Helvetia und Gobugfree spannen zum Schutz von KMUs zusammen

Helvetia und der Schweizer Anbieter von Bug-Bounty-Programmen Gobugfree wollen Cybercrime künftig gemeinsam entgegentreten. Die Unternehmen kündigten eine Partnerschaft an, mit dem Ziel, KMUs bei ihrer Cyberabwehr auszuhelfen. Konkret will die Versicherungsgesellschaft mit dieser Zusammenarbeit ihren Firmenkunden gezielt dabei helfen, effektive Sicherheitslücken aufzudecken und zu schliessen, wie es in einer Mitteilung der beiden Firmen heisst.

Als optimalen Cyberschutz beschreiben die Unternehmen eine "ausgewogene Kombination von IT-Sicherheitsmassnahmen und dem Versicherungsschutz". Die Versicherung solle das Restrisiko abdecken, falls trotz aller Sicherheitsvorkehrungen dennoch eine Cyberattacke die Abwehr durchdringt. Schliesslich könne schnell ein Schaden von über 100'000 Franken entstehen; bei schweren Angriffen mit Datendiebstahl und/oder -verschlüsselung könne die Summe in die Millionen Franken gehen.

"Beispielsweise werden bei einem Cybervorfall Kosten für die Schadenanalyse, die juristische Beratung, die Wiederherstellung von Daten und Systeme sowie Gewinnausfälle infolge eines Betriebsunterbruchs übernommen", sagt Tobias Seitz, Leiter Underwriting Technische Versicherungen Region Ost bei Helvetia, auf Anfrage. "Zudem sind allfällige Ansprüche Dritter abgesichert." Im Schadensfall erhalte das Unternehmen Zugang zu einem Netzwerk an Experten in den Bereichen Cybersecurity, Kommunikationsmanagement und Recht.

Tobias Seitz, Leiter Underwriting Technische Versicherungen Region Ost bei Helvetia. (Source: zVg)

Die erste Hürde: der Grundschutz

Ein KMU, das eine Cyberversicherung abschliessen will, muss jedoch einen gewissen Basisschutz vorweisen können. Aufgrund dieser Basisanforderungen kommt es laut Mitteilung immer wieder vor, dass Anträge abgelehnt werden müssen. Genaue Zahlen kann Helvetia zwar nicht nennen. "Aber es dürften knapp 10 Prozent der Anfragen sein", sagt Seitz.

"In unseren Cyberversicherungs-Policen sind die Basisanforderungen als Obliegenheiten festgehalten, die stark an die Empfehlungen vom NCSC angelehnt sind und eine gute Basis zum Schutz gegen Cyber-Risiken bilden", ergänzt Seitz.

Die wichtigsten Anforderungen bei der Helvetia sind:

• Die Bestimmung eines IT-Verantwortlichen (dieser kann intern oder extern sein).
• Die Definition und Implementierung eines Berechtigungsmanagements.
• Die Definition und Implementierung von Passwortrichtlinien.
• Die regelmässige Sensibilisierung der Mitarbeitenden zu Cyberrisiken.
• Ein tägliches Backup sowie die sichere Aufbewahrung dieser Daten (offline oder zumindest als unveränderbare Sicherungskopien).
• Die Installation aktueller technischer Schutzmassnahmen wie Firewalls, Virenscanner, Spam-Filter und authentisierte Remote-Zugänge.
• Die zeitnahe Installation von Sicherheitsupdates und Patches, damit die IT-Systeme stets auf dem aktuellen Stand sind.
• Die Sicherstellung einer Netzwerksegmentierung zwischen IT- und OT-Umgebungen.

Standortbestimmung und Handlungsempfehlungen

Hier soll die Partnerschaft mit Gobugfree ansetzen. Die Cybersecurity-Firma unterstützt KMUs mit einer Sicherheits-Standortbestimmung zur Einordnung des aktuellen Stands der IT-Sicherheitsmassnahmen, wie es in der Mitteilung heisst. Dabei handelt es sich um einen sogenannten Community Bugtest.

"Im Gegensatz zu einem Bug-Bounty-Programm gibt es bei einem Community Bugtest keine Belohnungen (Bountys) als solche", sagt Christina Kistler, Chief Commercial Officer bei Gobugfree, auf Anfrage. Bei diesen Tests suchen Sicherheitsexperten aus der Community innerhalb eines abgeschlossenen Zeitraums (in der Regel zwei oder vier Tage, je nach Komplexität des Systems) nach potenziellen Sicherheitslücken in Systemen, wie Kistler ergänzt. Die gefundenen Schwachstellen werden systematisch beschrieben, bewertet und es werden entsprechende Handlungsempfehlungen gegeben. "Auf diese Weise können allfällige Eintrittstore für Angreifer frühzeitig identifiziert werden."

