-to-have“ sind, sondern eine wichtige Voraussetzung für eine wirksame Cyber-Versicherung. 

Deshalb ist eine Cyberversicherung wichtig

Wenn Sie nicht gerade zu den Amischen in den USA gehören und ein Lebensmittelgeschäft nur mit Bargeld und ohne Internetanschluss betreiben, brauchen Sie wahrscheinlich eine Cyber-Haftpflichtversicherung. Diese Cyber-Versicherung ist ein Sicherheitsnetz, das Sie vor Haftung und finanziellen Verlusten schützt, wenn ein Cyber-Angriff gegen Sie erfolgreich war. Eigentlich gar nicht so schwierig. Die wichtigere Frage bei diesem Thema ist, ob Ihr Unternehmen Zehntausende von Euro zu den bereits beträchtlichen Ausgaben für die Cybersicherheit hinzufügen muss. Viele Unternehmen stellen fest, dass sie beim Abschluss einer Cyberversicherung abwägen müssen, ob die Kosten der Prämien günstiger sind, als die Folgen eines Cyberangriffs. 

Wenn ein Unternehmen in eine Cyber-Versicherung investiert, kauft es im Wesentlichen drei Dinge: 

  • Ein finanzielles Sicherheitspolster zur Abmilderung der Auswirkungen eines Sicherheitsproblems 
  • Nachweis der Sorgfaltspflicht gegenüber den Behörden – Nachweis, dass Sie die von den Aufsichtsbehörden festgelegten Regeln sorgfältig befolgt haben 
  • Sorgenfreiheit für das Unternehmen und die beteiligten Parteien 

Eine Cyber-Versicherungspolice kann das Unternehmen gegen Cyberangriffe, einschließlich Cyber-Terrorismus (je nach Police), schützen und bei der Behebung von Sicherheitsvorfällen helfen, wie z. B.: 

  • Wiederherstellung persönlich identifizierbarer Informationen (PII) 
  • Ransomware – Cyber-Erpressung  
  • Netzwerkunterbrechung 

Datenpanne bei Marriott

Ein Beispiel aus der Praxis für eine Cyber-Versicherung: Wenige Monate nachdem Marriott von einem der größten Datendiebstähle der Geschichte betroffen war, gab das Unternehmen bekannt, dass die durch den Vorfall entstandenen Kosten nur 1 Million US-Dollar (umgerechnet etwa 900.000 Euro) betrugen. Dieser Betrag überraschte alle, da 383 Millionen personenbezogene Daten (PII) unschuldiger Gäste, einschließlich unverschlüsselter Zahlungskartendaten, betroffen waren. 

Wie kam es dazu? Marriotts robuste Cybersecurity-Versicherung übernahm 71 Millionen US-Dollar der Gesamtkosten von 72 Millionen US-Dollar. Obwohl die internationale Hotelkette weiterhin mit Anwaltskosten, Bußgeldern und anderen Ausgaben konfrontiert ist, ist die Lektion klar: Die Unterstützung durch die Cybersecurity-Versicherung spielte eine wichtige Rolle bei der Abmilderung der finanziellen Auswirkungen.

Security Awareness Training 

Die komplexen und ausgeklügelten Passwörter, die mehrfachen Firewalls und die Anti-Malware-Programme Ihres Unternehmens können durch Ausnutzung des menschlichen Faktors umgangen werden. Und das wird immer ein Problem sein, wenn es darum geht, Ihr Unternehmen und Sie selbst zu schützen. Denn die Mitarbeiter sind oft diejenigen, die am meisten gefährdet sind, und sie brauchen das richtige Sicherheitstraining, um sie zu erfahrenen Beobachtern zu machen, die immer auf der Hut sind. Cyber-Kriminelle wissen, dass es schwierig ist, Hardware-Schutzmaßnahmen zu umgehen, aber es ist viel einfacher, die Unwissenheit einer Person auszunutzen. Deshalb ist es wichtig, dass Sie Ihre Mitarbeiter mit dem richtigen Handwerkszeug ausstatten – vor allem mit einem gründlichen Sicherheitstraining, das ihnen hilft, Bedrohungen zu erkennen und auf sie zu reagieren. 

