Versicherer rüsten sich gegen Cyberattacken

Die Versicherer in Deutschland verwalten etwa 450 Mio. Verträge mit persönlichen Daten aller Art, darunter Kontoverbindungen, Krankendaten, Schadenunterlagen oder auch klassische Betriebsgeheimnisse, und gehören damit zu den Kritischen Infrastrukturen. Dazu kommt, dass Versicherer ähnlich wie Banken im Zahlungsverkehr tätig sind, denn Millionen Menschen bekommen Beträge für verschiedene Leistungen ausbezahlt.

Ein Ausbleiben solcher Zahlungen, hervorgerufen beispielsweise durch eine Cyberattacke, könnte schlimmstenfalls Existenz bedrohliche Ausmaße annehmen – für den Kunden, der auf das Geld wartet, aber auch für den Versicherer, dessen Reputation enorm unter Druck geraten würde. Dabei fallen nicht pauschal alle Versicherer unter die Kritis-Verordnung, sondern nur solche ab einem bestimmten Schwellenwert, der sich an den Leistungs- oder Schadensfällen pro Jahr bemisst. Private Krankenversicherer fallen etwa ab zwei Millionen Leistungsfällen unter die Verordnung, die Lebens- und Schadenversicherer bereits ab 500.000 Fällen.

Da die Versicherungswirtschaft kein homogener Sektor ist, sondern sich dort eine Vielzahl an Unternehmen unterschiedlicher Größe und Ausrichtung wiederfinden, ist es umso wichtiger, dass alle denselben Zugang zu sicherheitsrelevanten Informationen erhalten.

Die Versicherungswirtschaft hat daher bereits 2010 ein Krisenreaktionszentrum für IT-Sicherheit der deutschen Versicherungswirtschaft (LKRZV) ins Leben gerufen, das vom Gesamtverband der Deutschen Versicherungswirtschaft e.V. (GDV) betrieben wird. Das Zentrum fungiert als Schnittstelle (Single Point of Contact) zwischen dem Bundesamt für Informationstechnik (BSI) und den Versicherern. Ziel ist es, über mögliche Bedrohungen unverzüglich zu informieren. Warnungen oder Erkenntnisse des BSI erreichen so die angebundenen Versicherer, während Informationen über Angriffe auf ein oder mehrere Unternehmen über das LKRVZ an das BSI gegebenenfalls anonymisiert übermittelt werden. Auch können hier Anfragen von IT-Sicherheitsbeauftragten im Zweifelsfall dahingehend geprüft werden, ob es sich um eine relevante Bedrohung für die Branche handelt. Die branchenweite Vernetzung in puncto Cybersicherheit fördert damit nicht nur das Vertrauen, sondern auch die Transparenz bei der internen Aufklärung von Vorfällen im Sektor. Nur durch die vertrauensvolle Zusammenarbeit zwischen den Versicherern und den staatlichen Stellen kann das Risiko von Angriffen auf die IT der Unternehmen minimiert werden und Strafverfolgungsbehörden, wenn nötig, aktiv ermitteln.

Das Aufdecken und Verhindern von Cyberangriffen ist nur ein Teil der erforderlichen Maßnahmen im Kampf gegen Cyberkriminalität. Ebenso wichtig ist die konsequente Strafverfolgung. Hierzu ist beispielsweise 2016 die Zentral- und Ansprechstelle Cybercrime Nordrhein-Westfalen (ZAC NRW) eingerichtet worden mit dem Ziel, betroffene Unternehmen im Krisenfall und bei der Erstattung von Anzeigen zu unterstützen. Nicht nur Versicherungsunternehmen sollten fest etablierte Prozesse und Verfahren für solche Fälle haben, damit etwa die Beweissicherung korrekt abläuft, rechtliche Zuständigkeit für Strafanzeigenerstattung geklärt und Verhaltens- und Kommunikationsrichtlinien für Mitarbeiter und Führungskräfte festgelegt sind.