Cyber-Versicherung ist Standard – Cyber insurance is standard

Die aktuelle Studie von Arctic Wolf zeigt, dass mittlerweile mehr als die Hälfte (55%) der Unternehmen in Deutschland, Österreich und der Schweiz eine aktive Cyber-Versicherungspolice haben. Weitere 39 Prozent geben an, dass sie entweder gerade eine Police abschließen oder dies in den nächsten zwölf Monaten tun werden. Nur 5 % zögern oder befinden sich in einer Situation, in der sie sich nicht für eine Versicherung qualifizieren. Dennoch ist die DACH-Region derzeit noch ein Wachstumsmarkt. In anderen Regionen haben bereits mehr Unternehmen eine aktive Police, zum Beispiel in den nordischen Ländern (58 Prozent), den Benelux-Staaten (64 Prozent), Großbritannien und den USA (jeweils 69 Prozent) oder Südafrika (80 Prozent).

„Ein hundertprozentiger Cyberschutz ist in Zeiten, in denen Angreifer mit KI und einem hohen Grad an Professionalisierung arbeiten und immer größere Angriffsflächen ins Visier nehmen, realistisch nicht möglich“, sagt Dr. Sebastian Schmerl, Regional Vice President Security Services EMEA bei Arctic Wolf. „Daher sind Cyberversicherungen ein wichtiges Instrument, um die ‚letzte Meile‘ des Cyberschutzes abzudecken, also mögliche finanzielle Schäden zu minimieren. Aber natürlich sind Versicherungen kein Ersatz für umfassende Sicherheitsmaßnahmen, sie sind die Ultima Ratio. Hinzu kommt, dass Unternehmen heute immer höhere Sicherheitsstandards nachweisen müssen, um überhaupt Versicherungsschutz zu erhalten.“

Sorge über steigende Prämien

Auf die Frage nach den größten Bedenken in Bezug auf Cyber-Versicherungen nannte ein Viertel (25 %) der Unternehmen in der DACH-Region steigende Kosten. Neben den rein finanziellen Aspekten des Abschlusses einer Cyberversicherung nannten 27 % der Befragten auch die verschärften Sicherheitsanforderungen und 19 % den zeitaufwändigen Prozess des Abschlusses und der Aufrechterhaltung der Police.

Aufgrund der angespannten Bedrohungslage und der steigenden Schäden führen die Versicherer mittlerweile eine genaue Risikobewertung und Überprüfung der implementierten Schutzmaßnahmen durch, bevor sie eine Versicherung abschließen und die Höhe der Prämie festlegen.

„Der Nachweis von Sicherheitsmaßnahmen kann zur Herausforderung werden, wenn der Überblick über die eingesetzten Maßnahmen und/oder konkrete Notfallpläne fehlen“, so Dr. Schmerl. „In Security Operations Centern laufen alle sicherheitsrelevanten Daten zusammen, was den Informationsaustausch mit Versicherungen erleichtert. Da insbesondere mittelständische Unternehmen meist nicht über ein eigenes SOC verfügen, können Unternehmen und Versicherungen mit Sicherheitspartnern zusammenarbeiten, die Security-Operations-as-a-Service anbieten. Diese überwachen nicht nur rund um die Uhr die Angriffsfläche und verbessern so die Sicherheitslage, sondern liefern auch alle notwendigen Informationen für die Risikobewertung und damit die Grundlage für die Festlegung der Versicherungsprämie.“

Lösegeld wird häufig gezahlt

Cyberkriminelle setzen ihre Opfer mit immer höheren Lösegeldforderungen unter Druck. So hat eine Auswertung von Arctic Wolf ergeben, dass die ursprüngliche Lösegeldforderung im vergangenen Jahr um 20 Prozent auf durchschnittlich 600.000 US-Dollar gestiegen ist. Entgegen der Empfehlung der Strafverfolgungsbehörden wurde im vergangenen Jahr weltweit in 82 % der Fälle Lösegeld gezahlt (77 % in der DACH-Region), in 30 % der Fälle übernahm die Cyber-Versicherung zumindest einen Teil der Kosten. In 9 von 10 Fällen wurde in der DACH-Region auch ein Ransomware-Handler hinzugezogen, der in 61 Prozent der Fälle die Summe erfolgreich reduzieren konnte.

