Ich habe von Führungspersonen schon öfter die Aussage "Sicherheitsmassnahme XY brauchen wir nicht, wir haben eine Cyber-Versicherung" gehört. Aber niemand sagt "eine Feuerlöschanlage brauchen wir nicht, wir haben eine Feuerversicherung".Wenn die Leute wenigstens mal prüfen würden, was solche Versicherungen im Ernstfall zahlen, würden sie erschrecken. Da ist mittlerweile so viel ausgeschlossen, dass wenn man alle erforderlichen Massnahmen (Backup, Berechtigungskonzept etc.) erfüllt, man die Versicherung nicht bräuchte.
Der neueste Trend im Schlangenöl-Bereich ist "Managed Detection and Response". Sophos macht da viel Werbung. Man bezahlt das Abo, installiert einen Agent und schon ist man geschützt. Nicht nur wie mit einem Virenscanner, sondern die Systeme werden 24/7 von einem "Security Operations Center" überwacht, wo "Threat Hunter" arbeiten. Man muss sich um nichts mehr kümmern und falls doch etwas passiert, ist man bis zu einer Million $ abgesichert.
Im Kleingedruckten steht dann, dass pro System maximal 1000 $ bezahlt werden.
Früher fragte ich mich immer, wieso nigerianische Prinzen Opfer finden. So blöde kann doch keiner sein, das zu glauben, dass jemand im Internet dir Geld schenken will? Stellt sich raus: Doch. Die da draußen sind alle so blöde.