Risikoanalyse Cyberversicherung

Hinweise - Schritt 1 von 21

Um eine passende Anbieterauswahl vornehmen zu können, benötigen wir einige Angaben von Ihnen.

Bitte beachten Sie, dass der Fragebogen ca. 30-45 Minuten Ihrer Zeit in Anspruch nehmen wird. Beachten Sie bitte auch die untenstehenden Hinweise

Der Fragebogen unterteilt sich in mehrere Abschnitte - mit Hilfe dieser Informationen ist es für uns möglich, den besten Anbieter für Sie eruieren. Für die Beantwortung der Fragen sollte sowohl ein IT-Verantwortlicher als auch die zuständige Person des Managements zugegen sein. Grundsätzliche sollten alle angezeigten Fragen des Fragebogens beantwortet werden - sollten Antworten fehlen, kann es zu vermehrten Rückfragen kommen. Versicherungsunternehmen werten nicht beantwortete Fragen auch negativ im Rahmen der Risikobewertung - daher können offene Fragen auch zu schlechteren Konditionen führen. Insofern Sie nicht alle Fragen sofort beantworten können, haben Sie jederzeit die Möglichkeit, den Fragebogen zu speichern - die Daten bleiben für 30 Tage erhalten. Sie können nach dem Zwischenspeichen über den übermittelten Link wieder in den Fragebogen einsteigen. Eine Auswertung der Antworten durch INFINCO erfolgt erst, wenn der Fragebogen in der finalen Form abgesendet wurde.

Speichern und später fortsetzen

Wer ist Ihr Versicherungsbetreuer?

Name Ihres Unternehmens & Rechtsform *

Adresse *

Gründungsdatum

PLZ & Ort *

Internet-URLs

Einige Versicherer führen im Rahmen Ihrer Risikoevaluation nicht-invasive Schwachstellenscans durch - Grundlage dafür sind die Unternehmens-URL(s).

Ihr Name *

Name der Person, welche für die Angaben im Fragebogen verantwortlich ist.

Ihre E-Mail-Adresse *

Ihre Funktion im Unternehmen

Geschäftsführer, CISO, IT-Leiter etc.

Ihre Telefonnummer für Rückfragen

Name des technischen Ansprechpartners

E-Mail-Adresse des technischen Ansprechpartners

Speichern und später fortsetzen

Hinweis Umsatzangaben:

Bitte beachten Sie, dass auch der Umsatz von Unternehmen, die in den Versicherungsschutz einzubeziehen sind (Tochterunternehmen bzw. Unternehmen, die die selbe IT-Infrastruktur - physisch, virtuell, Cloud nutzen) in die Gesamtumsatzangabe eingerechnet werden muss.

Gibt es Unternehmen, welche in den Versicherungsschutz einzubeziehen sind? *

Ja
Nein

Bitte nennen Sie uns die Unternehmen, die in der Cyberversicherung mitzuversichern sind:

Alternativ können Sie uns gerne ein aktuelles Organigramm zur Verfügung stellen:

Alternativ können Sie uns die mitzuversichernden Unternehmen auch in den untenstehenden Kommentaren nennen.

Klicke oder ziehe Dateien in diesen Bereich zum Hochladen. Du kannst bis zu 2 Dateien hochladen.

Gelten die im Fragebogen ausgefüllten Angaben für alle Unternehmen/Abteilungen des Versicherungsnehmers? *

Ja
Nein

Da Sie die Frage mit nein beantwortet haben, bitten wir Sie um zusätzliche Informationen, welche Unternehmen/Abteilungen nicht in den Geltungsbereich dieses Fragebogens fallen. *

Wie hoch war der konsolidierte Gesamtumsatz Ihres Unternehmens im letzten abgeschlossenen Geschäftsjahr? *

Wie hoch war der konsolidierte Rohertrag Ihres Unternehmens im letzten abgeschlossenen Geschäftsjahr? *

Wie hoch ist der Anteil der Online-Umsätze (E-Commerce/Online-Services) im Verhältnis zum Gesamtumsatz in Ihrem Unternehmen? *

unter 20%
20%-50%
50%-80%
über 80%

Geben Sie bitte an, in welchen Regionen außerhalb der EU/des EWR Ihr Unternehmen Umsätze erzielt. *

Schweiz
USA/Kanada
Asien/Pazifik
Rest der Welt
keine Umsätze außerhalb der EU/des EWR

Hat das Unternehmen Standorte in Russland, Belarus und/oder der Ukraine oder Geschäftsbeziehungen mit Gesellschaften, Personen oder Gebietskörperschaften mit Sitz in diesen Ländern? *

Ja
Nein

Kommentar Umsatz (optional)

Speichern und später fortsetzen

In welchen Geschäftsfeldern ist Ihr Unternehmen tätig - beschreiben Sie bitte kurz in eigenen Worten. *

Liegt der Tätigkeitsbereich Ihres Unternehmens in einem oder mehreren der unten genannten Bereiche?

In der Regel erfordern diese Bereiche eine besondere Risikoprüfung. Bitte geben Sie alle Bereiche an, in denen Sie tätig sind. Wir kommen nach der Beantwortung des Fragebogens auf Sie zu.

