[datensicherheit.de, 20.04.2021] Cyber-Vorfälle gehörten zu den wichtigsten Geschäftsrisiken für Unternehmen weltweit und riefen die höchsten Verluste hervor – darauf machen IT-Sicherheitsexperten der PSW GROUP aufmerksam und verweisen auf das „Allianz Risiko Barometer 2021“. Laut dieser Studie seien im Jahr 2020 Cyber-Risiken neben Betriebsunterbrechungen und dem „Pandemie“-Ausbruch als eine der wichtigsten Geschäftsrisiken betrachtet worden. Betriebsunterbrechungen seien 2020 an der Tagesordnung gewesen: „Zum einen aufgrund der ,Pandemie‘, die viele Unternehmen in die Zwangspause schickte. Zum anderen aber auch aufgrund von Cyber-Sicherheitsvorfällen“, erläutert Patrycja Schrenk, Geschäftsführerin der PSW GROUP.

Foto: PSW GROUP

Patrycja Schrenk: 60 Prozent aller Schäden durch digitale Probleme in Unternehmen

PSW Group identifizierte wesentliche Cyber-Risiken: Faktor Mensch und Unternehmensnetzwerk

Letztere seien dann auch am teuersten: „Aus ihnen entstehen 60 Prozent all jener Schäden, die bei digitalen Problemen in Firmen entstehen. Die Mehrzahl aller entstehenden Schäden sind auf menschliches Versagen sowie interne Systemausfälle zurückzuführen.“ Kriminelle Angriffe jedoch wie Ransomware oder Phishing riefen die höchsten Verluste hervor.
„Wir können heutzutage zwei wesentliche Cyber-Risiken identifizieren. Das sind der Faktor Mensch und das Unternehmensnetzwerk“, sagt Schrenk. Denn obwohl der sogenannte Faktor Mensch als Sicherheitsrisiko mehr ins Bewusstsein gerückt sei, werde noch zu wenig zur Senkung dieses Risikos unternommen, kritisiert die IT-Sicherheitsexpertin:
„Tatsächlich kann IT-Sicherheit immer nur so gut sein wie der Anwendende, der die Techniken nutzt. Es ist deshalb von essenzieller Bedeutung, Mitarbeiter durch Schulungen zu sensibilisieren und auf etwaige Gefahren vorzubereiten.“

Faktor Mensch – Mitarbeiter sollten laut PSW Group Teil der Sicherheitsstrategie sein

Insbesondere Angriffe per „Social Engineering“ sowie Phishing funktionierten hervorragend auf jene Beschäftigte, die nicht gut auf diese Art eines Angriffs vorbereitet seien. Schrenk verdeutlicht dies anhand eines Beispiels: „Der Cyber-Kriminelle gibt sich als Systemadministrator des Unternehmens aus. Er ruft in der Zentrale an und behauptet, zur Behebung eines Systemfehlers das Passwort zu benötigen. Das arglose Opfer glaubt an die Geschichte und möchte mithelfen, die Sicherheit zu erhöhen. In der Annahme das Richtige zu tun, macht das Opfer genau das Falsche, indem es das Passwort preisgibt.“
Eine andere Form eines „Social Engineering“-Angriffs sei Phishing: Auch hierbei werde dem Opfer etwas vorgetäuscht um Daten abzufischen, tarnten sich die Angreifer als vertrauenswürdige Quelle – beispielsweise als Hausbank eines Unternehmens, um das Opfer dazu zu bringen, sensible Informationen herauszugeben oder Malware zu installieren.
Nach wie vor sei die E-Mail beim Phishing der beliebteste Vektor. Doch auch gefälschte Websites seien denkbar, ebenso wie Chat-Tools, Telefonanrufe oder auch Nachrichten per „Social Media“. Schrenk betont: „Es ist deshalb von höchster Wichtigkeit für eine gelungene IT-Sicherheitsstrategie, die Tatsache anzuerkennen, dass Mitarbeiter Teil dieser Sicherheitsstrategie sein müssen. Beschäftigte, die die Gefahren nicht kennen, die vom Phishing ausgehen, werden weiterhin jeden Link anklicken und wertvolle Informationen direkt in die Hände der Cyber-Kriminellen geben.“ Mitarbeiter, welche sich der Gefahren bewusst seien, agierten deutlich umsichtiger.

