Sie möchten eine Cyber-Versicherung abschließen? Dann ist es an der Zeit, Ihre Authentifizierungssysteme zu verschärfen.
Benötigen Sie eine Cyber-Versicherung?
Das Weltwirtschaftsforum prognostiziert, dass die Cyber-Kriminalität in den kommenden Jahren sprunghaft ansteigen wird, wobei die durch Cyber-Angriffe verursachten Kosten weltweit bis 2027 voraussichtlich auf 23,82 Billionen US-Dollar ansteigen werden. Während große Cyberangriffe wie der Ransomware-Angriff auf die britische Royal Mail, die LastPass-Sicherheitsverletzung und der Angriff auf Toyota Financial Services für Schlagzeilen sorgen, sind auch kleinere Unternehmen einem hohen Risiko ausgesetzt. Täglich werden mehr als 2.200 Cyberangriffe gemeldet. Im Durchschnitt findet alle 39 Sekunden ein Cybersicherheitsvorfall statt.
Angriffe auf kleine Unternehmen machen mittlerweile 43 % der gesamten Cyberkriminalität aus. Die durchschnittlichen Kosten pro Vorfall betragen dabei 200.000 US-Dollar – genug, um viele kleinere Unternehmen aus dem Geschäft zu drängen. Kleine und mittlere Unternehmen werden von Cyber-Kriminellen oft als Low-Hanging Fruits betrachtet, da sie in der Regel weniger gut geschützt sind und vielen dieser Unternehmen die Ressourcen fehlen, um sich von einem Cyber-Angriff vollständig zu erholen.
Aus diesem Grund wird eine Cyber-Versicherung für Unternehmen aller Größen und Branchen immer wichtiger. In der heutigen Zeit, in der Cyber-Risiken immer allgegenwärtiger werden, sind Cyber-Versicherungen eine wichtige Sicherheitsvorrichtung für Unternehmen. Dies gilt insbesondere für Unternehmen in den Bereichen Gesundheitswesen, Finanzdienstleistungen, Fertigung, Energie und Versorgung sowie für Behörden, die ein attraktives Ziel für Ransomware-Angriffe und Datendiebstahl sein können. Doch auch jedes andere Unternehmen, das mit sensiblen Kundendaten oder geistigem Eigentum agiert, kann dem Risiko eines Datenschutzvorfalls ausgesetzt sein.
Was ist eine Cyber-Versicherung?
Die Cyber-Versicherung, auch als Cyber-Haftpflicht- oder Cyber-Risikoversicherung bezeichnet, ist ein Versicherungsprodukt, das Unternehmen dabei helfen soll, das Risiko zu mindern, indem die Kosten ausgeglichen werden, die mit der Wiederherstellung nach einer Datenpanne verbunden sind. Der Leistungsumfang und die Spezifika können je nach Police und Anbieter stark variieren, aber in der Regel deckt die Cyber-Versicherung eine Reihe von Schäden ab, die durch Cyber-Vorfälle wie Ransomware-Angriffe, Datenschutzvorfälle, Phishing, Malware-Angriffe und Denial-of-Service-Angriffe (DoS) entstehen.
Die Cyber-Versicherung kann entweder für eigene Schäden als auch für die Schäden Dritter aufkommen – oder idealerweise beides.
- Die Eigenschadenabdeckung in der Cyber-Versicherung deckt die direkten Kosten, die einem Unternehmen durch einen Cybervorfall entstehen. Dazu können Ausgaben im Zusammenhang mit der Wiederherstellung von Daten, Betriebsunterbrechungen, Cyber-Erpressung und Krisenmanagement nach einem Angriff gehören.
- Die Drittschadendeckung deckt Ansprüche externer Parteien ab, die von einem Cybervorfall betroffen sind, in den das versicherte Unternehmen verwickelt ist. Darin eingeschlossen sind Rechtsverteidigungskosten sowie Vergleiche und Urteile im Zusammenhang mit Datenschutzvorfällen und dem Versäumnis, Cyber-Bedrohungen mit Auswirkung auf Dritte zu verhindern.
Die genauen Leistungen der Cyber-Versicherung können je nach Police sehr unterschiedlich sein, daher ist es wichtig, dass Sie Ihre Police genau prüfen. So kann es beispielsweise sein, dass eine Police nicht die von Cyberkriminellen geforderten Lösegelder abdeckt, dafür aber andere Eigenschäden, wie z. B. die Kosten für die Wiederherstellung von Daten.
