Warum Versicherer MFA für Cyber-Versicherungen verlangen

Die Voraussetzungen für den Abschluss einer Cyber-Versicherung und die Bedeutung von MFA

Versicherer verlangen immer häufiger eine Multi-Faktor-Authentifizierung (MFA) für den Abschluss einer Cyber-Versicherung. Cyber-Versicherungen gibt es bereits seit den 1990er Jahren. Doch der Markt wächst und verändert sich ständig, um der Fülle neuer Datenschutzbestimmungen und der wachsenden Zahl von Cyber-Bedrohungen gerecht zu werden. Laut dem Nachrichtendienst Bloomberg zahlte der US-Versicherer CNA Financial Corp. im März 2021 mit 40 Millionen Dollar die größte bisher bekannt gewordene Summe für einen Schaden durch Ransomware.

In den letzten zwei Jahren haben Cyber-Angriffe mit Phishing und Ransomware deutlich zugenommen. Den Cyber-Versicherern ist bewusst, dass potenziell alle Unternehmen ganz unabhängig von ihrer Größe ein Ziel für Cyberkriminelle sind. So gesehen, ist es keine Frage, ob Ihr Unternehmen ins Visier dieser Kriminellen gerät, sondern wann. Angesichts der wachsenden Bedrohung müssen Versicherer ihr eigenes Risiko begrenzen und die Schadenskosten möglichst gering halten. Folglich setzen die Gesellschaften die Implementierung einer MFA-Lösung für den Abschluss einer Cyber-Versicherung voraus.

Die Fachleute der Online-Publikation Cybersecurity Ventures prognostizieren einen jährlich weltweiten Anstieg der Schäden durch Cyberkriminalität in den nächsten fünf Jahren um 15 Prozent auf 10,5 Billionen US-Dollar und bis 2025 – verglichen mit 3 Billionen US-Dollar im Jahr 2015.

Was deckt eine Cyber-Versicherung ab?

Cyber-Versicherungen schützen die informationstechnische Infrastruktur von Unternehmen vor Risiken, die von herkömmlichen gewerblichen Versicherungspolicen üblicherweise ausgeschlossen sind. Abgedeckt sind in der Regel Datenpannen, Erpressung durch Ransomware, Diebstahl, Hacker-Angriffe und Denial-of-Service-Angriffe. Die Policen decken beispielsweise die Kosten für die Aufklärung von Cyberdelikten, die Wiederherstellung gestohlener Daten oder das Reputationsmanagement ab. Auch Schadensersatzansprüche Dritter (beispielsweise nach DSGVO) sowie die Kosten für die Abwehr von Ansprüchen infolge einer Datenpanne können abgedeckt werden.

Warum schreiben Versicherer für den Abschluss einer Cyber-Versicherung eine MFA-Lösung vor?

Cyber-Versicherungen schützen Unternehmen, die elektronische Daten versenden oder speichern, vor den finanziellen Folgen einer Datenpanne. Doch eine „Cyber-Versicherung löst keine Probleme mit der Cybersicherheit und kann weder eine Datenpanne noch einen Angriff verhindern“ (UK NCSC).  So wie von jedem Hauseigentümer erwartet wird, dass er für hinreichende Sicherheitsvorkehrungen sorgt, erwarten Cyber-Versicherer von Unternehmen gewisse Sicherheitsvorkehrungen, die das potenzielle Risiko von Bedrohungen verringern. Angesichts der zuletzt zunehmenden Zahl von Phishing- und Ransomware-Angriffen und der steigenden Kosten der Schadensregulierung verlangen Cyber-Versicherer die Implementierung einer MFA-Lösung (Multi-Faktor-Authentifizierung) als Voraussetzung für den Abschluss einer Cyber-Versicherung.

„Durch Einziehen einer zusätzlichen Barriere und Sicherheitsebene, die für Angreifer extrem schwer zu überwinden ist, kann MFA über 99,9 Prozent der Angriffe auf Konten abwehren. Dank MFA genügt es nicht mehr, das Kennwort zu kennen oder abzugreifen, um Zugang zu erhalten.“  Microsoft

Was versteht man unter MFA?

Mit einer „Authentifizierung“ lässt sich überprüfen, ob ein Benutzer derjenige ist, für den er sich ausgibt. Üblicherweise wird die Identität eines Benutzers durch Abfrage seines Benutzernamens und des zugehörigen Kennworts überprüft.