Anbieter von kritischer Infrastruktur (Stadtwerke, direkte Strom- und Gasversorger, Telekommunikationsunternehmen, Mobilfunkanbieter)
Flughäfen/Fluggesellschaften, Hafenbetreiber
Zahlungsabwicklung bzw. -dienstleistung; Inkassodienstleistung
Datensammlung und -speicherung (Hauptgeschäftszweck), Auftrags-/Datenverarbeitung
Rechenzentrumsbetrieb, Anbieter von Cloud-Dienstleistungen, Internet-Serviceprovider, soziale Netzwerke, Online-Marktplätze, Verlagswesen
Direktmarketing (Callcenter, Telemarketing)
Ratingagentur
Finanzdienstleister, Banken, Kryptowährungen
Anbieter, Vermittler oder Berater von Versicherungen oder Finanzdienstleistungsprodukten
Kliniken und Krankenhäuser, Gesundheitssektor ausg. niedergelassene Ärzte
Waffenhersteller
Bund, Länder, Gemeinden, Behörden, Regierung, staatliche und staatsnahe Betriebe

Kommentar Geschäftsfelder (optional)

Speichern und später fortsetzen

Anzahl der Mitarbeiter in Ihrem Unternehmen *

Wie viele personenbezogene Datensätze werden durch Ihr Unternehmen gesammelt, gespeichert oder verarbeitet? *

Speichern Sie personenbezogene Daten von in den USA ansässigen Personen? *

Ja
Nein

Wie viele sensible/besondere personenbezogene Datensätze werden durch Ihr Unternehmen gesammelt, gespeichert oder verarbeitet? *

Besondere Arten personenbezogener Daten sind beispielsweise:
- Angaben über die rassische und ethnische Herkunft
- politische Meinungen
- religiöse oder philosophische Überzeugungen
- Gewerkschaftszugehörigkeit
- Gesundheit oder Sexualleben

Sind die besonderen personenbezogenen Daten in Ihrem Unternehmen sowohl "in transit" als auch "at rest" zu jeder Zeit mit einer Schlüssellänge von mindestens AES 256bit oder einem vergleichbaren Verfahren gespeichert? *

"in transit“ (z.B. beim Versenden von Emails)
"at rest“ (bei der Speicherung auf Speichermedien und Clients außerhalb von Servern)

Ja
Nein

Kommentar personenbezogene und sensible Daten (optional)

Speichern und später fortsetzen

Bieten Sie EC- oder Kreditkartenzahlungen an, die NICHT von einem Zahlungsdienstleister (Payment Provider) ausgeführt werden? *

Ja
Nein

Wie viele EC-Kartendaten bearbeiten oder speichern Sie? *

Wie viele Kreditkartendaten bearbeiten oder speichern Sie? *

Für selbst verwaltete Kreditkartendaten werden die Standarads gem. PCI DSS (Payment Card Industry Data Security Standard) eingehalten? *

Ja
Nein

Wie viele Kontodaten bearbeiten oder speichern Sie? *

Durchschnittliche Zahlungshöhe in € *

Werden Überweisungen ab einer gewissen Höhe im 4-Augen-Prinzip geprüft? *

Ja, technisch erzwungen
Ja, organisatorisch verpflichtend
Nein

Ab welcher Überweisungshöhe werden o.g. Maßnahmen angewandt? *

Bei jeder Anfrage eines Zahlungsempfängers zur Änderung einer bestehenden Kontoverbindung wird die Identität des Anfragenden über einen anderen und damit abweichenden Kommunikationskanal überprüft. *

Ja
Nein

Kommentar Zahlungsinformationen (optional)

Speichern und später fortsetzen

Haben Sie eine der folgenden Zertifizierungen?

Sollten Sie über andere Zertifizierungen als die hier genannten verfügen, bitten wir Sie um Angabe dieser Zertifizierungen im Kommentarfeld.

ISO 9001
ISO 27001
ISIS 12
ISAE 3402
VdS 347 3
andere Zertifizierung
keine Zertifizierung

Ist eine explizite Verantwortlichkeit für Cybersicherheit im Unternehmen etabliert? *

Ja, intern
Ja, extern
Nein

Standorte und Niederlassungen werden in regelmäßigen Abständen auf die Einhaltung der Informationssicherheitsrichtlinien überprüft. *

Ja
Nein

Existiert eine durch die Geschäftsleitung etablierte Informationssicherheitsrichtlinie, die Ziele und Strategien definiert, um eine angemessene Cybersicherheit zu erreichen? *

Ja
Nein

Wird über den Cyber-Sicherheitsstatus jährlich an die Geschäftsleitung berichtet? *

Ja
Nein

Sind für das Unternehmen kritische und sensible Daten definiert? *

Ja
Nein

Existieren schriftliche Arbeitsanweisungen zu den folgenden Themen im Unternehmen, ist die Einhaltung dieser Richtlinien etabliert und werden diese regelmäßig aktualisiert? *

Benutzerrichtlinien zur Informationssicherheit
Sicherer Umgang mit mobilen Geräten
Sicherer Umgang mit externen Maildiensten (bzw. private Webmail)
Verbot der Umgehung von Sicherheitsmaßnahmen
Verbot mit Administratorenrechten im Internet zu surfen
Sicherer Umgang mit und die Verarbeitung von personenbezogenen Daten
Sichere Passwörter (Minimalstandards gem. BSI)
Verbot der Wiederverwendung von Passwörtern
Verpflichtung der User und Administratoren zur Meldung von Verstößen
keine der Aussagen trifft zu

Nur Geräte, die vom Versicherten verwaltet werden und von den Sicherheitsmaßnahmen des Versicherten profitieren, dürfen auf das interne Netzwerk oder interne Daten des Versicherten zugreifen. *

Ja
Nein

Vorgaben zu IT-Security (technische Sicherheitsstandards für die IT, welche technischen Sicherheitsmaßnahmen umgesetzt sein müssen) sind etabliert. *

Ja
Nein

Es ist sichergestellt, dass auf Sicherheitshinweise (Security Advisories) für die gesamte verwendete Software zeitnah reagiert wird. *

Ja
Nein

Log4J: Haben Sie alle von Ihnen verwendeten IT-Produkte auf das Vorliegen der Sicherheitslücke CVE-2021-44228 überprüft? *

Ja
Nein

Log4J: Haben Sie für alle von der Sicherheitslücke CVE-2021-44228 betroffenen IT-Produkte die aktuellsten Patches eingespielt, um die Sicherheitslücke zu schließen? *

Ja
Nein

Log4J: Verwenden Sie ggf. noch IT-Produkte, die für die Sicherheitslücke CVE-2021-44228 anfällig sind und für die keine Patches gegen die Sicherheitslücke CVE-2021-44228 verfügbar sind? *

