Cybersecurity-Versicherung und Risikominimierung in der Cloud

September 09, 2020 Sicherheit und Compliance, MOVEit

Es gibt viele Missverständnisse in Bezug auf die Cloud und die Haftung. Unternehmen gehen häufig davon aus, dass Risiken übertragen werden, wenn Daten an Dritte übertragen werden.

Dies könnte eine naive und kostspielige Annahme sein, sagt die Expertin Lauri Floresca. Während wir beim Speichern und Verarbeiten von Daten mehr denn je auf Cloud Computing angewiesen sind, verfügen nur sehr wenige Unternehmen über eine Cyber-Haftpflichtversicherung.

Es ist ein Fehler, der mehr als Geld kosten könnte, sagt Lauri Floresca, Cyber-Haftungsexperte und Senior Vice President bei Woodruff Sawyer in Kalifornien. Sie hat mit Unternehmen jeder Größe zusammengearbeitet, einschließlich NASDAQ 100- und Fortune 500-Unternehmen, und Cyber-Haftpflicht- und Direktoren- und leitende Angestellte (D & O) eingerichtet, eine Haftung, die oft übersehen werden kann.

„Immer mehr Unternehmen verwenden Dienste wie AWS, Microsoft Azure oder Google, um Daten zu speichern und zu verarbeiten, und viele haben ihr gesamtes Netzwerk auf einen Cloud-Anbieter migriert. Hinzu kommen alle SaaS-Unternehmen (Software as a Service), die Unternehmen gehostete Dienste anbieten. Ein einzelnes Unternehmen kann Dutzende von Cloud-Beziehungen in seinem Unternehmensnetzwerk haben, wodurch weniger klar wird, wer verantwortlich ist, wenn etwas ausfällt “, sagt sie.

Wer ist für die Cloud-Sicherheit verantwortlich?

Die Feststellung der Haftung ist eine Herausforderung, da die Verantwortung zwischen dem Cloud-Anbieter und dem Kunden geteilt wird.

Die Folgen einer Cyber-Verletzung gehen häufig über die kompromittierten Daten hinaus und umfassen finanzielle und Kundenvertrauensverluste, Reputationsschäden und sogar rechtliche Schritte gegen die Direktoren des Unternehmens. Daher ist es für Unternehmen sinnvoll, Haftpflichtversicherungen zu einer Priorität zu machen.

Laut Floresca verbessern Unternehmen häufig ihre Sicherheit, indem sie in die Cloud wechseln, da große Anbieter über die erforderlichen Ressourcen verfügen, um zu investieren und Sicherheit zu einer Priorität zu machen, wie dies kleinere Unternehmen nicht können, und „für eine große Anzahl von Angriffsmethoden sichtbar sind. So können sie Bedrohungen erkennen und schneller reagieren.“

Aus Kundensicht ist die gute Nachricht, dass die meisten Versicherer erkennen und verstehen, was die Cloud ausmacht.

„Die meisten Cyber-Versicherungspolicen definieren ein "Computersystem", das Netzwerke von Drittanbietern umfasst, mit denen Sie einen Vertrag zur Unterstützung Ihres Unternehmens abgeschlossen haben. Wenn also ein Verstoß auftritt, reagiert die Richtlinie unabhängig davon, wo die Daten zum Zeitpunkt des Verstoßes gespeichert wurden. Aber es gibt immer noch Fragen, wessen Verantwortung es ist“, sagt sie.

„Es gibt viele Missverständnisse rund um die Cloud und die Haftung. Viele Unternehmen gehen davon aus, dass sie ihr Risiko übertragen haben, wenn ihre Daten in Händen Dritter sind. Die Realität ist, dass Unternehmen in den meisten Fällen den Service ausgelagert haben, aber das Risiko beibehalten haben. In Bezug auf die Haftung bei Cloud-Anbietern gibt es nur sehr wenig Schutz.“

Sie erklärt, dass es wichtig ist zu verstehen, dass bei einem Cyber-Verstoß mit Cloud Computing die Verpflichtung rechtlich bei dem Unternehmen liegt, das die Daten hostet, dem so genannten Dateneigentümer. Eine bemerkenswerte Ausnahme besteht jedoch in der Gesundheitsbranche, da Unternehmen, die diese Branche unterstützen, nach dem Gesetz über die Portabilität und Rechenschaftspflicht von Krankenversicherungen (HIPAA) als „Geschäftspartner“ gelten und dieselben Verpflichtungen zum Schutz von Daten erfüllen müssen wie das Unternehmen mit der ursprünglichen Patientenbeziehung.

