Cyber-Versicherungsanforderungen werden strenger: Was Ihre Architektur nachweisen muss
Ein praxisorientierter Leitfaden zur Zuordnung von Cyber-Versicherungs-Fragebogenanforderungen zu Azure-Kontrollen, mit Strategien zur Evidenzsammlung und kontinuierlicher Compliance.
Cyber-Versicherungsantraege haben sich von einfachen Frageboegen in detaillierte technische Audits verwandelt. Versicherer begnuegen sich nicht mehr mit einem "Ja" auf einem Formular — sie wollen Evidenz. Einige fuehren nun Pre-Binding-Technical-Assessments durch oder fordern Attestierungen von unabhaengigen Parteien. Wenn Ihre Architektur die Compliance mit Versicherer-Anforderungen nicht nachweisen kann, drohen Deckungsablehnung, Ausschluesse bei kritischen Szenarien oder Praemien, die den Versicherungsschutz unwirtschaftlich machen.
Dieser Leitfaden ordnet die haeufigsten Versicherer-Anforderungen Azure-Kontrollen zu und zeigt, wie Sie eine kontinuierliche Evidenzsammlung aufbauen.
Die Perspektive des Versicherers
Das Verstaendnis, warum Versicherer spezifische Kontrollen fordern, hilft bei der Priorisierung der Implementierung. Versicherer basieren ihre Anforderungen auf Schadendaten. Die Kontrollen, die sie vorschreiben, sind diejenigen, deren Fehlen am staerksten mit erfolgreichen Angriffen und hohen Schaeden korreliert.
Top-Schadentreiber 2025-2026:
- Business Email Compromise (BEC) — oft ermoeglicht durch fehlende phishing-resistente MFA
- Ransomware — typischerweise durch ungepatchte Schwachstellen, schwachen Fernzugriff oder kompromittierte privilegierte Konten
- Datenexfiltration — ermoeglicht durch unzureichendes Logging und langsame Erkennung
- Supply-Chain-Kompromittierung — ermoeglicht durch unzureichendes Third-Party-Risikomanagement
Jede technische Anforderung eines Versicherers ordnet sich direkt einer dieser Schadenskategorien zu.
Überblick: Anforderungen und Kontrollen
Zuordnung der Anforderungen zu Azure-Kontrollen
Anforderung 1: MFA fuer alle Benutzer und Fernzugriff
Was Versicherer fragen:
- Ist MFA fuer alle Benutzer bei Zugriff auf E-Mail und Cloud-Anwendungen erzwungen?
- Ist MFA fuer allen Fernzugriff (VPN, RDP, SSH) erzwungen?
- Ist MFA fuer allen administrativen Zugriff erzwungen?
Azure-Implementierung:
Erstellen Sie drei Conditional Access Policies fuer diese Szenarien:
Alle Benutzer — alle Cloud Apps:
- Ziel: Alle Benutzer (nur Break-Glass-Accounts ausschliessen)
- Cloud Apps: Alle Cloud Apps
- Gewaehren: Authentifizierungsstaerke — MFA erfordern
Fernzugriff:
- Ziel: Alle Benutzer
- Bedingungen: Jeder Standort ausser vertrauenswuerdigen (Unternehmens-)Standorten
- Gewaehren: Authentifizierungsstaerke — Phishing-resistente MFA
Administrativer Zugriff:
- Ziel: Directory Roles (alle Admin-Rollen)
- Cloud Apps: Alle Cloud Apps
- Gewaehren: Authentifizierungsstaerke — Phishing-resistente MFA
Evidenzsammlung:
- Conditional Access Policy-Definitionen (JSON) aus Entra ID exportieren
- Entra ID Sign-In-Logs mit MFA-Abschlussraten abrufen
- Authentication Methods Activity Report mit Registrierungsabdeckung generieren
- Screenshot des Conditional Access "What If"-Tools, das die Durchsetzung fuer Beispielbenutzer bestaetigt
Anforderung 2: Endpoint Detection and Response (EDR)
Was Versicherer fragen:
- Ist EDR auf allen Endpoints deployed (Workstations, Server, Mobile)?
- Werden EDR-Alerts 24/7 ueberwacht?
- Ist automatisierte Response fuer hochzuverlaessige Bedrohungen aktiviert?
Azure-Implementierung:
Deployen Sie Microsoft Defender for Endpoint ueber alle verwalteten Geraete via Intune. Fuer Server aktivieren Sie Defender for Servers Plan 2 in Defender for Cloud.
