Als Antwort auf die deutliche Schadenzunahme formulieren Versicherer inzwischen konkrete Vorgaben an die Cybersecurity. Diese müssen Unternehmen zwingend erfüllen, wenn sie eine seriöse Cyberpolice abschliessen wollen. Die wesentlichen Anforderungen an Unternehmen finden sich in untenstehender Box.
Cybersecurity-Anforderungen für den Versicherungsschutz
Versicherer stellen an ihre Kunden konkrete Vorgaben bezüglich Cybersecurity – unter anderem folgende:
1. Transparenz über alle Assets (vor allem IT-Systeme und verarbeitete Daten)
2. Multi-Faktor-Authentifizierung für jeglichen Fernzugriff (z.B. aus dem Homeoffice) auf IT-Systeme sowie für System- und Domain-Administratoren
3. Starke Passwörter (Länge- und Komplexitätsanforderungen)
4. Mindestens jährliche Sensibilisierung der Mitarbeitenden auf Informationssicherheit und Cyberrisiken, kombiniert mit einem simulierten Phishing-Angriff
5. Strikte Netzwerksegmentierung von Operational Technology und/oder Legacy Systemen, Standorten (geografisch), Organisationseinheiten (z.B. Verwaltung und Produktion) und Netzwerkkomponenten (z.B. Drahtlosnetzwerke)
6. Kontinuierliches und reaktionsfähiges Patchmanagement (Installation kritischer Patches muss innerhalb von 72 Stunden gewährleistet werden)
7. Solide Backup-Strategie zumindest nach der 3-2-1-Regel sowie einem offline oder stand-alone Cloud-Backup (für Ransomware-Vorfälle)
8. Dokumentierter und jährlich geübter Disaster Recovery Plan (inklusive Backup-Recoveries)
9. Für grosse und international ausgerichtete Unternehmen: Einheitliche Cybersecurity-Standards bei allen Tochtergesellschaften
Versicherer stellen an ihre Kunden konkrete Vorgaben bezüglich Cybersecurity – unter anderem folgende:
1. Transparenz über alle Assets (vor allem IT-Systeme und verarbeitete Daten)
2. Multi-Faktor-Authentifizierung für jeglichen Fernzugriff (z.B. aus dem Homeoffice) auf IT-Systeme sowie für System- und Domain-Administratoren
3. Starke Passwörter (Länge- und Komplexitätsanforderungen)
4. Mindestens jährliche Sensibilisierung der Mitarbeitenden auf Informationssicherheit und Cyberrisiken, kombiniert mit einem simulierten Phishing-Angriff
5. Strikte Netzwerksegmentierung von Operational Technology und/oder Legacy Systemen, Standorten (geografisch), Organisationseinheiten (z.B. Verwaltung und Produktion) und Netzwerkkomponenten (z.B. Drahtlosnetzwerke)
6. Kontinuierliches und reaktionsfähiges Patchmanagement (Installation kritischer Patches muss innerhalb von 72 Stunden gewährleistet werden)
7. Solide Backup-Strategie zumindest nach der 3-2-1-Regel sowie einem offline oder stand-alone Cloud-Backup (für Ransomware-Vorfälle)
8. Dokumentierter und jährlich geübter Disaster Recovery Plan (inklusive Backup-Recoveries)
9. Für grosse und international ausgerichtete Unternehmen: Einheitliche Cybersecurity-Standards bei allen Tochtergesellschaften