Ja
Ja, aber alle Möglichkeiten zur Ausnutzung wurden deaktiviert
Nein

Werden Applikationen und Hardware regelmäßig auf Schwachstellen überprüft? *

Ja, durch Schwachstellenscans
Ja, durch interne Penetrationstests
Ja, durch externe & mindestens jährliche Penetrationstests
Nein

Vor Inproduktivnahme von kritischer Soft- und Hardware werden Penetrationstests durchgeführt. *

Ja
Nein

Kritische Anwendungen müssen durch die Informationssicherheit freigegeben werden. *

Ja
Nein

Bitte schätzen Sie ein, nach welcher Ausfallszeit Ihrer IT-Systeme signifikante negative Auswirkungen auf den Geschäftsgang eintreten. *

Sofort
mehr als 8 Stunden
mehr als 24 Stunden
mehr als 48 Stunden
mehr als eine Woche

Bei Firmenzusammenschlüssen oder -übernahmen wird ein Cybersecurity Assessment durchgeführt und die Netzwerke bleiben so lange getrennt, bis die Systemsicherheit der zu integrierenden IT-Systeme auf ein zufriedenstellendes Niveau angehoben wurde. *

Ja
Nein

Kommentar Unternehmensorganisation Cybersicherheit (optional)

Speichern und später fortsetzen

Ein strukturierter Patchmanagement-Prozess ist vorhanden. *

Ja
Nein

Ein strukturierter Notfall-Patchmanagement-Prozess ist vorhanden. *

Ja
Nein

Ein zentraler / automatisierter Prozess zur Patchverteilung auf IT-Clients ist etabliert. Benutzer können die Patchinstallation nur einen begrenzten Zeitraum aufschieben. *

Ja
Nein

Spielen Sie Sicherheitspatches/-updates durchgehend auf ihren IT-Systemen ein? *

Ja, automatisch
Ja, manuell (spätestens nach 7 Tagen)
Ja, manuell (spätestens nach 14 Tagen)
Ja, manuell (spätestens nach 30 Tagen)
Ja, manuell (unregelmäßig)
Nein

Kritische Schwachstellen (CVSS Base Score größer/gleich 9.0) werden in allen IT-Systemen und -Anwendungen gepatcht oder alternativ durch offizielle Workarounds behoben? *

Ja, innerhalb von 24 Stunden
Ja, innerhalb von 48 Stunden
Ja, innerhalb von 7 Tagen
Innerhalb von 7 Tagen (Umsetzung innerhalb von 6 Monaten möglich)
Im Rahmen der regulären Sicherheitsupdates
sonstige Angabe (bitte im Kommentar unten anführen)

Kommentar Patchmanagement (optional)

Speichern und später fortsetzen

Es existiert ein Software-Inventar aller Software, die auf den Geräten der Organisation installiert ist. *

Ja, ein automatisiertes Software-Inventar existiert
Ja, ein manuelles Software-Inventar existiert
Nein

Es existiert ein Prozess, um sicherzustellen, dass jede auf Unternehmensgeräten installierte Software noch durch Sicherheitsupdates unterstützt wird, oder es sich um eine dokumentierte Ausnahme mit Maßnahmen zur Minderung des Risikos handelt. *

Ja
Nein

Nicht unterstützte/End-of-Life Systeme sind nicht im Einsatz bzw. sind nicht direkt mit dem Internet verbunden und somit nicht von außen erreichbar? *

Ja
Nein
Umsetzung innerhalb von 6 Monaten möglich

Es gibt ein Inventar aller innerhalb der Organisation genutzten Datenspeicher, das den Besitzer, die Gerätekennung, die Sensitivität der Daten, ein Aufbewahrungsfrist sowie eine Entsorgungsfrist enthält und mindestens jährlich aktualisiert wird. *

Ja
Nein

Ein Inventar aller kritischen Assets existiert. *

Kritische Assets sind Computer oder andere IT-Geräte, die für den Erfolg und den Betrieb der Organisation von entscheidender Bedeutung sind.

Ja, ein automatisiertes Hardware-Inventar existiert.
Ja, ein manuelles Hardware-Inventar existiert.
Nein

Haben Sie ein zentrales Konfigurationsmanagement mit standardisierten und sicheren Images für alle Workstations und Server eingerichtet? *

Ja
Nein

Haben Sie einen Änderungsmanagementprozess für Ihre sicheren Standardkonfigurationen implementiert, um Änderungen zu verfolgen und sicherzustellen, dass nur autorisierte Änderungen an der Konfiguration vorgenommen werden? *

Ja
Nein

Sie haben eine Telefonanlage ohne Anrufbeantworter mit PIN-Zugang oder haben bei Ihren Telefonanlagen und Anrufbeantwortern die Passwörter & PINs von der Werkseinstellung geändert. *

Ja
Nein

Kommentar Asset Management (optional)

Speichern und später fortsetzen

Für interaktive Logins gibt es nur personalisierte Benutzerkonten. *

Ja
Nein

Die Autorisierung aller Benutzer- und Administratorkonten wird mindestens jährlich geprüft und nicht verwendete und nicht benötigte Konten werden entfernt. *

Ja
Nein

Es ist eine Passwortrichtlinie implementiert, die die Verwendung von langen und komplexen Passwörtern in Ihrem Unternehmen wo technisch möglich durchsetzt? *

Lange und komplexe Passwörter entsprechen folgenden Kriterien:
- Mindestens acht (8) Zeichen
- Vermeidung der Wiederverwendung der letzten 5 Passwörter
- Sperrung des Accounts nach mehreren Fehlversuchen
- Das Passwort muss mindestens Groß- und Kleinbuchstaben sowie nicht-alphabetisches Zeichen enthalten (Zahl oder Sonderzeichen)

Ja
Nein
Umsetzung innerhalb von 6 Monaten möglich

Multi-Faktor-Authentifizierung wird für alle von extern erfolgenden Zugriffe auf Ihr Unternehmensnetzwerk und evtl. genutzte Cloud-Dienste durch Ihre eigenen Mitarbeiter und externe Dritte verwendet? (Alternative: Der Zugriff für externe Dritte erfolgt über eine fallbezogene Freigabe eines internen Mitarbeiters und wird protokolliert) *

