Die Versicherung zahlt eh! – Richtig?

Um im Fall des Falles zumindest vor finanziellen Auswirkungen eines Schadensfalles geschützt zu sein, schließt man als verantwortungsvolles Unternehmen Versicherungen ab.

„Mondelez“, ein Konzern zu dem unter anderem die bekannten Schokolademarken „Toblerone“ und „Milka“ gehören, und schloss eine Versicherung gegen „physische Schäden an elektronischen Daten, Programmen, Software, verursacht durch das böswillige Eindringen in Software“, also in etwa gegen die Auswirkung von Cyberangriffen ab.

Im Jahr 2017 war es soweit: Der Krypto-Trojaner (bzw. „ransomware“) „NotPetya“ verbreitete sich erfolgreich im Netzwerk von Mondelez. Bei Ransomware wird Schadsoftware in ein Unternehmen eingeschleust, die sich daraufhin selbständig verbreitet und alle Daten die sie findet verschlüsselt. Nach kurzer Zeit erhalten die Admins ein E-Mail, in dem darauf hingewiesen wird, dass man – nach Bezahlung einer großen Summe durch den Geschädigten – gerne beim Entschlüsseln der Daten behilflich ist.

Laut ENISA Threat Landscape Report 2018 war Ransomware zum Zeitpunkt des Vorfalls die am weitesten verbreitete Attacke weltweit. Eine Infektion mit dieser Software war daher nichts wirklich Ungewöhnliches und auch nicht unbedingt sehr gezielt, sondern eher Zufall…

Im konkreten Fall ging es um mehrere tausend Server und mehrere zehntausend Firmenlaptops, insgesamt beliefen sich die Kosten zur Behebung des Schadens auf etwa 100 Millionen Dollar. Na, zum Glück gibt es die Versicherung…

Die weigert sich zu zahlen, da sie den Angriff als „feindliche oder kriegsähnliche Aktion“ bezeichnet und solche Dinge nicht im Versicherungsschutz abgedeckt sind: https://www.diepresse.com/home/wirtschaft/economist/5561440/Tobt-ein-Cyberkrieg-um-Toblerone

Ich kann mir nicht vorstellen, dass dies der letzte Akt in diesem Fall ist. Die Sache wird sich wohl über mehrere Instanzen und Jahre hinziehen, bis einer der Vertragspartner aufgibt.

Was lernen wir daraus?

Versichern alleine verhindert keinen Vorfall. Nie. Das tun Informationssicherheitsmanagementsysteme, IT-Sicherheits-Maßnahmen und laufende Schulungsmaßnahmen. Die Versicherung kommt als Tüpfelchen aufs „i“ um die finanziellen Auswirkungen in akzeptablen Grenzen zu halten.

Wissen sie, wie sich Ausfälle ihrer IT auf Ihr Unternehmen auswirken würden? Kontaktieren Sie uns für eine gemeinsame Business-Impact-Analyse um genau das herauszufinden.