Mitarbeiter von US-Gerichten müssen auf Dutzende von Systemen und Anwendungen zugreifen, um ihre Aufgaben zu erfüllen. Diese Mitarbeiter können auch Zugriff auf personenbezogene Daten (PII) haben,
Cyberbedrohungen und Ransomware-Angriffe können für Einrichtungen im öffentlichen Sektor lähmend sein. Die Kosten für Ransomware-Angriffe in Behörden belaufen sich oft auf Millionen von Dollar, die meist durch Ausfallzeiten und Wiederherstellung (oder in einigen Fällen auch Zahlung von Lösegeld) entstehen. Eine Studie von Sophos aus dem Jahr 2023 mit dem Titel „State of Ransomware“ zeigt, dass der K-12-Bildungssektor 2023 die höchste Ransomware-Angriffsrate aller Branchen verzeichnete. 80 % der Schulen meldeten mindestens einen Ransomware-Angriff. Lokale und bundesstaatliche Behörden liegen nicht weit dahinter. 69 % meldeten einen mindestens Ransomware-Angriff.
Bundesstaatliche und lokale Behörden benötigen Cyberversicherungen, um die finanziellen Risiken im Zusammenhang mit Cyberangriffen und Datenschutzverletzungen zu begrenzen. Cyberversicherungen, auch bekannt als Cybersicherheitsversicherungen oder Cyberhaftpflichtversicherungen, sind eine Art Versicherungsschutz, der Unternehmen vor finanziellen Verlusten und Verbindlichkeiten durch Cyberangriffe und Datenverletzungen schützt.
Was deckt eine Cyberversicherung ab?
Cyberversicherungen helfen bundesstaatlichen und lokalen Behörden dabei, Verluste durch Cyberangriffe zu tragen. Policen variieren zwar je nach Bundesstaat und Versicherungsanbieter, doch deckt eine Police in der Regel die Kosten für Datendiebstahl, Verluste durch Betriebsunterbrechungen, Ausgaben für Datenwiederherstellung und Ransomware-Zahlungen ab.
Cyberversicherungspolicen decken im Allgemeinen keine Sachschäden, geistiges Eigentum, bekannte Schwachstellen, betrügerische oder kriminelle Handlungen von Mitarbeitern oder Insidern, Geldbußen und Strafen oder Naturereignisse ab.
Welche Arten von Cyberversicherung gibt es?
Es gibt zwei Arten von Cyberhaftpflichtversicherungen, die Unternehmen dabei helfen, auf Datenverletzungen zu reagieren und sich davon zu erholen:
- Bei der First-Party-Cyberhaftpflichtversicherung bezahlt der Versicherer die Ausgaben des Unternehmens, die aufgrund einer Sicherheitsverletzung direkt angefallen sind. First-Party-Schutz hilft Behörden, sich von einem Cybervorfall schnell zu erholen, indem finanzielle Unterstützung für Sofort- und Wiederherstellungsmaßnahmen gewährt wird.
- Eine Third-Party-Cyberhaftpflichtversicherung deckt Schäden oder Vergleiche ab, die das Unternehmen aufgrund von Klagen oder Ansprüchen zahlen muss, die sich aus den Handlungen oder dem Unterlassen von Handlungen des Unternehmens ergeben. Eine Third-Party-Police schützt Behörden vor finanzieller Haftung, die sich aus Gerichtsverfahren, regulatorischen Maßnahmen oder anderen Ansprüchen von Personen oder Einheiten, die von einem Datenleck oder Cybervorfall betroffen sind, ergeben kann.
Gängige Underwriting-Kriterien
Versicherungsanbieter evaluieren verschiedene Faktoren, um beim Abschluss einer Cyberversicherungspolice das Risikoprofil einer Behörde zu bewerten, z. B.:
- Größe und Umsatz der Behörde
- Aktuelle Cybersicherheitspraktiken, einschließlich der Implementierung von Multifaktor-Authentifizierung (MFA), Mitarbeiterschulungen, Maßnahmen für Netzwerksicherheit und Patch-Management
- Die Arten von Daten, die von den Versicherten gespeichert werden, wie z. B. personenbezogene Daten (PII) wie Namen, Adressen, Führerscheinnummern, Zahlungsmittel und Sozialversicherungsnummern, Controlled Unclassified Data (CUI) oder Zahlungskartendaten
- Geschichte an Cybervorfällen, die Datenschutzverletzungen, Malware-Infektionen oder andere Sicherheitsverletzungen umfassen können
- Die geografischen Standorte, an denen ein Unternehmen tätig ist oder seine Daten gespeichert werden, können sich auf Underwriting-Aspekte auswirken, da das Cyberrisiko je nach Region variiert
Beim anfänglichen Antrag werden wahrscheinlich verschiedene detaillierte technische und betriebliche Fragen gestellt. Im Allgemeinen sollten Behörden die folgenden Sicherheitskontrollen aufweisen, um sich für eine Cyberversicherung zu qualifizieren:
- Implementierung robuster Backup-Systeme
- Programm zur Schärfung des Sicherheitsbewusstseins von Mitarbeitern
- Schutz vor Phishing-E-Mails im gesamten Unternehmen
- Endpunktschutz vor Malware
- Multifaktor-Authentifizierung sowohl bei webbasierter E-Mail als auch bei administrativem oder privilegierten Zugriff
- Verschlüsselung für private Daten sowie sensible und vertrauliche Daten, die in ihren Systemen und Netzwerken gespeichert werden
Kosten für eine Cyberversicherung
Cyberversicherungen werden für alle Arten von Behörden immer wichtiger, da das Risiko von Cyberangriffen auf Anwendungen, Geräte, Netzwerke und Benutzer ständig wächst. Behörden und Bildungseinrichtungen geraten oft ins Visier von Cyberkriminellen, da es bei ihnen sensible Daten zu holen gibt. Außerdem wissen Cyberkriminelle, dass Behörden tendenziell kleinere IT-Teams, Budgets und Ressourcen haben, um Cyberangriffe zu verhindern.