Ja
Nein
Umsetzung innerhalb von 6 Monaten möglich

Alle kritischen Anwendungen werden mit einer Multi-Faktor-Authentifizierung abgesichert. *

Ja
Nein

Alle Systemadministratoren verfügen über separate, privilegierte Benutzerkonten für administrative Aufgaben (getrennt von ihrem Benutzerkonto für den täglichen Zugriff, E-Mails, Internet etc.) *

Ja
Nein
Umsetzung innerhalb von 6 Monaten möglich

Multi-Faktor-Authentifizierung (MFA) wird für sämtliche internen Zugriffe von System Administratoren verwendet? (Ein Umgehen der MFA-Lösung durch die Verwendung von Admin Access Tools, wie z.B. PsExec oder Remote Powershell sollte nicht möglich sein) *

Ja
Nein
Umsetzung innerhalb von 6 Monaten möglich

Schützen Sie die privilegierten Konten durch weitere Maßnahmen? Bitte kreuzen Sie alle Angaben an, die zutreffend sind. *

Privileged Access Management (PAM)-Lösung
Passwort-Safe mit MFA
Passwort-Safe ohne MFA
Einmalpasswörter
Passwörter gem. komplexer Passwortrichtlinie
automatisierte Änderung der Passwörter nach Verwendung
keine der Aussagen trifft zu

Eine der nachfolgenden Anforderungen in Bezug auf lokale Administratorenrechte wird erfüllt: *

- Lokale Administratorenrechte sind grundsätzlich deaktiviert
- Der Zugang zu den lokalen Administrationsrechten wird mit einem sicheren und individuellen Passwort, das dem User unbekannt ist, geschützt (z.B. durch die Local Admin Password Solution (LAPS)

Sofern begründete Ausnahmen von den o.g. Regelungen existieren, sind diese schriftlich dokumentiert.

Ja
Nein
Umsetzung innerhalb von 6 Monaten möglich

Es gibt ein Protokoll über die Nutzung aller privilegierten Konten das mindestens die letzten 90 Tage umfasst. *

Ja
Nein

"Audit Sensitive Privilege Use"- Erfolgs- und Fehlerereignisse werden überwacht, um Angriffe auf Dienstkonten zu erkennen. *

Ja
Nein

"Audit Logon"-Erfolgs- und Fehlerereignisse werden überwacht, um Angriffe auf Dienstkonten zu erkennen. *

Ja
Nein

Strukturierte Joiner / Mover / Leaver Prozesse sind vorhanden. *

Ja
Nein

Kommentar Identitätsverwaltung/Authentifizierung (optional)

Speichern und später fortsetzen

Bitte beschreiben Sie kurz den Aufbau Ihres Active Directories (AD). *

- Verwenden Sie ein globales AD oder betreibt die Gruppe mehrere ADs?
- Bei mehreren ADs, wie viele?
- Gibt es ein separates AD für die IT- und OT-Umgebungen?
- Falls es mehrere ADs gibt, wie ist das Vertrauen zwischen ihnen?
- Ist das AD vor Ort, in der Cloud (Azure AD) oder in einer hybriden Umgebung angesiedelt?

Wie viele NUTZER-Accounts befinden sich in der Gruppe der Domänen-Administratoren? *

Wie viele Dienstkonten befinden sich in der Gruppe der Domänen-Administratoren? *

Tier 0-Administratoren (z.B. Domain Admin, Enterprise Admin) können sich nur auf dem Domain Controller anmelden und der Domain Admin-Zugang wird nicht zur Anmeldung auf Clients gewöhnlicher Nutzer bzw. Servern genutzt (z.B. im Rahmen vom IT-Support)? *

Ja
Nein
Umsetzung innerhalb von 6 Monaten möglich)

Rollen für die Administration von Servern und Diensten (Tier-1) werden nur separaten Konten zugewiesen, die nicht für die Administration von Client-Computern verwendet werden. *

Ja
Nein

Vergeben Sie bei der Konfiguration von Dienstkonten die am geringsten erforderlichen Berechtigungen? *

Ja
Nein
Umsetzung innerhalb von 6 Monaten möglich

Alle Dienstkonten sind abgestuft, dass auch für denselben Dienst jeweils unterschiedliche Konten verwendet werden, um mit Clients, Servern und Authentifizierungsservern interagieren zu können. *

Ja
Nein

Alle privilegierten Dienstkonten sind so konfiguriert, dass interaktive Anmeldungen verweigert werden. *

Ja
Nein

Alle privilegierten Dienstkonten sind sind mit Passwörtern mit einer Länge von mindestens 25 Zeichen geschützt. *

Ja
Nein

Passwörter zu privilegierten Dienstkonten werden mindestens jährlich neu generiert. *

Ja
Nein

Es existiert ein Prozess um Dienstkonten mindestens jährlich auf neue Sicherheitsanforderungen zu überprüfen. *

Ja
Nein

Die Konfiguration des Active Directory wird auf Sicherheitsmängel mit dafür vorgesehenen Tools (z.B. Bloodhound, Pingcastle, tenable.ad) überprüft, um Fehlkonfigurationen zu identifizieren und nach Kritikalität zu beheben? *

Ja, mindestens quartalsweise
Ja, mindestens einmal im Jahr
Ja, unregelmäßig
Ja, mindestens einmal im Jahr (Umsetzung innerhalb von 6 Monaten möglich)
Nein

Konten zur Verwaltung von Clients durch deren Benutzer (User-Admin) sind ausschließlich auf dem einzelnen Client berechtigt. *

Ja
Nein

Überwachen Sie Ereignisse Ihres Active Directory auf Anzeichen einer Gefährdung (z. B. Änderungen in privilegierten Gruppen, falsche Anmeldungen, Deaktivierung des Malwareschutzes usw.)? *

Ja
Nein

Kommentar Active Directory (optional)

