zurück zum Artikel

IT-Sicherheit mit Garantie

Infotech
IT-Sicherheit mit Garantie

Selbst mit noch so hohen Ausgaben lässt sich die Gefahr von erfolgreichen Hacker-Angriffen nicht vollständig bannen. Um das restliche Risiko abzudecken, bieten manche Sicherheitsfirmen inzwischen Garantien an.

Die Hacker gewinnen immer wieder, also gibt es einen Boom auf dem Markt für Versicherungen gegen die Folgen ihrer Angriffe. Zunehmend finden sich Unternehmen mit der Tatsache ab, dass sie digitale Einbrüche auch dann erleben werden, wenn sie viel Geld für deren Abwehr ausgeben, also suchen sie nach Möglichkeiten, zumindest die Schäden durch solche Zwischenfälle zu verringern. Allerdings ist es schwierig, den richtigen Preis für derartige Risiken zu bestimmen. Das schafft Chancen für IT-Sicherheitsanbieter, die so sehr auf ihre Produkte vertrauen, dass sie bereit sind, Garantien dafür auszusprechen.

Laut einer aktuellen Prognose [1] von PricewaterhouseCoopers werden Unternehmen im Jahr 2020 insgesamt 7,5 Milliarden Dollar für Cyber-Versicherungen ausgeben. Dieses starke Wachstum lässt erkennen, wie verbreitet Internet-Kriminalität inzwischen ist – und dass die meisten Anbieter von Sicherheitsprodukten nicht haften, wenn etwas schiefgeht.

Laut Jeremiah Grossmann, oberster Sicherheitsstratege bei SentinelOne, einem Anbieter von Anti-Malware-Produkten, könnte sich das bald ändern. Um die eigenen finanziellen Interessen mit denen seiner Kunden in Einklang zu bringen, bietet das Unternehmen bereits eine Garantie [2] an: Wenn ein Kunde einem Ransomware-Angriff zum Opfer fällt, bei dem Hacker in ein System einbrechen, Daten verschlüsseln und für die Freigabe ein Lösegeld verlangen, bekommt er von SentinelOne bis zu 1 Million Dollar. Ähnlich versprechen inzwischen auch andere Start-ups im Bereich Cybersicherheit sowie große Anbieter wie Symantec und McAfee, dass sie zahlen, wenn ihre Produkte oder Dienstleistungen versagen.

Das Garantieprogramm von SentinelOne gibt es seit zehn Monaten. Es hat dem Unternehmen schon Vorteile gegenüber der Konkurrenz verschafft, sagt Grossman.

Steve Durbin, Geschäftsführer des nicht gewinnorientierten Information Security Forum [3], in dem Empfehlungen für den bestmöglichen Umgang mit IT-Risiken entwickelt werden, ist eher skeptisch: Ob Cybersicherheit-Garantien auf Dauer mehr sein werden als ein Marketing-Extra, müsse sich erst noch zeigen, sagt er. Allerdings hätten manche Anbieter bereits wertvolle Informationen gesammelt, weil sie die Leistung ihrer Produkte über mehrere Jahre beobachten konnten. Dadurch seien sie potenziell gut dafür aufgestellt, „einen Teil der Lücke zu schließen“, die es auf dem Versicherungsmarkt gibt.

Bei der Bewertung von Cyber-Risiken haben Sicherheitsanbieter bessere Voraussetzungen als traditionelle Versicherungen. Denn sie verfügen über wichtige Daten, die nur durch die Analyse realer Sicherheitsvorfälle aus der Vergangenheit gewonnen werden können. Traditionelle Versicherungen dagegen beginnen gerade erst damit, die vollständigen Risiken von Geschäftsbetrieb im Internet einzuschätzen.

Dies ist Teil der Erklärung dafür, warum sich manche Versicherungen wie zum Beispiel AIG [4] hinter die neuen Garantie-Programme stellen. Einen Kommentar für diesen Artikel wollte AIG jedoch nicht abgeben.

Grossmans Unternehmen verfügt über eigene Daten über das Risiko, dass seine Systeme eine Ransomware-Attacke übersehen könnten. Diese Zahlen haben dabei geholfen, einen etablierten Haftpflichtversicherer dazu zu bringen, die Garantie abzusichern (welcher das ist, wird wegen vertraglicher Regelungen nicht verraten).

Viele der zuletzt vorgefallenen Cyber-Einbrüche hätten sich verhindern lassen können, wenn die Unternehmen ihre Systeme richtig gepatcht hätten. Der in diesem Mai gestartete Ransomware-Angriff WannaCry zum Beispiel macht sich alte, nicht aktualisierte Betriebssysteme von Microsoft zunutze. Kunden, die von einer der neuen Garantien Gebrauch machen wollen, erhalten nur dann eine Zahlung, wenn sie auf angemessene Sicherheitspraktiken achten.

AsTech Consulting [5] ist ein Dienstleister, der den Quellcode von Unternehmen analysiert, mögliche Schwächen zusammen mit dem Kunden beseitigt und seine Mitarbeiter darin schult, keine neuen Anfälligkeiten zu schaffen. Seit kurzem bietet auch er eine Garantie [6] an: Kunden, die trotzdem Opfer eines Einbruchs werden, werden mit bis zu 1 Million Dollar entschädigt.

Nach Angaben von AsTech haben die vergangenen 20 Jahre gezeigt, dass die IT-Risiken von Unternehmen „messbar abnehmen“, wenn sie den Prozess von Analyse und Absicherung durchlaufen. Für Versicherungen sei das attraktiv, denn solche Unternehmen würden ihre Risiken besser kennen und besser damit umgehen. „Das ist ein ziemlich guter Markt“, sagt Greg Reber, CEO von AsTech.


URL dieses Artikels:
https://www.heise.de/-3761532

Links in diesem Artikel:
[1] http://www.pwc.com/gx/en/insurance/publications/assets/reaping-dividends-cyber-resilience.pdf
[2] https://sentinelone.com/wp-content/uploads/2016/07/Brochure-Ransomware-Vertical-Online.pdf
[3] https://www.securityforum.org/
[4] https://www.armor.com/cyber-warranty/
[5] https://www.astechconsulting.com/
[6] https://www.astechconsulting.com/application-assessment?hsCtaTracking=6d7da378-1382-443e-bc96-f2d20c1a6277%7C89b00599-249d-477f-af48-e50d9f0a181e