Die Verwendung von Kennwörtern zur Identifizierung ist problematisch, da sie gestohlen, erraten oder ausgespäht werden können, womit sie in die Hände von Cyberkriminellen geraten können. Sofern nur die Kombination aus Benutzername und Kennwort für den Zugangsschutz verwendet wird, können sich Kriminelle, die im Besitz des Kennworts sind, in kurzer Zeit Zugriff auf Geschäftsanwendungen und Dienste verschaffen. Die Multi-Faktor-Authentifizierung (MFA) sieht neben dem Kennwort weitere Sicherheitsebenen zum Schutz des Zugriffs auf Systeme und Daten vor.

Wie ist die MFA aufgebaut?

Die Multi-Faktor-Authentifizierung umfasst in der Regel mindestens zwei der folgenden Faktoren, die für den Zugang zu den geschützten Ressourcen erforderlich sind:
Faktor 1 –  Etwas, das nur Sie wissen (Kennwort/PIN/Sicherheitsfrage)
Faktor 2 –  Etwas, das Sie besitzen (Hardware-Token/einmaliger Authentifizierungscode/SMS)
Faktor 3 –  Ein physisches Merkmal, das Ihnen zu eigen ist (biometrische Daten: Fingerabdruck/Regenbogenhaut des Auges (Iris)/Stimme/Gesicht)
Faktor 4 –  Ein Standort, der Ihnen zugeordnet ist (Zuhause/Büro)

Zur Identifizierung können die biometrischen Daten eines Benutzers zusätzlich zu den ersten beiden Faktoren herangezogen werden. Der aktuelle Standort des Benutzers kann dazu verwendet werden, seinen Zugang zu Ressourcen zu steuern.

Laut Google kann selbst die schwächste Form der Zwei-Faktor-Authentifizierung – nämlich die Zwei-Schritt-Verifizierung per SMS – 100 % aller automatisierten Angriffe, 96 % der Bulk-Phishing-Angriffe und rund 76 % der gezielten Angriffe stoppen.

Erfahren Sie mehr über:

Was ist 2FA?

Was spricht für 2FA oder MFA?

Welche Ressourcen müssen für den Abschluss einer Cyber-Versicherung mit MFA geschützt sein?

Viele Cyber-Versicherungen verlangen die Implementierung einer MFA-Lösung für folgende Ressourcen:

• MFA für Remote-Netzwerke. Das verringert das Risiko von Datendiebstählen im Netzwerk wegen kompromittierter Kennwörter. Wegen der starken Nutzung von Home-Office-Arbeitsplätzen aufgrund der Corona-Pandemie hat insbesondere dieser Aspekt an Bedeutung gewonnen. Versicherer achten beispielsweise darauf, dass die Cloud-Zugänge geschützt sind.
• MFA für den Administratorzugang. Da IT- Administratoren sozusagen den Schlüssel zum Unternehmen in der Hand halten, ist dieser Aspekt besonders wichtig. MFA für den Administratorzugang beschränkt die Möglichkeiten eines Angreifers, auf ein kompromittiertes Netzwerk zuzugreifen.
• MFA für den Fernzugriff auf E-Mails. E-Mails enthalten eine Fülle von Daten und werden in der gesamten Organisation ausgetauscht. Daher ist es unerlässlich, diesen Zugriff zu schützen.

MFA ist unabdingbar – mit oder ohne Cyber-Versicherung

Die Statistiken über Cyberangriffe sprechen für sich: Die Kosten von Cyberangriffen auf Unternehmen steigen, die Angriffe häufen sich (auch auf kleinere Unternehmen) und Plattformen wie Ransomware-as-a-Service machen es Cyberkriminellen immer leichter Angriffe durchzuführen. Die wachsende Zahl der Cyberangriffe und Datenpannen kann nicht nur zur Unterbrechung der Geschäftstätigkeit führen, sondern Bußgelder der Aufsichtsbehörden und den Verlust von Kunden nach sich ziehen. Selbst dann, wenn Ihre Cyber-Versicherung den Schutz mit MFA nicht zwingend vorschreibt, bleibt es unabdingbar, dass Sie Ihre Daten und Ihr Unternehmen mit einer Multi-Faktor-Authentifizierung schützen.

MFA-Video >

Fallstudien >

Category: Industry Research

2FA / Data Control / Financial / MFA

Adam Bruce, CRO, SecurEnvoy

Adam’s career spans over twenty years, starting with a technical specialisation in Networking and Security. This start provided a sound technical understanding of Cyber Security and gave the foundation for twenty years in commercial sales. Adam’s experience includes over seven years operating within a high-profile Cyber Security VAR, working with household names across a wide range of sectors. Adam joined SecurEnvoy in 2005, as the first sales hire, with a hand in both End User Sales and Channel Development. The fifteen year SecurEnvoy journey has resulted in Adam successfully building out and leading the commercial operations and strategy. He has risen through many roles within the business at SecurEnvoy, culminating as Chief Revenue Officer.