Speichern und später fortsetzen

Alle Verbindungen zwischen dem versicherten IT-Netzwerk und dem Internet (eingehend und ausgehend) müssen eine Firewall passieren. *

Ja
Ja, und nur explizit erlaubte Verbindungen werden zugelassen
Nein

Firewallstrukturen bzw. Filtersysteme zwischen Clients/Workstations und Servern sind aktiv und nicht benötigte Verbindungen werden verweigert. *

Ja
Nein

Verbindungen zwischen Clients/Workstations untereinander werden mithilfe der Host Firewall der Endpoints verweigert. *

Ja
Nein

Die Firewalls führen auf allen TCP-Verbindungen Stateful-Packet-Inspection durch. *

Ja
Nein

Alle Internet-Gateways sind durch ein IPS geschützt. *

Ja
Nein

Alle Internet-Gateways sind durch statistische Verfahren zur Angriffserkennung geschützt. *

Ja
Nein

Die Erkennungsmechanismen aller Internet-Gateways werden kontinuierlich von einem externen Threat-Intelligence-Feed aktualisiert. *

Ja
Nein

Kommunikation mit bekannten Command & Control Websites wird erkannt und blockiert. *

Ja
Nein

Alle Anwendungsserver sind mit einer Firewall so voneinander separiert, dass nur explizit erlaubte Verbindungen möglich sind. (Data-Center-Segmentation) *

Ja
Nein

Ein RDP-Login wird auf allen Clients durch Firewall-Regeln verhindert. *

Ja
Nein

Kommentar Perimeter Firewalls (optional)

Speichern und später fortsetzen

Eine für gewerbliche Zwecke entgeltlich lizenzierte Antiviren-Lösung für alle Clients und Server wird eingesetzt, Updates von Malwaresignaturen werden automatisch installiert und auf kritische Alerts wird unverzüglich reagiert? *

Ja
Nein
Umsetzung innerhalb 6 Monaten möglich

Der Malwareschutz ist so konfiguriert, dass verdächtige Protokolle, Prozesse und Dateien blockiert werden, statt nur über Bedrohungen zu benachrichtigen? *

Ja
Nein
Umsetzung innerhalb 6 Monaten möglich

Eine Endpoint Detection & Response (EDR) Lösung für alle Clients und Server wird verwendet, Updates werden automatisch installiert und auf kritische Alerts wird unverzüglich reagiert? Alternativ: Anstatt einer EDR Lösung werden auch NGAVs akzeptiert, sofern es sich um eines der nachfolgenden Produkte handelt: MS Defender for Endpoint (Plan 1), Crowdstrike Falcon Prevent, Sentinel One Singularity Core, Deep Instinct, Cybereason Professional *

Ja
Nein
Umsetzung innerhalb 6 Monaten möglich

Bitte nennen Sie uns die aktuell im Einsatz befindliche Anti-Virus- und EDR-Lösung(en). *

Eine Sicherheitslösung wird verwendet, um den Zugriff auf bekannte schädliche URLs von allen Clients jederzeit zu blockieren. *

"Bekannt schädlich" im Sinne der verwendeten Sicherheitslösung.

Ja
Nein

Der Antragsteller nutzt eine Webfilter-Lösung, die bekannte bösartige oder verdächtige Downloads blockiert. *

Ja
Nein

Die Webfilter-Funktionen des Antragstellers sind auf allen Geräten des Unternehmens wirksam, auch wenn sich das Gerät nicht im Unternehmensnetzwerk befindet. *

Ja
Nein

Der Webfilter wird kontinuierlich von einem Threat-Intelligence-Feed aktualisiert. *

Ja
Nein

Eine Lösung zum Filtern von E-Mails, die bekannte bösartige Anhänge und verdächtige Dateitypen einschließlich ausführbarer Dateien blockiert, ist vorhanden. *

Ja
Nein

Enthält Ihre EMail-Sicherheitslösung Schutzmaßnahmen gegen Spam, Phishing und Nutzerimitation? *

Ja
Nein

Ein zentrales Monitoring stellt sicher, dass alle Geräte im Scope geschützt sind. (Überwachung der Funktionalität und Aktualisierung) *

Ja
Nein

Es gibt eine Gruppe, die den Output der Endpoint Security Tools überwacht und unverzüglich auf kritische Alerts reagieren kann. *

Ja, intern
Ja, extern
Nein

Endpoint-Security-Tools, welche regelmäßige Updates von Definitionen erfordern, werden laufend aktualisiert. *

Ja, tägliche automatische Aktualisierungen
Ja, laufende Aktualisierungen aber nicht täglich bzw. automatisch
Nein

Alle mobilen Firmen-Endgeräte können remote gesperrt und gelöscht werden. *

Ja
Nein

Welche Aussagen treffen hinsichtlich Datenverschlüsselung zu? (bitte alle zutreffenden Punkte ankreuzen) *

Daten auf Speichersystemen sind verschlüsselt.
Daten auf Arbeitsgeräten (z.b. Notebooks, Desktop-PCs, PDA etc) sind verschlüsselt.
Daten auf mobilen Datenträgern (z.b. USB-Sticks, DVDs etc.) sind verschlüsselt.
Vertrauliche Daten auf mobilen Firmen-Endgeräten sind verschlüsselt.
Daten werden während der Übertragung verschlüsselt.
keine der Aussagen trifft zu

Alle Zahlungsterminals verfügen über Vorrichtungen zur Erkennung von Manipulationen (z.B. Siegel). *

Ja
Nein
keine Zahlungsterminals vorhanden

Kommentar End-Point-Security (optional)

Speichern und später fortsetzen

Sind die Backups vor Manipulation oder Löschung geschützt (z.B. durch ein Offline-Backup auf Tape, immutable Backups, Authentifizierung außerhalb des Active Directory inkl. MFA)? *

