Zero Trust senkt das Risikopotenzial mit Einfluss auf Cyberversicherungen

Advertorial

Es gibt zahlreiche Tools, mit denen Versicherungen die Policen und Tarife berechnen. Allerdings haben sich die Techniken zur Feststellung der Versicherbarkeit nicht weiterentwickelt. Hier tritt nun der Zero Trust-basierte Sicherheitsansatz an: Mit diesem Konzept lassen sich Risiken von Sicherheitsverletzungen verringern und daraus abgeleitet auch Cyberversicherungspolicen beeinflussen.

Spannungsfeld: Cyberrisiko und Policen

Schwachstellen in älteren Perimeter-Sicherheitsanwendungen wie VPNs und Firewalls dienen regelmäßig als erste Angriffspunkte für Ransomware-Akteure. Diese Technologien erlauben Angreifern die laterale Bewegung in der IT-Umgebung, bis sie zu wertvollen Daten vordringen können. Untersuchungen belegen, dass Unternehmen, die diese Geräte im Einsatz haben, bis zu zwölfmal häufiger Opfer von Sicherheitsverletzungen werden. Neben unzureichenden Patch-Praktiken und fehlender Multi-Faktor-Authentifizierung führen diese veralteten Architekturen zu einem Anstieg der Versicherungsprämien.

Als Antwort auf dieses sich wandelnde Umfeld ist eine vertrauenswürdige Cybersicherheitsarchitektur erforderlich, die Unternehmen schützt, den Versicherungsstandards entspricht und den Versicherern einen umfassenden Überblick über die Sicherheitslage eines Unternehmens bietet. Nur dann werden die Versicherer ihr Vertrauen in die Versicherungsfähigkeit von Unternehmen zurückgewinnen und die Prämien anpassen.

Die Realität der Versicherungsverhandlungen

Weltweit gibt es Hunderte Anbieter für Cyberversicherungen, die bis 2023 einen Marktwert von rund 32 Milliarden US-Dollar unter sich aufteilen. Dabei haben vorhandene Sicherheitstechnologien und die damit verbundene mögliche Risikomitigierung Einfluss auf die Prämiengestaltung.

Laut einer aktuellen Studie der Risikoberatung Marsh & McLennan haben bisher Patches und weitere Hardening-Methoden der Sicherheitsinfrastruktur Auswirkungen auf Cyberversicherungspolicen. Andere Faktoren wie VPNs, Firewalls und VDI fallen nicht ins Gewicht hinsichtlich der Cyberhygiene und erzielen bei weitem nicht die gleichen Ergebnisse bei der Policengestaltung.

Bei der Bewertung von Unternehmensrisiken folgen Versicherungen einer strengen Methodik. In der Regel umfasst diese wichtige Informationen wie Firmendaten, Schadensfälle, Outside-in (Scanning), Inside-out (Fragebögen) und eine Verlustmodellierung. Allerdings kommt es häufig vor, dass aktuelle Informationen hinsichtlich dieser Kriterien und Telemetriedaten nicht verfügbar sind.

Vorteile Dank Zero Trust

Mit Zero Trust tritt allerdings ein weiteres Technologierahmenwerk auf den Plan, das zur Risikominimierung beitragen kann und zeitgleich Versicherungen ein umfassenderes Verständnis der Risiken in Unternehmen ermöglicht. Untersuchungen haben ergeben, dass bis zu 31 Prozent der weltweit versicherten Cyberverluste (das entspricht 465 Milliarden US-Dollar pro Jahr) durch den Einsatz einer geeigneten Zero Trust-Architektur vermieden werden könnten.

Jede Zero Trust-Architektur trägt zur Prävention von Sicherheitsverletzungen und zum Schutz vor Ransomware bei und macht dadurch das Konzept für Versicherungen interessant. Dieser kombinierte Ansatz schafft das wichtige Gleichgewicht zwischen einer reduzierten Angriffsfläche und einer Minimierung der Gefahr einer lateralen Ausbreitung. Zero Trust trägt außerdem dazu bei, eine widerstandsfähigere IT-Architektur zu schaffen und stellt sicher, dass die von Malware-Akteuren aufgespürten Informationen nicht unbemerkt exfiltriert werden können.

Von entscheidender Bedeutung ist es, dass eine Zero Trust-Plattform Einblick in die Sicherheitslage gewährt und zusätzlich Cyberrisiken quantifizierbar werden. Durch die Bereitstellung einer umfassenden Inside-out Risikoanalyse verschafft ein solches Sicherheitsmodell Versicherungen einen weitaus besseren Überblick über ein Unternehmen und dessen Risiken, was zu günstigeren Prämien führen kann.

Hinzu kommt, dass eine Zero Trust-Sicherheitsplattform Unternehmen nicht nur vor der sich ständig weiterentwickelnden Bedrohungslandschaft schützt, sondern auch Zeit spart. Die meisten Unternehmen benötigen drei bis sechs Monate, um sich auf die Verlängerung ihrer Cyberversicherung vorzubereiten. Durch die Bereitstellung einer nahezu sofortigen Sicht auf die Unternehmensinfrastruktur spart die Zero Trust-Architektur Zeit in der Bereitstellung der benötigten Informationen.

Eine Zero-Trust-basierte Zukunft

Die Integration eines Zero Trust-Ansatzes stellt einen Prozess dar, den kein Unternehmen über Nacht bewältigen kann. Wichtig ist daher, dass Unternehmen eine angemessene Cybersicherheitshygiene aufrechterhalten und gleichzeitig die Sicherheitslage durch die Einführung von Zero Trust verbessern.

Die Cyberversicherungsbranche durchläuft derzeit einen enormen Wandel. Erhöhte Risiken aufgrund zunehmender geopolitischer Spannungen, die rasche Einführung von KI und polymorphe Angriffe wirken sich auf Schadensfälle und Verluste der Versicherer aus. Cybersicherheitsverantwortliche haben allerdings die Möglichkeit, den Vorstand über ihre ganzheitliche Strategie für Investitionen in Cybersicherheit zu informieren, die Risikominderung, -transfer und -akzeptanz beinhaltet.

Durch die Umstellung auf Zero Trust und die Nutzung der Cyber-Risikoquantifizierung von Sicherheitsplattformen können Nachweise erbracht werden, die sich positive auf Cyber-Versicherungsanträge und -Verlängerungen auswirken und oft zu günstigeren Policen führen.

Autor: Stephen Singh, Vice President, M&A/Divesture & Cyber Risk bei Zscaler

Kontakt:

Zscaler Germany GmbH
Herzogspitalstraße 24
80331 München
https://www.zscaler.com/de