Leider erleben viele Behörden bei Cyberversicherungen aufgrund der insgesamt steigenden Zahl an Cyberangriffen und des höheren Risikoprofils im öffentlichen Sektor schnell steigende Prämienkosten. Prämien für Cyberversicherungen sind in den USA 2022 um 50 % gestiegen, da vermehrte Ransomware-Angriffe die Nachfrage nach Versicherungsschutz erhöht haben. Prämien variieren stark, wobei jährliche Prämien für kleinere Behörden zwischen 5.000 und 20.000 US-Dollar liegen. Größere Behörden wie Landes- oder Bundesbehörden können Jahresprämien von 100.000 US-Dollar oder mehr zahlen.
So kann Keeper Security Government Cloud dazu beitragen, die Versicherungsfähigkeit zu verbessern
Robuste Kontrollen und Sicherheitspraktiken wie die Verwendung von Multifaktor-Authentifizierung für geschäftliche Anmeldungen und der Einsatz eines Password Managers können die Prämie oder den Selbstbehalt für Ihre Police senken.
Passwortverwaltung
Password Manager helfen sämtlichen Mitarbeitern, für alle ihre Konten starke, einzigartige Passwörter zu erstellen und an einem sicheren Ort zu speichern. Gestohlene und schwache Passwörter sind die führende Ursache für Datenlecks, doch haben die meisten Behörden keine Transparenz, Sicherheit oder Kontrolle über die Passwörter und Anmeldeinformationen ihrer Mitarbeiter.
Keeper Security Government Cloud (KSGC) nutzt delegierte Verwaltung und rollenbasierte Durchsetzungsrichtlinien, um für vollständige Transparenz und Kontrolle über Identitätssicherheit und Risiken in Ihrem Unternehmen zu sorgen. Administratoren können MFA durchsetzen, was erfordert, dass Benutzer mehr als eine Form von Authentifizierung vornehmen müssen, um auf einen Dienst oder eine Anwendung zugreifen zu können.
Identitäts-, Kontroll- und Zugriffsmanagement (ICAM)
Die Privileged Access Management (PAM)-Lösung von Keeper vereinfacht die Verwaltung und Sicherung des Zugriffs auf hochsensible Systeme und Daten. Dazu gehört unter anderem der Zugriff auf Gehaltsabrechnungssysteme und IT-Verwaltungssysteme.
Neben MFA zur Überprüfung der Identität eines Benutzers setzen PAM-Lösungen das Prinzip der geringsten Rechte durch. Damit wird sichergestellt, dass Benutzer den am geringsten notwendigen Zugriff auf Systeme und Daten erhalten, indem nur Zugriff auf jene Konten gewährt wird, die sie zur Erledigung ihrer Aufgaben benötigen. Zugriffskontrollen bieten außerdem granulare Kontroll- und Durchsetzungsebenen für privilegierte Konten. Administratoren können Konto- und Sitzungsaktivitäten aufzeichnen, was beim Ausführen von Audits und Berichten für Compliance- und regulatorische Zwecke hilft.
Während PAM Behörden bei der Erfüllung von Anforderungen an eine Cyberversicherung unterstützen kann, sind herkömmliche Lösungen oft teuer, schwer zu implementieren und umfassen ungenutzte Funktionen. KeeperPAM adressiert die wichtigsten Schwachpunkte und Anforderungen von Behörden, um Datenschutzverletzungen mit genau den Funktionen zu verhindern, die sie benötigen.
- Kosteneffektiv: Eine einzige Plattform mit minimalem Bedarf an IT-Personal für ihre Verwaltung
- Schnelle Bereitstellung: Nahtlos bereitstellt und integriert sich in nur wenigen Stunden mit jedem Tech- oder Identitätsstack
- Einfach zu verwenden: Einheitliche Adminkonsole und moderne Benutzeroberfläche für alle Mitarbeiter auf allen Gerätetypen – die durchschnittliche Schulung beträgt weniger als 2 Stunden
Um mehr über KeeperPAM zu erfahren und wie die Lösung die Cybersicherheit Ihrer Behörde verbessern kann, fordern Sie noch heute eine Demo an.