„Aber auch in diesem Fall überträgt sich die Haftung nicht - sie erweitert sich nur", fügt sie hinzu.

„Cloud-Anbieter haben ihre Haftung im Allgemeinen auf 0 US-Dollar oder einen Betrag begrenzt, der einem Jahr an ihnen gezahlter Gebühren entspricht. Und da die Schäden im Allgemeinen auf direkte Kosten beschränkt sind, würden sie nicht alle Aspekte eines Verstoßes abdecken, wie z. B. die Kosten für die Reaktion auf Aufsichtsbehörden oder die Bearbeitung von Kundenklagen.“

Die richtige Cyber-Versicherungspolice finden

Wenn Sie eine gut ausgearbeitete Cyber-Versicherungspolice abschließen, sind Sie für Haftpflichtkosten und -kosten Dritter im Zusammenhang mit der Behandlung des Verstoßes versichert. Aber Lauri warnt davor, dass das manchmal nicht ausreicht.

„Selbst wenn Sie eine eigene Cyber-Versicherung haben, ist es eine gute Idee, vom Cloud-Dienstanbieter eine Cyber-Abdeckung zu verlangen, um einen Verlust zu finanzieren." Sie sind möglicherweise eher bereit, Sie zu entschädigen, wenn die Kosten nicht aus ihrer Tasche kommen, und ihr Beitrag kann dazu beitragen, Ihren Selbstbehalt zu finanzieren oder überschüssige Kosten zu zahlen, wenn Ihre Cyber-Versicherungslimits nicht ausreichen. Dies können und sollten Sie mit Ihrem Cloud-Anbieter verhandeln, bevor Sie Kunde werden, und es ist zu einer Standardanfrage geworden. “

In jüngerer Zeit erweitern die Versicherer auch die Abdeckung von Betriebsunterbrechungen im Falle eines Ausfalls eines Cloud-Anbieters. Lauri schlägt vor, dass Sie, wenn dies ein echtes Risiko für Sie ist, im Rahmen einer von Ihnen in Betracht gezogenen Cyber-Richtlinie gezielt nach "Kontingenten Betriebsunterbrechungen" suchen.

Die Sichtweise eines Cloud-Anbieters

Aus Sicht des Cloud-Anbieters handelt es sich bei einer Datenverletzungsklage tatsächlich um eine Fehler- und Unterlassungsklage, und Lauri sagt, dass sie keine direkte Haftung gegenüber den Personen haben, deren Daten verletzt wurden. Ein Kunde kann jedoch geltend machen, dass er eine Dienstleistung nicht erbracht hat.

„Aus diesem Grund“, fügt sie hinzu, „werden Fehler- und Unterlassungsklagen und Cyber-Abdeckung im Allgemeinen in einer einzigen Richtlinie für Technologieunternehmen zusammengefasst. Ein Kunde kann beispielsweise sagen, dass es ihn Millionen von Dollar gekostet hat, seine Kunden über die Datenverletzung zu informieren, oder dass er aufgrund des Ausfalls des Anbieters sein Geschäft verloren hat.

„Obwohl der Vertrag eines Cloud-Anbieters die Haftung standardmäßig einschränkt, ist nicht klar, wie erfolgreich diese Verträge sein würden, wenn es Zeit ist, einen Anspruch zu bezahlen. „Wenn der Cloud-Anbieter wirklich fahrlässig ist, kann das Gericht entscheiden, dass Haftungsbeschränkungen für Verträge nicht gelten“, fügt sie hinzu.

Während Cyber-Bedrohungen weiter zunehmen und komplexer werden, ist es für Versicherer eine ständige Herausforderung, die Risikomanagemententscheidungen für Cloud-Kunden anzupassen und den Überblick zu behalten.

„Unter dem Strich", sagt Floresca, „ist es beim Speichern von Daten in der Cloud am besten, sicherzustellen, dass die Risiken genauso streng verwaltet werden, als ob Sie sie auf Ihren eigenen Systemen speichern würden."

Tipp: Schauen Sie sich unsere Lösungen zur  sicheren Dateiübertragung an.

Gwen Luscombe

I'm an Australian based freelance professional with more than 20 years of experience working as both an editor, journalist and media liason.