Ja
Nein
Umsetzung innerhalb von 6 Monaten möglich

Ihre Backupstrategie erfüllt folgende Voraussetzungen. (bitte alle zutreffenden Punkte ankreuzen) *

mindestens tägliche vollständige, automatische Datensicherung
mindestens wöchentliche vollständige, automatische Datensicherung
das Backup ist unveränderlich (z.B. ausgeworfenes Bandlaufwerk)
das Backup wird OFFLINE (d.h. nicht erreichbar aus dem eigenen Netzwerk) gespeichert
das Backup ist vollständig vom Netzwerk getrennt
das Backup ist nicht Teil der Windows-Domäne
Backup in die Cloud, welches durch gesonderte Authentifizierung und MFA geschützt ist
Wiederherstellungsprozeduren von Datensicherungen sind dokumentiert
Recovery und Failover werden mindestens jährlich getestet
Backups sind verschlüsselt
Die Integrität von Backups wird vor der Wiederherstellung getestet
keine der Aussagen trifft zu

Monats-Backups werden mindestens 6 Monate aufbewahrt. *

Ja
Nein

Gestaffelte Langzeitbackups, um weiter zurückliegende Wiederherstellungszeitpunkte erreichen zu können, sind etabliert. *

Ja, mehr als 1 Jahr
Ja, mehr als 6 Monate
Ja, mehr als 90 Tage
Ja, bis zu 90 Tage
Nein

Alle Security-Logdaten werden für mindestens 180 Tage aufbewahrt. *

Ja
Nein

Kommentar Backups, Logs, Forensik (optional)

Speichern und später fortsetzen

Plan, Rollen und Verantwortlichkeiten für Cyberkrisen sind definiert. *

Dazu zählen nicht ausschließlich aber unter anderem Reaktionspläne zu folgenden Sicherheitsvorfällen:

- Unbefugter Eingriff oder Angriff Dritter auf die IT-Systeme
- Infektion der IT-Systeme mit Schadsoftware, wie Viren, Trojanern
- Cyber-Erpressung

Ja
Nein

Eine sicher gespeicherte Cyber-Notfallkontaktliste ist auch ohne zentral verwaltete IT-Ausstattung verfügbar bzw. physisch vorhanden und wird mindestens jährlich aktualisiert? *

Ja
Nein

IT-Sicherheits- und Datenschutzschulungen für alle Mitarbeiter werden mindestens jährlich durchgeführt, um das Sicherheitsbewusstsein zu den Themen Social Engineering, Phishing, Fake President zu erhöhen. *

Ja, optionales Training
Ja, verpflichtendes Training
Nein

Verfügen Sie über einen schriftlich dokumentierten Business Continuity Plan (BCP), IT-Katastrophenplan oder Disaster Recovery Plan (DRP), welcher auch Cybervorfälle (Daten- und Netzwerksicherheits- bzw. Informationssicherheitsverletzungen) adressiert? *

Ja
Nein
Nein, geplante Umsetzung innerhalb der nächsten 6 Monate

Bitte geben Sie an, welche Kriterien dieser Plan erfüllt: *

Schriftlich fixiert
Benannte verantwortliche Person
Regelmäßige Prüfung und Aktualisierung
Regelmäßige praktische Tests
Ausgerichtet an einer Norm
keine der Aussagen trifft zu

Ein Cyber-Incident-Management (Pläne, definierte Rollen, Schulung, Kommunikation und Verwaltungsüberwachung) ist vorhanden. *

Ja
Nein

Event-Logs aus Identitätsdiensten (z.B. AD, Server u. Clients) und IT-Sicherheitssystemen werden mind. 60 Tage lang gespeichert und auf kritische Alerts von IT-Sicherheitssystemen (Antiviren Lösung, Firewalls etc.) wird spätestens am folgenden Werktag reagiert? *

Ja
Nein
Umsetzung innerhalb von 6 Monaten möglich

Haben Sie eine Business Impact Analysis (BIA) durchgeführt, um kritische Ressourcen, Wiederherstellungsanforderungen und die Auswirkungen ungeplanter Geschäftsunterbrechungen zu ermitteln? *

Ja
Nein

Sind Wiederherstellungszeitziele (RTO) und Wiederherstellungspunktziele (RPO) für kritische Systemprozesse definiert, dokumentiert und regelmäßig durch Tests überprüft? *

Ja
Nein

Welcher Wert wurde als Wiederherstellungszeitziel (RTO) festgelegt? *

Welcher Wert wurde als Wiederherstellungspunktziel (RPO) festgelegt? *

Physischer Zutritt zu Servern ist eingeschränkt. *

Ja
Nein

Kommentar Vorbereitung auf Cyber-Krisen, Awareness (optional)

Speichern und später fortsetzen

Betreiben Sie Industrie-Steuerungsanlagen mithilfe automatisierter Kontrollsysteme (ICS/SCADA) oder vergleichbare Systeme? *

Ja
Nein

Sind die Office- und Produktions- bzw. Logistik-IT voneinander getrennt (z.B. durch eine Firewall)? *

Ja
Nein
keine OT bzw. kritischen Systeme vorhanden
Umsetzung innerhalb von 6 Monaten möglich

Alle OT-Fernwartungsverbindungen müssen fallweise von innen initiiert oder freigeschaltet werden oder erfordern eine MFA. *

Ja
Nein
keine OT bzw. kritischen Systeme vorhanden

Bitte erläutern Sie kurz, nach welchen Kriterien die Segmentierung in Ihrem Netzwerk vorgenommen wurde: *

Scannen Sie Ihre OT Systeme auf Schwachstellen? *

Ja
Nein
keine OT bzw. kritischen Systeme vorhanden

Es existiert keine direkte Verbindung zwischen Hochrisiko-Netzwerksegmenten und dem restlichen Netzwerk, wie z.B. RDP (Fernzugriffe) oder Netzwerkfreigaben (für Dateitransfers), bei denen keine gesonderte Authentifizierung notwendig ist. *

Ja
Nein
keine OT bzw. kritischen Systeme vorhanden

Eine Überwachung/Angriffserkennung ist an Übergangspunkten zu Hochrisiko-Netzwerksegmenten vorhanden. *