Erstellen Sie eine Azure Policy, die das EDR-Deployment auditiert:
{
"if": {
"allOf": [
{ "field": "type", "equals": "Microsoft.Compute/virtualMachines" },
{ "field": "Microsoft.Compute/virtualMachines/storageProfile.osDisk.osType", "equals": "Windows" }
]
},
"then": {
"effect": "auditIfNotExists",
"details": {
"type": "Microsoft.Compute/virtualMachines/extensions",
"existenceCondition": {
"allOf": [
{ "field": "Microsoft.Compute/virtualMachines/extensions/type", "equals": "MDE.Windows" },
{ "field": "Microsoft.Compute/virtualMachines/extensions/provisioningState", "equals": "Succeeded" }
]
}
}
}
}Evidenzsammlung:
- Defender for Cloud Coverage Report fuer alle Subscriptions mit aktiviertem Defender for Servers
- Intune Device Compliance Report mit Defender for Endpoint Onboarding-Status
- Defender for Endpoint Device Inventory mit Sensor-Health fuer alle Geraete
- Sentinel Incident Log, der 24/7-Alert-Triage-Aktivitaet zeigt
Anforderung 3: Backup-Testing und Isolation
Was Versicherer fragen:
- Werden Backups fuer alle kritischen Systeme durchgefuehrt?
- Werden Backups regelmaessig getestet (Restore Tests)?
- Sind Backups vom Produktionsnetzwerk isoliert (Air-Gapped oder Immutable)?
- Was ist das Recovery Time Objective und wurde es validiert?
Azure-Implementierung:
Verwenden Sie Azure Backup mit Immutable Vaults:
- Immutable Vault-Eigenschaft auf allen Recovery Services Vaults aktivieren — dies verhindert, dass Backup-Daten geloescht oder modifiziert werden, selbst von Administratoren
- Soft Delete mit mindestens 14 Tagen Aufbewahrung konfigurieren
- Multi-User Authorization fuer kritische Backup-Operationen aktivieren (Loeschen, Retention reduzieren)
- Cross-Region Restore fuer georedundante Disaster Recovery
Fuer Backup-Testing einen automatisierten monatlichen Restore-Test aufbauen:
- Azure Automation Runbook loest Restore des letzten Backups in eine isolierte Resource Group aus
- Post-Restore-Validierungsskript prueft Datenintegritaet und Anwendungsgesundheit
- Ergebnisse werden in einem Log Analytics Workspace protokolliert
- Wiederhergestellte Ressourcen werden nach Validierung automatisch bereinigt
Evidenzsammlung:
- Azure Backup Reports mit Backup-Erfolgsraten und Policy-Compliance
- Restore-Test-Logs aus dem Automation Runbook (Daten, getestete Systeme, Ergebnisse)
- Immutable Vault-Konfigurationsscreenshots
- Recovery-Time-Messungen aus tatsaechlichen Restore-Tests
Anforderung 4: Privileged Access Management
Was Versicherer fragen:
- Werden privilegierte Konten separat von Standardkonten verwaltet?
- Ist Just-in-Time-Zugriff fuer administrative Rollen implementiert?
- Werden privilegierte Zugriffssessions ueberwacht und aufgezeichnet?
- Wie viele Benutzer haben stehenden Global-Administrator-Zugriff?
Azure-Implementierung:
Deployen Sie Entra ID Privileged Identity Management (PIM):
- Alle stehenden Admin-Rollenzuweisungen in eligible Zuweisungen umwandeln
- Maximale Aktivierungsdauer auf 8 Stunden setzen
- Begruendung und Genehmigung fuer Global Administrator-Aktivierung erfordern
- Phishing-resistente MFA bei Aktivierung erfordern
- Quartalsweise Access Reviews fuer alle privilegierten Rollen konfigurieren
Nur 2 Break-Glass-Accounts mit stehendem Global-Administrator-Zugriff beibehalten.
Evidenzsammlung:
- PIM Role Settings Export, der eligible (nicht aktive) Zuweisungen zeigt
- PIM Activation Audit Logs mit Begruendungs- und Genehmigungsworkflow
- Access Review Completion Reports
- Zaehlung stehender vs. berechtigter privilegierter Rollenzuweisungen
Anforderung 5: Patch Management
Was Versicherer fragen:
- Was ist Ihre Patch-Kadenz fuer kritische Schwachstellen?
- Was ist Ihr SLA fuer Zero-Day- und aktiv ausgenutzte Schwachstellen?
- Haben Sie Sichtbarkeit auf den Patch-Compliance-Status aller Systeme?
Azure-Implementierung:
Verwenden Sie Azure Update Management Center:
- Wartungsfenster fuer regelmaessiges Patching konfigurieren (monatlich fuer Standard, woechentlich fuer kritisch)
- Assessment-Schedule auf taeglich fuer alle VMs setzen
- Compliance Reports erstellen, die den Patch-Status ueber das gesamte Estate zeigen
Patch-SLAs definieren:
| Schweregrad | SLA | Durchsetzung |
|---|---|---|
| Kritisch (aktiv ausgenutzt) | 48 Stunden | Notfall-Change-Prozess |
| Kritisch | 7 Tage | Prioritaets-Wartungsfenster |
| Hoch | 14 Tage | Standard-Wartungsfenster |
| Mittel | 30 Tage | Standard-Wartungsfenster |
| Niedrig | 90 Tage | Naechster Quartalszyklus |
Anforderung 6: E-Mail-Sicherheit
Deployen Sie Microsoft Defender for Office 365 Plan 2:
- Anti-Phishing-Policies mit Mailbox Intelligence und Impersonation Protection konfigurieren
- Safe Links mit URL Detonation aktivieren
- Safe Attachments mit Dynamic Delivery aktivieren
- DMARC mit
p=rejectPolicy konfigurieren (nach Monitoring-Periode) - Attack Simulation Training mit monatlichen Phishing-Simulationen aktivieren
Anforderung 7: Incident-Response-Plan
Dokumentieren Sie Ihren IR-Plan und integrieren Sie ihn mit Azure-Tooling:
- Sentinel Playbooks, die die automatisierten Response-Schritte implementieren
- Vorkonfigurierte Investigation Workbooks fuer gaengige Incident-Typen
- Dokumentierte Eskalationsmatrix mit Kontaktdaten
- Retainer-Vereinbarung mit einer externen IR-Firma
Fuehren Sie Tabletop-Uebungen zweimal jaehrlich und mindestens eine technische Uebung jaehrlich durch.