Auch die Kosten für Cyber-Versicherungen können sehr unterschiedlich ausfallen und hängen von Faktoren wie Unternehmensgröße und -umsatz, Art und Umfang der gesammelten und gespeicherten sensiblen Daten, dem regulatorischen Umfeld, in dem das Unternehmen tätig ist, und der Branche ab. Anbieter von Cyber-Versicherungen überprüfen die allgemeine Cybersicherheitslage und das Risikoprofil des Unternehmens. Die Stärke der Cybersicherheitsmaßnahmen eines Unternehmens – einschließlich der Netzwerksicherheit und der Benutzerauthentifizierungssysteme – kann einen erheblichen Einfluss auf die Höhe der Versicherungsprämien haben.
Cyber-Risiken und die Bedeutung des Schutzes von Benutzerdaten
Unternehmen sind vielen verschiedenen Arten von Cyber-Bedrohungen ausgesetzt, darunter:
- Datenschutzvorfälle: Unbefugter Zugriff auf oder Diebstahl von Unternehmens- oder Kundendaten.
- Ransomware-Angriffe: Verschlüsselung der Daten eines Unternehmens durch Malware, inkl. Lösegeldforderung durch die Angreifer für die Bereitstellung der Entschlüsselungssoftware.
- Phishing: Betrügerische Kommunikation, die Empfänger dazu verleitet, sensible Daten preiszugeben oder Malware zu installieren.
- Denial-of-Service- (DoS) oder Distributed-Denial-of-Service (DDoS)-Angriffe: Überlastung der Ressourcen eines Systems, sodass es für Benutzer nicht mehr verfügbar ist.
- Malware-Angriffe: Bösartige Software, die darauf abzielt, ein Computersystem oder ein Netzwerk zu stören, zu beschädigen oder sich unbefugten Zugang zu verschaffen.
- Social-Engineering-Angriffe: Manipulation von Personen, um mit ihrer Hilfe gängige Sicherheitsverfahren zu umgehen und unbefugten Zugang zu Systemen oder Daten zu erhalten.
- Cyber-Erpressung: Die Drohung, die digitalen Vermögenswerte eines Unternehmens anzugreifen oder sensible Informationen freizugeben, wenn kein Lösegeld gezahlt wird.
Zu den häufigsten Cyberangriffen gehören kompromittierte Benutzerdaten. Benutzerdaten können als Teil eines größeren Datenschutzvorfalls oder durch installierte Malware wie Keylogger gestohlen werden. Benutzer können auch durch Phishing dazu gebracht werden, ihre Benutzernamen und Kennwörter preiszugeben, beispielsweise indem sie ihre Anmeldedaten auf einer betrügerischen Website eingeben, auf die sie über einen Link in einer offiziell wirkenden E-Mail oder Textnachricht gelangt sind. Bei ausgeklügelten Social-Engineering-Angriffen werden Einzelpersonen ins Visier genommen, oft durch E-Mails oder sogar Anrufe von Personen, die vorgeben, im Namen der Unternehmensleitung oder der IT-Abteilung zu handeln.
Laut Google Cloud 2023 Threat Horizons Report handelt es sich bei 86 % der erfolgreichen Cyberangriffe um passwortbezogene Vorfälle infolge gestohlener oder kompromittierter Benutzerdaten. Sobald ein Cyber-Krimineller über die Benutzerdaten einer internen Person mit ausreichender Berechtigung verfügt, kann er sich Zugang zu sensiblen Unternehmensdaten verschaffen, beispielsweise zu geschützten Kundendaten, Unternehmensfinanzen oder persönlichen Informationen von Mitarbeitenden. Möglicherweise gelingt es darüber hinaus, Malware oder Ransomware zu installieren oder andere Aktivitäten durchzuführen, die den Betriebsablauf stören.
Daher sollte ein solides Verfahren zur Benutzerauthentifizierung wichtiger Bestandteil der Cybersicherheitsmaßnahmen eines Unternehmens sein. Passwortlose Authentifizierung und phishingresistente Multifaktor-Authentifizierung (MFA) können Unternehmen dabei helfen, die Risiken, die durch gestohlene oder kompromittierte Benutzerdaten entstehen, deutlich zu reduzieren.
- MFA ist ein Sicherheitsverfahren, bei dem Benutzer zwei oder mehr Verifizierungsfaktoren angeben müssen, um Zugang zu einer Ressource zu erhalten, z. B. zu einer Anwendung, einem Online-Konto oder einem VPN. Anstatt nur einen Benutzernamen und ein Passwort abzufragen, erfordert MFA zusätzliche Verifizierungsmethoden, wie z. B. einen Code, der an ein Smartphone gesendet wird, einen Fingerabdruck oder Gesichtserkennung, wodurch es für unbefugte Benutzer deutlich schwieriger wird, Zugriff zu erhalten.