Schnelle Reaktion spart Kosten

Knapp die Hälfte (48%) aller befragten Unternehmen hatte in den letzten 12 Monaten einen Sicherheitsvorfall zu verzeichnen, in der DACH-Region waren es sogar 58%. Dabei handelt es sich jedoch nur um den Anteil der Unternehmen, bei denen konkrete Beweise für eine Datenverletzung gefunden wurden. In DACH war sich nur ein Viertel (25 %) sicher, dass sie nicht Opfer einer Datenschutzverletzung geworden sind, 17 % konnten nicht mit Sicherheit sagen, ob es einen unbemerkten Vorfall gegeben hat.

Die Zeitspanne, die für die Bearbeitung von Sicherheitsvorfällen benötigt wird, ist sehr groß und variiert stark von Angriff zu Angriff. Fälle von Ransomware dauern beispielsweise deutlich länger als Fälle von E-Mail-Kriminalität. So dauert es laut Arctic Wolf durchschnittlich etwa 70 Tage, bis die Incident Response (IR)-Aktivitäten bei einem Ransomware-Vorfall abgeschlossen sind und die volle Geschäftskontinuität wiederhergestellt ist. Oft könnten die IR-Maßnahmen durch einen IR-Dienstleister schneller umgesetzt werden. Leider sind die betroffenen Organisationen oft der verzögernde Faktor, da z.B. Entscheidungen nicht zeitnah getroffen werden, Zugriffe oder Zugänge zur IT-Infrastruktur (insbesondere zu Systemen von Drittanbietern oder extern verwalteten Systemen) nicht zeitnah zur Verfügung gestellt werden.

Ein vorab erstellter Notfallplan mit definierten Ansprechpartnern und Zugriffsentscheidungen ist dringend zu empfehlen. Bemerkenswert ist, dass bei forensischen Untersuchungen oft festgestellt wird, dass Angreifer bereits Wochen vor dem eigentlichen Schadensfall in der Infrastruktur aktiv waren.

Diese Angriffe bleiben oft bis zum Schadenseintritt unbemerkt, da die betroffenen Organisationen ihre IT-Landschaft nicht kontinuierlich auf IT-Sicherheitsverletzungen überwachen und sofort reagieren, bevor die Angreifer die eigentlichen Schadfunktionen (Extraktion oder Verschlüsselung von Daten) aktivieren.

„Je länger ein Angriff dauert, desto mehr Infrastrukturen oder Identitäten sind betroffen und desto höher sind die damit verbundenen Aufräum- und Wiederherstellungskosten. Deshalb ist es wichtig, Angriffe so früh wie möglich zu erkennen, um schnell Gegenmaßnahmen einleiten zu können und geschickt mit den Angreifern zu verhandeln, um Informationen oder Zeit zu gewinnen und den Schaden zu minimieren“, so Dr. Schmerl.

Wurde ein Angriff entdeckt, können sich Unternehmen auch selbst an Incident Response-Anbieter wenden. Das BSI stellt beispielsweise auf seiner Website eine Liste qualifizierter APT-Response-Dienstleister zur Verfügung, die bei der Abwehr aktueller oder vergangener Angriffe unterstützen. Alternativ können Anbieter von Cyberversicherungen auch mit Sicherheitsdienstleistern wie Arctic Wolf zusammenarbeiten, die nach einer Schadensmeldung sofort aktiv werden, um gemeinsam den Schaden zu minimieren und effektiv zu regulieren – eine Win-Win-Situation für Versicherer und Versicherte.

The latest Arctic Wolf study shows that more than half (55%) of companies in Germany, Austria and Switzerland now have an active cyber insurance policy. A further 39% say they are either in the process of purchasing a policy or will do so in the next twelve months. Only 5% are hesitant or in a situation where they do not qualify for insurance. Nevertheless, the DACH region is still a growth market. In other regions, more companies already have an active policy, for example in the Nordic countries (58%), the Benelux countries (64%), the UK and the US (both 69%) or South Africa (80%).