Ja
Nein
keine OT bzw. kritischen Systeme vorhanden

Es ist ein dokumentierter, getesteter Plan zur Reaktion auf Vorfälle und zur Wiederherstellung von OT nach einem Katastrophenfall vorhanden. *

Ja
Nein
keine OT bzw. kritischen Systeme vorhanden

Backups oder alternative Wiederherstellungsprozeduren sind für alle ICS / SCADA / Hochrisiko-Netzwerksegmente vorhanden. *

Ja
Nein
keine OT bzw. kritischen Systeme vorhanden

Verwenden Sie in Ihrer Produktions-IT nach Möglichkeit einen Malware-Schutz? *

Ja
Nein
keine OT bzw. kritischen Systeme vorhanden

Deckt Ihre formelle Informationssicherheitspolitik Ihr OT-Umfeld und -Prozesse ab? *

Ja
Nein
keine OT bzw. kritischen Systeme vorhanden

Kommentar OT und Kritische Systeme (optional)

Speichern und später fortsetzen

Zugriffsrechte von Mitarbeitern und externen Nutzern sind auf der Basis betrieblicher Notwendigkeit beschränkt (insb. administrative Berechtigungen und Zugriff auf vertrauliche Daten). *

Ja
Nein

Eine Datenschutzrichtlinie ist vorhanden. *

Ja
Nein

Ein vollständiges "Verzeichnis der Verarbeitungstätigkeiten" gemäß DSGVO ist vorhanden. *

Ja
Nein

Entwickler haben keine lokalen Administratorrechte auf ihrem Client oder ihre Clients befinden sich in einem separaten Netzwerksegment. *

Ja
Nein

Genügen Sie in allen Ländern den jeweils geltenden rechtlichen Anforderungen zum Datenschutz? *

Ja
Nein
Umsetzung innerhalb von 6 Monaten möglich

Die Datenschutzfunktion ist in alle relevanten Produktentwicklungsprozesse eingebunden und hat den Auftrag, die Markeinführung zu blockieren, bis die Einhaltung der Datenschutzgesetze sichergestellt ist. *

Ja
Nein

Strukturierte Prozesse zur Bearbeitung von Auskunftsansuchen Betroffener und Löschung personenbezogener Daten i.S.d. DSGVO sind etabliert. *

Ja
Nein

Die Aufbewahrungszeiten werden gem. den Datenschutzanforderungen mit einer dokumentierten Begründung festgelegt. *

Ja
Nein

Kommentar Datenschutz (optional)

Speichern und später fortsetzen

Wird die Datenverarbeitung (oder Teile davon) von Subunternehmen oder IT-Dienstleistern durchgeführt? *

Ja
Nein

Haben Sie alle Ihre wichtigen externen Dienstleister (insbesondere IT-Dienstleister) identifiziert und dokumentiert? *

Ja
Nein

Stellen Sie diese Subunternehmer von Ansprüchen gegen Sie frei? *

Ja
Nein

Vor der Beauftragung eines IT-Service-Providers wird überprüft, ob die Sicherheitsanforderungen durch diesen erfüllt werden. *

Ja
Nein

Eine Multi-Faktor-Authentifizierung ist zwingend erforderlich, damit Dienstleister Zugriff auf das Verwaltungsnetzwerk erhalten. *

Ja
Nein, aber die Verbindung muss intern im Einzelfall zugelassen werden.
Nein

Jeder Zugriff auf das Unternehmensnetzwerk durch Dienstleister wird protokolliert. *

Ja
Nein

IT-Dienstleister sind vertraglich verpflichtet, Cyber-Incidents an die Organisation zu melden. *

Ja
Nein

Kommentar Externe Dienstleister (optional)

Speichern und später fortsetzen

Haben Sie kritische Geschäftsprozesse in die Cloud bzw. in ein externes Rechenzentrum ausgelagert? *

Ja
Nein

Die Cloud bzw. das externe Rechenzentrum, in das kritische Geschäftsprozesse ausgelagert sind, erfüllt folgende Standards: *

ISO27001 Zertifizierung
Verfügbarkeit gem. TIA-942 Tier Level 3 (99,982%)
keine der Aussagen trifft zu

Nutzen Sie einen oder mehrere der folgenden Anbieter? *

Falls Sie einen anderen Cloud-Anbieter als die genannten verwenden, bitten wir Sie im untenstehenden Kommentar anzugeben welcher Cloud-Anbieter genutzt wird und welche Services verwendet werden.

Google Cloud Platform
Amazon Web Services
Microsoft Azure
anderer Cloud-Anbieter
Es wird kein Cloud-Anbieter genutzt.

Welche Regionen nutzen Sie für die ausgewählten Could-Services? Bitte geben Sie für jede Region auch die Anzahl der vereinbarten Verfügbarkeitszonen/Availability zones (AZs) an. *

Existiert zwischen den oben genannten Regionen Redundanz und/oder ein Notfallwiederanlaufplan? *

Ja
Nein

Was beschreibt die geplante Verfügbarkeit Ihrer Systeme am besten? *

Active/Active (Arbeitslast wird über Cloud-Regionen verteilt)
Active/Failover (weitere Region steht als Backup zur Verfügung)
Backup & Restore (Kopie des Systems ist ständig verfügbar)

Von welchen der folgenden Google-Cloud-Services ist Ihr Unternehmen abhängig?

Google App Engine
Google BigQuery
Google Cloud Bigtable
Google Cloud Composer
Google Cloud Dataflow
Google Cloud Dataproc
Google Cloud Datastore
Cloud Firestore
Google Cloud Functions
Cloud Memorystore
Google Cloud SQL
Google Storage
Compute Engine
Google Kubernetes Engine
Cloud Filestore

Von welchen der folgenden Amazon-Cloud-Services ist Ihr Unternehmen abhängig?