Eine Umfrage der britischen Regierung aus April 2024 ergab, dass die Hälfte aller Unternehmen und 84 % der großen Unternehmen in den letzten 12 Monaten eine Form von Cyberangriff oder -verletzung gemeldet haben. Der mit Abstand häufigste Typ von Angriffen oder Verletzungen ist Phishing (84 % der Unternehmen und 83 % der Wohltätigkeitsorganisationen).  

Warum also in Schulungen zum Sicherheitsbewusstsein (auf Englisch: Security Awareness Training) investieren? Ganz einfach: Sowohl die Cyber-Versicherung als auch die Sicherheitsschulung tragen dazu bei, die Kosten und die Haftpflicht zu reduzieren. Sie bieten eine weitere Schutzschicht und verhindern, dass Sie Ihre Versicherung in Anspruch nehmen müssen. Ich weiß, das ist widersprüchlich. Aber die Logik ist klar: Bessere Schulungen verringern das Risiko von kostspieligen Sicherheitsproblemen und Versicherungsansprüchen. 

Da es immer mehr Cyber-Bedrohungen gibt, wird der Schutz unserer Informationssysteme mit der Weiterentwicklung der Technologien immer schwieriger und anspruchsvoller. So absurd es auch erscheinen mag, wir müssen unser Gehirn, unseren Instinkt, unser Vertrauen und unser Selbstbewusstsein einsetzen, wenn es darum geht, unsere Cyberabwehr aufzubauen. Angreifer wissen, dass der Mensch oft das schwächste Glied ist, und konzentrieren ihre Bemühungen daher auf ihn. 

Mehr als 90 % der Cyberangriffe sind auf die eine oder andere Weise mit Social Engineering oder Phishing verbunden. Es sollte nicht überraschen, dass die Verringerung der Wahrscheinlichkeit von Social-Engineering- und Phishing-Angriffen die Wahrscheinlichkeit eines Datendiebstahls senkt. Und Schulungen zum Sicherheitsbewusstsein sind die richtige Maßnahme, um diese Gefahr zu minimieren. Dabei können sie gleich in mehrerer Hinsicht von Vorteil sein: 

Benutzerschulung

Ihre Benutzer einfach nur auf die Risiken von Phishing aufmerksam zu machen, ist eine Sache, aber wenn Sie gute Routinen etablieren und sie wirklich darauf trainieren, Bedrohungen zu erkennen und angemessen darauf zu reagieren, können Sie einen Rückgang der Anzahl von Klicks auf Phishing-E-Mails feststellen. 

Positive Sicherheitskultur

Zunächst einmal müssen Sie sich darüber im Klaren sein, dass Sie Kultur nicht diktieren, kontrollieren oder befehlen können. Eine Richtlinie ist keine Kultur. Die Politik ist die Anweisung an die Mitarbeiter. Kultur ist die Art und Weise, wie sie tatsächlich handeln. Auf welche Weise beeinflussen Sie die Kultur? Der Aufbau einer Sicherheitskultur, in der sich die Mitarbeiter für den Schutz des Unternehmens engagieren, sich trauen, ihre Meinung zu sagen, wenn etwas nicht in Ordnung ist, und die Risiken verstehen, braucht Zeit und beginnt an der Spitze.  

