Die von einem Update einer Sicherheitssoftware ausgelösten Störungen beschäftigen auch die Versicherer, die im Geschäft mit Cyberrisiken tätig sind. Gemäss Moody's macht sich nun die fehlende Standardisierung am Markt negativ bemerkbar.
Die Panne mit dem Update des Sicherheitssoftware-Unternehmens Crowdstrike (das zumindest den Lesern von finews.asia nicht ganz unbekannt ist), die am Freitagabend publik wurde, hat übers Wochenende Stoff für viele Schlagzeilen geliefert.
Ausgerechnet ein Unternehmen, das in der Cybersecurity tätig ist (im Bereich der sogenannten Endpoint Detection and Response, EDR) wurde zum Urheber von massiven Störungen weltweit, die Ähnlichkeiten mit dem Schaden aufweisen, den erfolgreiche Cyberattacken anrichten.
Bisher wenig beachteter Aspekt
Weltweit waren Flughäfen (auch der Flugbetrieb in Zürich), Spitäler, Banken und andere Einrichtungen betroffen. Ein bisher eher weniger beachteter Aspekt wird in einem Kommentar von Moody's Insurance Solutions thematisiert, dem auf die Versicherungsindustrie spezialisierten Zweig der Ratingagentur.
Darin wird zuerst der Hergang des Vorfalls geschildert, in einer auch für Laien verständlichen Sprache. Crowdstrike bemühe sich, Bedrohungen immer einen Schritt voraus zu sein und verfolge daher einen proaktiven Ansatz mit automatischen Updates – und nun hat ausgerechnet ein solches Update zum Desaster geführt.
Und anders als bei einer Cyber-Attacke wurde der Anbieter in den Netzwerken der betroffenen Unternehmen als vertrauenswürdig eingestuft, das heisst, die entsprechenden Schutz- und Abwehrmassnahmen wurden erst gar nicht aktiviert – was ja auch sinnvoll ist, damit die Updates reibungslos implementiert werden können.
EDR-Lösung als Bedingung für Cyber-Versicherungsschutz
Es sei wichtig, die Abhängigkeit der Unternehmen von den betroffenen Diensten und ihre Geschäftsmodelle zu prüfen, die gegen Ausfälle resistent sein können oder auch nicht, mahnt Moody Insurance Solutions, um sich dann dem Thema Cyber-Versicherungen (ein Geschäftsfeld neueren Datums, das die meisten etablierten Gesellschaften beackern) zu widmen.
Da solche Versicherer häufig EDR-Lösungen als Voraussetzungen für den Abschluss einer Police verlangten, sei es wahrscheinlicher, dass Unternehmen, die mit Crowdstrike auf einen etablierten Anbieter in diesem Bereich gesetzt hätten, auch über Cyber-Versicherungspolicen verfügten.
Zwar lasse sich derzeit noch nicht konkret sagen, in welchen Fällen der Versicherungsschutz zum Tragen komme und entsprechend auch wie hoch der Schaden sein werde. Doch das Ausmass der potenziellen Verluste zeige, wie wichtig es sei, Cyberrisiken zu verstehen und zu managen.
Überforderte Teams bei Versicherungen?
Angesichts des Ausmasses der Störung könnten die Versicherer bald feststellen müssen, dass ihre Teams für die Schadenaufnahme und -bearbeitung überlastet seien, warnt Moody's.
Die Versicherungsbedingungen seien immer noch sehr unterschiedlich, und obschon sich der Markt für Cyber-Versicherungen weiterentwickelt habe, gebe es keine Standardisierung der Konditionen. Die Versicherer würden damit beginnen müssen, die Police jedes Kunden einzeln zu prüfen, um ihr eigenes Exposure zu ermitteln.
Saubere Dokumentationen
Ein klares Verständnis und eine saubere Dokumentation von Cyber-Versicherungspolicen seien unerlässlich, um bestimmen zu können, welcher Schaden bei solchen Vorfällen auch tätsächlich abgedeckt sei, gibt Moody's der Branche mit auf den Weg.