„One hundred percent cyber protection is not realistically possible in times when attackers are working with AI and a high degree of professionalism and are targeting ever larger attack surfaces,“ says Dr. Sebastian Schmerl, Regional Vice President Security Services EMEA at Arctic Wolf. „Cyber insurance is therefore an important tool to cover the ‚last mile‘ of cyber protection, i.e. to minimize potential financial losses. But of course, insurance is not a substitute for comprehensive security measures, it is a last resort. What’s more, companies today have to demonstrate higher and higher levels of security in order to be covered at all“.

Concerns over rising premiums

When asked about their biggest concerns regarding cyber insurance, a quarter (25%) of businesses in the DACH region cited rising costs. In addition to the purely financial aspects of purchasing cyber insurance, 27% of respondents also cited stricter security requirements and 19% the time-consuming process of purchasing and maintaining the policy.

As a result of the heightened threat environment and increasing losses, insurers are now conducting a detailed risk assessment and reviewing the defenses in place before underwriting and setting premiums.

„Proving security measures can become a challenge if there is no overview of the measures implemented and/or no concrete contingency plans,“ says Dr. Schmerl. „All security-related data is collected in Security Operations Centers, which facilitates the exchange of information with insurance companies. Since medium-sized companies in particular do not usually have their own SOC, companies and insurance companies can work with security partners who offer security operations as a service. These partners not only monitor the attack surface around the clock, thus improving the security situation, but also provide all the necessary information for risk assessment, which is the basis for determining the insurance premium.

Ransom often paid

Cyber criminals are pressuring their victims with ever-increasing ransom demands. An analysis by Arctic Wolf found that the initial ransom demand increased by 20 percent last year to an average of $600,000. Against the advice of law enforcement, ransoms were paid in 82% of cases worldwide last year (77% in DACH), with cyber insurance covering at least part of the cost in 30% of cases.

In 9 out of 10 cases in the DACH region, a ransomware handler was also called in to successfully reduce the ransom in 61 percent of cases.

Fast response saves costs

Almost half (48%) of all companies surveyed had experienced a security incident in the past 12 months, with the figure rising to 58% in the DACH region. However, this is only the proportion of companies where concrete evidence of a data breach was found. In the DACH region, only a quarter (25%) were confident that they had not been the victim of a data breach, while 17% could not say for sure whether there had been an undetected incident.

The time it takes to respond to security incidents is very long and varies greatly from attack to attack. For example, ransomware incidents take significantly longer to resolve than email crimes. According to Arctic Wolf, it takes an average of about 70 days to complete incident response (IR) activities for a ransomware incident and restore full business continuity. Often, IR actions could be implemented more quickly by an IR service provider. Unfortunately, the affected organizations are often the delaying factor, as decisions are not made in a timely manner, and access to the IT infrastructure (especially third-party or externally managed systems) is not provided in a timely manner.

A pre-established contingency plan with defined contacts and access decisions is strongly recommended. It is worth noting that forensic investigations often reveal that attackers have been active in the infrastructure for weeks before the actual damage occurred.

These attacks often go unnoticed until the damage is done, because the affected organizations do not continuously monitor their IT landscape for IT security breaches and react immediately before the attackers activate the actual malicious functions (extraction or encryption of data).

„The longer an attack lasts, the more infrastructure or identities are affected and the higher the associated clean-up and recovery costs. It is therefore important to detect attacks as early as possible so that countermeasures can be initiated quickly, and to negotiate skillfully with attackers to gain information or time and minimize damage,“ says Dr. Schmerl.

Once an attack has been detected, companies can also contact incident response providers themselves. The BSI, for example, provides a list of qualified APT response service providers on its website that can help defend against current or past attacks. Alternatively, cyber-insurance providers can work with security service providers such as Arctic Wolf, who will intervene immediately after a claim is reported to work together to minimize the damage and settle the claim effectively – a win-win situation for insurers and policyholders.