- Bei der passwortlosen Authentifizierung entfällt das Passwort vollständig, stattdessen wird ein Benutzerausweis verwendet, der auf einer RFID-Karte, einem Token oder auf einem Smartphone gespeichert ist. RFID-Karten oder mobile Credentials können als Teil eines MFA-Verfahrens verwendet werden, um die Sicherheit zu erhöhen.
Erfüllung der Authentifizierungsanforderungen für Cyber-Versicherungen
Die Cybersicherheitsmaßnahmen, einschließlich der Richtlinien zur Benutzerauthentifizierung, spielen für die Deckungs- und Tarifentscheidungen bei Cyber-Versicherungen eine wichtige Rolle. Einige Versicherungsunternehmen fordern von Unternehmen die Einführung eines MFA-Verfahrens, um Versicherungsschutz zu erhalten oder sich Vorzugstarife zu sichern.
Zu den gängigsten Verfahren der MFA gehören Einmalcodes (die per Textnachricht oder E-Mail verschickt oder von einer Authentifizierungs-App auf dem Smartphone generiert werden) und Push-Benachrichtigungen (bei denen der Benutzer einen neuen Anmeldeversuch auf einem vertrauenswürdigen Smartphone oder einem anderen Gerät akzeptieren muss oder ablehnen kann). Diese Smartphone-basierte MFA stellt jedoch ein potenzielles Ziel für Phishing- und Social-Engineering-Angriffe dar und weist andere Schachstellen auf, die zu SIM-Karten-Angriffen und Push-Bombing führen können. Für maximale Sicherheit empfehlen Cybersecurity-Experten wie die U.S. Cybersecurity & Infrastructure Security Agency (CISA) und auch einige Anbieter von Cyber-Versicherungen die Einführung phishingresistenter von MFA-Verfahren.
Passwortlose Authentifizierungssysteme, die RFID-Karten oder mobile Credentials in Kombination mit einer Benutzer-PIN nutzen, haben sich als äußerst wirksame Form der phishingresistenten MFA erwiesen:
- Der sichere Benutzerauthentifizierungsschlüssel ist dem Benutzer nicht bekannt, so dass er nicht getäuscht oder gezwungen werden kann, ihn preiszugeben.
- Wird die Karte oder das Smartphone gestohlen, ist eine Verwendung ohne die zweite PIN nicht möglich. Umgekehrt kann auch die PIN ohne Zugang zur Karte oder Zugriff auf das Gerät nicht allein verwendet werden.
- Bei der Verwendung von mobilen Credentials auf einem Smartphone können anstelle einer PIN biometrische Daten als zweiter Authentifizierungsfaktor verwendet werden.
ELATEC erleichtert Unternehmen die Umstellung auf phishingresistente MFA und unterstützt sie bei der Einhaltung von modernen Cybersicherheitsstandards und Anforderungen für Cyber-Versicherungen. Die RFID-Lesegeräte der TWN4-Reihe unterstützen praktisch jede RFID-Transpondertechnologie und mobile Credentials über Bluetooth® Low Energy (BLE) oder Near-Field Communication (NFC). Mitarbeiter können sich einfach an ihrem Arbeitscomputer anmelden, indem sie die ID-Karte, die sie bereits für andere Anwendungen nutzen, oder einen mobilen Ausweis auf ihrem Smartphone verwenden. Ein Passwort ist nicht erforderlich. Die passwortlose Anmeldung mit RFID kann mit Single Sign-On Software (SSO Software) kombiniert werden, um den Zugriff auf Dateien und Anwendungen im Unternehmensnetzwerk zu vereinfachen.
Möchten Sie mehr darüber erfahren, wie Sie phishingresistente MFA einführen und somit die Anforderungen von Cyber-Versicherungen erfüllen? Sprechen Sie mit einem unserer Experten für das Thema Authentifizierung.
DER ELATEC NEWSLETTER Ihr Authentifizierungs-Update
Als regelmäßiger Leser sind Sie beim Thema Authentifizierung immer auf dem neusten Informationsstand, kennen die aktuellen Trends und erhalten wertvolle Tipps. Wenn Sie sich für unseren Newsletter anmelden, stellen wir sicher, dass Sie keinen neuen Blogartikel mehr verpassen. Und obendrein erhalten Sie noch mehr spannende Neuigkeiten über unsere Produkte, Veranstaltungen und Branchentrends.