Amazon DocumentDB (with MongoDB compatibility)
Amazon DynamoDB
Amazon Elastic Compute Cloud (EC2)
Amazon Elastic Container Service (ECS)
Amazon Elastic Container Service for Kubernetes (EKS)
Amazon Elastic File System (EFS)
Amazon Redshift
Amazon Relational Database Service (RDS)
Amazon Simple Storage Service (S3)
AWS Lambda
Amazon ElastiCache
Amazon Simple Email Service (SES)
AWS Elastic Beanstalk
Amazon Kinesis
Amazon SQS
API Gateway
Amazon Athena
Amazon MSK

Von welchen der folgenden Azure-Cloud-Services ist Ihr Unternehmen abhängig?

Azure Functions
Azure Cosmos
SQL Database
Azure Virtual Machines
Azure Storage
Azure Synapse Analytics
Azure Container Instances
Azure Web App Service
Azure Kubernetes Service (AKS)
Azure Active Directory Domain Services
Azure Service Bus
Azure Logic Apps
Azure API Management

Kommentar Cloud (optional)

Speichern und später fortsetzen

Sind Ihnen innerhalb der letzten fünf Jahre Schäden und/oder Umstände bekannt, die im Zusammenhang mit Datenverlust(en) oder Diebstahl von personenbezogenen Daten, Datenschutz-/ Datenvertraulichkeitsverletzungen, Netzwerksicherheitsverletzungen oder Cyber-Erpressung standen? *

Ja
Nein

Details zum Cybervorfall *

Bitte beschreiben Sie den Cybervorfall in einigen Sätzen - Was ist vorgefallen? - Wie hoch war die Schadenssumme?

Welche Maßnahmen wurden getroffen, damit sich ein gleichartiger Vorfall zukünftig nicht mehr erreignet? *

Hat eine Aufsichtsbehörde, staatliche Stelle oder Verwaltungsbehörde wegen datenschutzrechtrelevanter Aktivitäten Klage gegen Sie, andere Betriebsangehörige oder Ihr Unternehmen eingereicht, Ermittlungen eingeleitet oder Auskünfte angefordert? *

Ja
Nein

Details zum Datenschutzvorfall *

Bitte beschreiben Sie uns in in einigen Sätzen, was sich ereignet hat:

Speichern und später fortsetzen

Vor dem Absenden des Fragebogens ist die Zustimmung zu unserer Datenschutzerklärung erforderlich. *

Unsere Datenschutzerklärung finden Sie hier.

Ich akzeptiere die INFINCO-Datenschutzerklärung.

Mit Ihrer Unterschrift bestätigen Sie, dass Sie die Risikoinformationen nach bestem Wissen sorgfältig und wahrheitsgemäß beantwortet haben. Die Angaben dienen als Grundlage der Risikobeurteilung für die Versicherer. *

Der Unterzeichner dieses Fragebogens bestätigt, dass er die Erklärungen nach sorgfältiger Prüfung und nach bestem Wissen wahrheitsgemäß abgibt. Er ist in Kenntnis, dass seine Angaben Grundlage der Risikobeurteilung der Versicherer sind. Insofern sich Versicherer diesen Fragebogen zu eigen machen, gelten auch die Bestimmungen gem. VersVG § 16ff über vorvertragliche Anzeigepflichten.. Er gibt diese Erklärung gleichzeitig auch im Namen der Gesellschaft und aller (mit-)versicherter Gesellschaften ab.

Unterschrift löschen

Name der unterzeichnenden Person & Funktion im Unternehmen *

Speichern und später fortsetzen

Wenn Sie die Risikoanalyse zwischenspeichern, wird eine Kopie der bisher eingegebenen Daten für 30 Tage auf unserem Server gespeichert. Manche Felder, welche sensible Daten enthalten können, werden aus diesem Grund nicht gespeichert und müssen vor Abschluss des Fragebogens neu befüllt werden.

Bitte beachten Sie, dass zwischengespeicherte Daten von uns nicht bearbeitet werden - dies erfolgt erst nach Abschluss der Risikoanalyse, was die vollständige Beantwortung aller Fragestellungen erfordert.

Zurück

Die bisher eingegebene Daten wurden gespeichert und es wurde ein eindeutiger Link erstellt, auf den Sie zugreifen können, um die Risikoanalyse fortzusetzen. Geben Sie Ihre E-Mail-Adresse ein, um den Link per E-Mail zu erhalten.

Alternativ können Sie den unten stehenden Link kopieren und speichern. Denken Sie bitte daran, dass die Daten nach 30 Tagen gelöscht werden, wenn Sie den Fragebogen nicht innerhalb dieses Zeitfensters abschließen.

Link kopieren

E-Mail-Adresse *

INFINCO FINANCIAL
LINES BROKERS

Versicherungsvermittler in der Form
Versicherungsmakler und Berater in Versicherungsangelegenheiten

ÖFFNUNGSZEITEN

Montag bis Donnerstag
8:30 - 17:30 Uhr
Freitag
8:30 - 13 Uhr

KONTAKT

T: +43 512 588580-88
T: +43 1 3618056 (Wien)
F: +43 512 588580-15
E: finlines@infinco.com

SITEMAP

Kontakt Impressum Datenschutz Nachhaltigkeit

ADRESSE

Fallmerayerstraße 12
6020 Innsbruck

Marokkanergasse 7
1030 Wien

NEWSLETTER ABONNIEREN

Bleiben Sie informiert mit Infinco

GEFÄLLT IHNEN UNSERE WEBSEITE?

Ihr Feedback ist uns wichtig

FEEDBACK GEBEN

Risikoanalyse Cyberversicherung

Um eine passende Anbieterauswahl vornehmen zu können, benötigen wir einige Angaben von Ihnen.

Bitte beachten Sie, dass der Fragebogen ca. 30-45 Minuten Ihrer Zeit in Anspruch nehmen wird. Beachten Sie bitte auch die untenstehenden Hinweise

Hinweis Umsatzangaben:

INFINCO FINANCIAL LINES BROKERS

ÖFFNUNGSZEITEN

KONTAKT

SITEMAP

ADRESSE

NEWSLETTER ABONNIEREN

GEFÄLLT IHNEN UNSERE WEBSEITE?

INFINCO FINANCIAL
LINES BROKERS