Compliance und Governance

Schulungen zum Sicherheitsbewusstsein haben den Vorteil, dass sie die Einhaltung von Vorschriften fördern, aber um dies erfolgreich zu tun, sollte die Einhaltung von Vorschriften nicht der Hauptschwerpunkt der Schulung sein. Diese Strategie kann zu unterdurchschnittlichen Leistungen und Ergebnissen führen. Immer mehr Unternehmen, Behörden und Compliance-Initiativen beginnen, Schulungen zum Sicherheitsbewusstsein zu fordern, obwohl diese bereits von mehreren Compliance-Standards vorgeschrieben sind, darunter: 

  • PCI DSS 
  • HIPAA
  • ISO/IEC 27001  
  • FISMA  
  • GDPR 

Wie Hornetsecurity helfen kann

Hornetsecurity gehört zu den Marktführern und 2024 haben wir mehrere Auszeichnungen für unser Security Awareness Training, darunter den Fortress Cybersecurity Award, und den Global Infosec Award. Hier sind einige überzeugende Gründe, warum Ihr Unternehmen eine Cyberversicherung als Teil Ihrer Risikomanagement-Strategie in Betracht ziehen sollte:

  • Finanzieller Schutz: Deckt die Kosten für die Untersuchung, Schadensbegrenzung und Wiederherstellung nach einem Cyberangriff. 
  • Rechtliche Haftung: Hilft bei Anwaltskosten und Entschädigung, wenn Ihr Unternehmen mit Verstößen gegen Datenschutzgesetze konfrontiert wird. 
  • Geschäftskontinuität: Bietet finanzielle Unterstützung zur Aufrechterhaltung der Stabilität und zur Deckung von Umsatzverlusten während und nach einem Angriff. 
  • Unterstützungsdienste: Umfasst den Zugang zu IT-Experten, Krisen-PR-Spezialisten und Datenschutzanwälten, die bei der Bewältigung der Nachwirkungen helfen. 
  • Datenschutz: Deckt Kosten im Zusammenhang mit dem Verlust oder der Kompromittierung von physischen und elektronischen Daten. 

Fazit

Nach einem Cyberangriff stellen viele Unternehmen fest, dass ein solider Cyberversicherungsplan unerlässlich ist, um ihren Ruf zu wahren, ihre finanzielle Stabilität wiederzuerlangen und den Geschäftsbetrieb wie gewohnt fortzusetzen. Cyber-Versicherungen sollen als Sicherheitsnetz dienen und einige der Folgen eines Angriffs abmildern. Sie sind kein Allheilmittel, aber sie können entscheidend dazu beitragen, die Regeneration eines Unternehmens zu unterstützen. Statt sich jedoch nur auf eine Cyber-Versicherung zu verlassen, sollten Sie sicherstellen, dass Ihr Netzwerk ausreichend gesichert ist. Und dazu ist die Schulung Ihrer Human Firewalls ein absolutes Muss.

Häufig gestellte Fragen

Warum ist Security Awareness Training für die Cyberversicherung so wichtig?

Sicherheitsschulungen werden zunehmend zu einer obligatorischen Voraussetzung für einen umfassenden Cyberversicherungsschutz. Sie tragen dazu bei, das Risiko von Sicherheitsverletzungen zu verringern, die Wahrscheinlichkeit kostspieliger Ansprüche zu minimieren und die Einhaltung verschiedener gesetzlicher Normen zu gewährleisten.

Was sind die wichtigsten Vorteile einer Cyber-Versicherungspolice?

Die Cyber-Versicherung bietet finanziellen Schutz gegen die Kosten von Cyber-Vorfällen, hilft bei rechtlichen Verpflichtungen, unterstützt die Geschäftskontinuität während und nach einem Angriff und bietet Zugang zu Krisenmanagement-Experten.

Wie kann Hornetsecurity bei der Schulung des Sicherheitsbewusstseins helfen?

Hornetsecurity bietet ein preisgekröntes Security Awareness Training an, das Mitarbeiter mit den Fähigkeiten ausstattet, Cyber-Bedrohungen zu erkennen und auf sie zu reagieren, eine positive Sicherheitskultur zu fördern und die Einhaltung von Branchenvorschriften zu gewährleisten.