{"id":20797,"date":"2024-07-10T12:11:15","date_gmt":"2024-07-10T12:11:15","guid":{"rendered":"https:\/\/cybercompare.com\/marktkommentar-5-nis-2-vorsicht-droege-und-abdeckung-von-cyberversicherungen\/"},"modified":"2024-10-31T14:32:38","modified_gmt":"2024-10-31T14:32:38","slug":"marktkommentar-5-nis-2-vorsicht-droege-und-abdeckung-von-cyberversicherungen","status":"publish","type":"post","link":"https:\/\/cybercompare.com\/de\/marktkommentar-5-nis-2-vorsicht-droege-und-abdeckung-von-cyberversicherungen\/","title":{"rendered":"Marktkommentar #5: NIS-2 (Vorsicht, dr\u00f6ge) und Abdeckung von Cyberversicherungen"},"content":{"rendered":"\t\t
\n\t\t\t\t
\n\t\t\t\t\t
\n\t\t
\n\t\t\t\t
\n\t\t\t\t
\n\t\t\t\t\t\t\t\t\t
\n
\n
\n
\n
Hallo zusammen,<\/div>\n
<\/div>\n<\/div>\n<\/div>\n<\/div>\n<\/div>\n
\n
\n
\n
\n
\n
\n

am 24.06. ist der NIS-2 Referentenentwurf<\/strong> aktualisiert worden. Bzgl. geforderter Ma\u00dfnahmen bei Unternehmen scheint sich nichts signifikant ge\u00e4ndert zu haben. Aber die Verantwortung bzw. Haftung der Gesch\u00e4ftsf\u00fchrung wurde betont (\u00a7 38): \u201eGesch\u00e4ftsleitungen besonders wichtiger Einrichtungen und wichtiger Einrichtungen sind verpflichtet, die von diesen Einrichtungen nach \u00a7 30 zu ergreifenden Risikomanagementma\u00dfnahmen im Bereich der Cybersicherheit zu billigen <\/del> umzusetzen und ihre Umsetzung zu \u00fcberwachen.\u201c <\/p>\n<\/p>\n

In der Begr\u00fcndung zum Gesetz ist mir beim erneuten \u00dcberfliegen aufgefallen:<\/p>\n

\u201eEs ist anzunehmen, dass selbst bei einer vollst\u00e4ndigen Umsetzung der von der NIS-2-Richtlinie vorgegebenen Sicherheitsstandards nicht alle Sch\u00e4den durch Cyberangriffe abgewehrt werden k\u00f6nnen.\u201c<\/p>\n

\u2192 Unstrittig, perfekte Sicherheit gibt es nicht.<\/p>\n

\u201eNimmt man jedoch an, dass durch die Umsetzung der vorliegenden Vorgaben die H\u00e4lfte des j\u00e4hrlich verursachten Schadens in den zur Umsetzung der NIS-2-Richtlinie verpflichteten Unternehmen abgewehrt werden kann, so ergibt sich pro Unternehmen ein abgewehrter Schaden von rund 250 000 Euro. Hochgerechnet auf die voraussichtlich gesch\u00e4tzte Anzahl betroffener Unternehmen bedeutet dies einen abgewehrten Gesamtschaden in H\u00f6he von ca. 3,6 Milliarden Euro (= 250 000 Euro * 14 500 Unternehmen) <\/strong> f\u00fcr die deutsche Wirtschaft.\u201c <\/p>\n

\u2192 Ob das realistisch ist? Es geht ja um wichtige Unternehmen \u2192 Und die fangen bei Security nicht bei Null an, sondern haben schon viele der NIS-2 Forderungen umgesetzt. Fortgeschrittene Ma\u00dfnahmen wie phishing-resistente Authentifizierung, XDR\/SIEM, NDR oder DLP werden bei NIS-2 ja nicht gefordert. O-Ton CISO eines Konzerns: \u201eWir m\u00fcssen noch ein Web-Training f\u00fcr F\u00fchrungskr\u00e4fte machen, sonst eigentlich nichts\u201c. <\/p>\n

\u2192 Aber jetzt kommt der Kracher: Die zus\u00e4tzlichen Ausgaben f\u00fcr die Wirtschaft, insbesondere f\u00fcr \u201eB\u00fcrokratiekosten aus Informationspflichten\u201c<\/strong>, werden auf 2,2 Mrd. EUR\/Jahr gesch\u00e4tzt. Dazu kommen noch Kostensteigerungen auf Bundes- und Verwaltungsebenen von 300-400 Mio. EUR\/a. Am Ende bleibt also selbst bei der o.g. aggressiven Annahme netto kaum ein wirtschaftlicher Benefit \u00fcbrig. Hoffentlich helfen uns die ausgeweiteten Meldepflichten. <\/p>\n<\/p>\n

Hier die Liste der bisher geforderten Ma\u00dfnahmen <\/strong> (habe noch keine konkreteren Formulierungen gefunden in den 200 Seiten \u2013 falls da jemand etwas Handfestes hat, immer gerne): \u201eMa\u00dfnahmen nach Absatz 1 sollen den Stand der Technik einhalten, die einschl\u00e4gigen europ\u00e4ischen und internationalen Normen ber\u00fccksichtigen und m\u00fcssen auf einem gefahren\u00fcbergreifenden Ansatz beruhen. Die Ma\u00dfnahmen m\u00fcssen zumindest Folgendes umfassen: <\/p>\n