Christina Kistler, Chief Commercial Officer bei Gobugfree. (Source: zVg)

Um sicherzustellen, dass die empfohlenen Massnahmen effektiv und effizient umgesetzt werden, bietet Gobugfree fachliche Beratung bei der Interpretation der Handlungsempfehlungen an. "Wir helfen den Unternehmen dabei, die identifizierten Schwachstellen und Handlungsempfehlungen nach Dringlichkeit und Risiko zu priorisieren, sodass die begrenzten Ressourcen optimal eingesetzt werden können", sagt Kistler.

Nach der Umsetzung der Handlungsempfehlungen könnten die KMUs erneut einen Community Bugtest durchführen. Alternativ könnten sie auch ein volles Bug-Bounty-Programm starten, um die Wirksamkeit der Massnahmen zu bewerten und gegebenenfalls weitere Verbesserungsvorschläge zu erhalten. "So stellen wir sicher, dass die Sicherheitsmassnahmen im Unternehmen nachhaltig und erfolgreich implementiert werden", sagt Kistler.

Grundsätzlich könne ein Bug-Bounty-Programm auch für KMUs kosteneffizient sein, sagt Kistler, insbesondere im Vergleich zu herkömmlichen Sicherheitsüberprüfungen wie Penetrationstests. Das liege daran, dass Belohnungen nur für tatsächlich identifizierte Schwachstellen bezahlt werden. Sie sagt aber auch: "KMUs mit einer geringeren Angriffsfläche oder weniger kritischen IT-Systemen könnten feststellen, dass ein vollständiges Bug-Bounty-Programm nicht die kosteneffizienteste Lösung ist und stattdessen auf andere Sicherheitsmassnahmen - wie beispielsweise ein Vulnerability Disclosure Program oder wiederkehrende Community Bugtests - setzen."

Die Grenzen der Cyberversicherung

Mit diesen Vorbereitungen soll dem Abschluss einer Cyberversicherung nichts mehr im Wege stehen. Bedenken sollte man allerdings noch, dass es gewisse Ausschlüsse gibt bei Cyberversicherungen. So sind gemäss Seitz etwa Angriffe auf "bedeutende kritische Infrastrukturen" nicht versicherbar.

"Dies ist vergleichbar mit dem Pandemierisiko", erklärt Seitz. "Die finanziellen Auswirkungen eines solchen Kumulrisikos übersteigen die Tragbarkeiten der Versicherer und können für sie dadurch existenzbedrohend sein."

Bei Ransomwareangriffen - bei denen Cyberkriminelle Daten verschlüsseln und ein Lösegeld fordern - gibt es ebenfalls ein paar Punkte zu beachten. "Lösegeldzahlungen sind bis zu einer gewissen Limite über die Cyberversicherung zwar versicherbar", sagt Seitz. "Eine allfällige Zahlung darf aber nie eigenständig erfolgen, sondern muss zwingend zwischen dem Kunden, der Behörde/Polizei und Helvetia besprochen werden."

"Es darf grundsätzlich nie das Ziel sein, auf Lösegeldforderungen einzutreten" ergänzt er. "Damit werden direkt kriminelle Organisationen unterstützt, was absolut kontraproduktiv ist, da damit diese Bewegungen nur noch gestärkt werden. Auch ist nie zugesichert, dass die Lösegeldzahlung zum gewünschten Ziel führt." Bei einer Erpressung werde deshalb in jedem Fall zuerst alle anderen Optionen geprüft. Bisher seien Helvetia und ihre versicherten Kunden nie auf derartige Forderungen eingetreten.

Zum Schutz des Schweizer Markts

Unabhängig davon, ob eine Versicherung abgeschlossen wird, bietet Helvetia auf ihrer Website eine Reihe weiterer präventiver Services zum Thema Cyberrisiken an, darunter E-Learnings für die Sensibilisierung von Mitarbeitenden, ein Ratgeber für eine Backup-Strategie, einen Cyber-Alert, der auf grosse Sicherheitslücken aufmerksam machen soll oder einen Cyber-Check, der die Überprüfung der IT-Landschaft ermöglicht.

"Je besser die Schweiz aufgestellt ist, desto weniger attraktiv ist unser Land für Cyberattacken", lässt sich Seitz in der Mitteilung zitieren. "Die Partnerschaft mit Gobugfree ist ein wichtiger Schritt, um die Schweizer Unternehmen und den Markt weiter zu stärken."

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.