Aufbau eines Compliance-Evidenz-Repository
Erstellen Sie ein strukturiertes Evidenz-Repository, das jede Versicherer-Anforderung zuordnet zu:
- Kontrollbeschreibung — was Sie tun
- Azure Service — welcher Azure Service es implementiert
- Evidenzquelle — wo die Evidenz abgerufen wird
- Sammlungsfrequenz — wie oft Evidenz aktualisiert wird
- Aktueller Status — konform / nicht konform / teilweise
Automatisieren Sie die Evidenzsammlung mit Azure Workbooks und geplanten Logic App-Exporten. Streben Sie an, jedes Beweisstuck innerhalb von 24 Stunden nach einer Versicherer-Anfrage aktualisierbar zu haben.
Azure Policy Initiative fuer Versicherungs-Compliance
Erstellen Sie eine benutzerdefinierte Azure Policy Initiative, die die Anforderungen Ihres Versicherers kodifiziert:
{
"properties": {
"displayName": "Cyber-Versicherungs-Compliance-Kontrollen",
"policyDefinitions": [
{ "policyDefinitionId": "/providers/Microsoft.Authorization/policyDefinitions/[mfa-policy-id]" },
{ "policyDefinitionId": "/providers/Microsoft.Authorization/policyDefinitions/[edr-policy-id]" },
{ "policyDefinitionId": "/providers/Microsoft.Authorization/policyDefinitions/[backup-policy-id]" },
{ "policyDefinitionId": "/providers/Microsoft.Authorization/policyDefinitions/[patch-policy-id]" },
{ "policyDefinitionId": "/providers/Microsoft.Authorization/policyDefinitions/[encryption-policy-id]" },
{ "policyDefinitionId": "/providers/Microsoft.Authorization/policyDefinitions/[logging-policy-id]" }
]
}
}Weisen Sie diese Initiative auf Management-Group-Ebene zu und pruefen Sie die Compliance woechentlich. Trending Compliance Scores ueber die Zeit demonstrieren Versicherern, dass Sie nicht nur heute konform sind — Sie halten die Compliance kontinuierlich aufrecht.
Haeufige Fehler
"Ja" ohne Evidenz antworten. Versicherer ueberpruefen zunehmend Angaben. Wenn Sie angeben, dass MFA fuer alle Benutzer erzwungen wird, Ihre Conditional Access Policies aber breite Ausschluesse haben, riskieren Sie Deckungsablehnung nach einem Schadensfall.
Backup-Restore-Testing vernachlaessigen. Backups zu haben reicht nicht. Versicherer wollen Evidenz, dass Sie tatsaechlich daraus wiederherstellen koennen. Ein ungetestetes Backup ist kein Backup.
Stehender privilegierter Zugriff. Wenn 15 Personen permanenten Global-Administrator-Zugang haben, ist Ihre Antwort auf "Wird privilegierter Zugriff verwaltet?" effektiv "Nein", unabhaengig davon, was Sie sonst noch implementiert haben.
Erneuerungszeitraum ignorieren. Evidenzsammlung braucht Zeit. Beginnen Sie 60 Tage vor der Policen-Erneuerung, nicht 5 Tage vorher.
Fazit
Cyber-Versicherungsanforderungen sind ein Treiber fuer die Verbesserung der Sicherheitsarchitektur. Anstatt sie als Belastung zu betrachten, nutzen Sie sie als priorisierte Checkliste von Kontrollen, die Ihr Risiko materiell reduzieren. Die Kontrollen, die Versicherer fordern, sind dieselben, die die haeufigsten und teuersten Angriffe verhindern.
Wenn Sie Hilfe bei der Zuordnung Ihrer Azure-Architektur zu Versicherer-Anforderungen, beim Aufbau der Evidenzsammlung-Automatisierung oder bei der Vorbereitung auf ein Pre-Binding-Technical-Assessment benoetigen, kontaktieren Sie uns unter mbrahim@conceptualise.de. Wir helfen Unternehmen, die Sicherheitspostur nachzuweisen, die Versicherer verlangen.
Themen