    \n
  1. Konzepte in Bezug auf die Risikoanalyse und auf die Sicherheit in der Informationstechnik<\/li>\n
  2. Bew\u00e4ltigung von Sicherheitsvorf\u00e4llen<\/li>\n
  3. Aufrechterhaltung des Betriebs, wie Backup-Management und Wiederherstellung nach einem Notfall, und Krisenmanagement<\/li>\n
  4. Sicherheit der Lieferkette einschlie\u00dflich sicherheitsbezogener Aspekte der Beziehungen zwischen den einzelnen Einrichtungen und ihren unmittelbaren Anbietern oder Diensteanbietern (\u2026k\u00f6nnen auch die Durchf\u00fchrung von External Attack Surface (EAS) Scans beinhalten\u2026)<\/li>\n
  5. Sicherheitsma\u00dfnahmen bei Erwerb, Entwicklung und Wartung von informationstechnischen Systemen, Komponenten und Prozessen, einschlie\u00dflich Management und Offenlegung von Schwachstellen<\/li>\n
  6. Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementma\u00dfnahmen im Bereich der Sicherheit in der Informationstechnik<\/li>\n
  7. Grundlegende Verfahren im Bereich der Cyberhygiene und Schulungen im Bereich der Sicherheit in der Informationstechnik (\u2026Dies beinhaltet beispielsweise ein Patchmanagement, Regelungen f\u00fcr sichere Passw\u00f6rter, die Einschr\u00e4nkung von Zugriffskonten auf Administratorenebene, Netzwerksegmentierungen, sowie Backup- und Sicherungskonzepte f\u00fcr Daten\u2026 Als \u201eregelm\u00e4\u00dfig\u201c im Sinne dieser Vorschrift gelten Schulungen, die mindestens alle 3 Jahre angeboten werden\u2026).<\/li>\n
  8. Konzepte und Verfahren f\u00fcr den Einsatz von Kryptografie und Verschl\u00fcsselung<\/li>\n
  9. Sicherheit des Personals, Konzepte f\u00fcr die Zugriffskontrolle und f\u00fcr das Management von Anlagen<\/li>\n
  10. Verwendung von L\u00f6sungen zur Multi-Faktor-Authentifizierung oder kontinuierlichen Authentifizierung, gesicherte Sprach-, Video- und Textkommunikation sowie gegebenenfalls gesicherte Notfallkommunikationssysteme\u201c<\/li>\n<\/ol>\n

    Gut: Bei der Bewertung der Verh\u00e4ltnism\u00e4\u00dfigkeit <\/strong> der Ma\u00dfnahmen sind auch die Umsetzungskosten <\/strong> zu ber\u00fccksichtigen (z.B. \u00a730). Mal sehen, wie das in der Praxis durch die Auditoren gelebt wird. <\/p>\n<\/p>\n

    Sophos<\/strong> hat eine coole Umfrage <\/span> durchgef\u00fchrt – demzufolge sind in Deutschland bereits 94% aller Unternehmen mit mehr als 100 MA gegen Cyberrisiken versichert <\/strong> (in \u00d6sterreich und der Schweiz jeweils 85%). Dabei wurden nach meinem Verst\u00e4ndnis sogar nur klassische Policen betrachtet, d.h., keine \u201eBreach Warranties\u201c im Rahmen von MDR-Services. Das hei\u00dft ja wohl, dass wir bei Cyberversicherungen jetzt schon im reinen Verdr\u00e4ngungswettbewerb sind \u2013 h\u00e4tte ich intuitiv ganz anders eingesch\u00e4tzt. Im globalen Durchschnitt (leider gibt es dazu keine l\u00e4nderspezifischen Ergebnisse) haben die Versicherungen im Fall eines Angriffs ~63% des Schadens ersetzt. <\/strong> <\/p>\n

    Allerdings scheinen die Versicherer trotz inzwischen umfangreicher Frageb\u00f6gen und ca. 10 Jahren Schadenshistorie noch nicht so gut darin zu sein, Risiken zu selektieren: Die Quote von Ransomware-Angriffen mit erfolgreicher Verschl\u00fcsselung ist bei Unternehmen ohne Cyberversicherung niedriger<\/strong> als bei Unternehmen mit Cyberversicherung. Bei der Quote von Angriffen ohne erfolgreiche Verschl\u00fcsselung gibt es keine signifikanten Unterschiede. Sicher spielt eine Rolle, dass Angreifer bei Unternehmen mit Cyberversicherung (und entsprechender Deckung) eher davon ausgehen k\u00f6nnen, dass L\u00f6segeld bezahlt wird, und dann nach dem Initial Access mit mehr Motivation vorgehen? Wahrscheinlich sind die Pr\u00e4mien f\u00fcr Cyberpolicen mittlerweile auch so hoch, dass es sich f\u00fcr die Versicherer im Schnitt trotzdem rechnet. Und vielleicht sind die Zahlen auch nicht so belastbar \u2013 es ist nicht klar, ob die befragten Unternehmen erst nach dem erfolgten Angriff eine Versicherung abgeschlossen haben, oder schon davor. Vielleicht k\u00f6nnen wir da im Laufe der Zeit Tendenzen erkennen. <\/p>\n<\/p>\n

    Hier noch ein paar Notizen aus Anbietergespr\u00e4chen:<\/p>\n

    AttackIQ Flex:<\/strong><\/p>\n