IT-Risiko Unternehmensnetzwerk: PSW Group warnt vor blinden Flecken in der Infrastruktur

Neben dem Faktor Mensch sei das Unternehmensnetzwerk der zweite relevante Aspekt in Bezug auf Cyber-Risiken. Zum Unternehmensnetzwerk gehörten auch alle damit gekoppelten Geräte. Hierbei gehe es nicht nur darum, Schatten-IT zu vermeiden, sondern auch darum, alle im Netzwerk befindlichen Geräte sowie deren Software aktuell zu halten, korrekt zu konfigurieren und zu überwachen. Neben der zeitnahen Einspielung von Patches gehörten dazu die Einrichtung einer Firewall gegen unerwünschte Netzwerkzugriffe sowie ein Netzwerk-Monitoring, welches darin unterstütze, in immer komplexer werdenden Netzwerkinfrastrukturen den Überblick zu behalten.
„Der Einblick ins gesamte Netzwerk einschließlich aller Schnittstellen sorgt dafür, dass keine blinden Flecken in der Infrastruktur auftauchen, die potenzielle Cyber-Risiken verursachen können“, so Schrenk und führt aus: „Cyber-Kriminelle setzen immer häufiger auf Multivektor-Angriffe. Sie suchen sich also nicht mehr einen Vektor, den sie konkret angreifen, sondern führen verschiedene Angriffsvektoren entweder abwechselnd oder auch gleichzeitig aus. Das bedeutet für Unternehmen, dass sich auch der Schutz auf alle möglichen Vektoren erstrecken muss.“
Eine wesentliche Rolle spiele auch die Cloud-Sicherheit: Die Auslagerung von Daten in die Cloud sei sinnvoll – auch, damit Informationen, die abteilungsübergreifend benötigt werden, immer und überall verfügbar seien. Schrenk mahnt jedoch zur Vorsicht: „Zum einen ist die Nutzung von US-Cloud-Anbietern nicht oder nur mit zusätzlicher Konfiguration DSGVO-konform. Zum anderen sollten auch die Zugriffe auf Cloud-Daten beschränkt werden. Denn der Vertrieb muss beispielsweise nicht auf Gehaltsabrechnungen eigener Kollegen zugreifen können. Wie immer gilt also, sinnvolle Zugriffsberechtigungen zu erteilen.“

IT-Sicherheit wird nach Einschätzung der PSW Group mehr individuell

Künstliche Intelligenz (KI) und damit zusammenhängend auch „Machine Learning“ (ML) seien ein Trend – sowohl in der Cybersecurity als auch bei Cyber-Kriminellen. Aufseiten der IT-Sicherheit trügen KI und ML dazu bei, etwaige Anomalien zügiger zu entdecken. Künstliche Intelligenz werde jedoch auch längst von Cyber-Kriminellen verwendet:
„Mit KI lassen sich beispielsweise Angriffsintensität und Erfolgsquote beim Spear-Phishing und sogenannter APT-Angriffe erhöhen, denn sie kann Aufgaben übernehmen, für die bis dahin menschliche Intelligenz nötig war.“ Ebenfalls könne KI auch eingesetzt werden, um Soziale Netzwerke, Business-Plattformen, Onlineshops und Foren zu durchforsten und künstliche Beziehungsnetzwerke aufzubauen, warnt Schrenk vor möglichen Einsatzszenarien.
Hinzu kommt laut Schrenk: Unser Arbeitsleben wandele sich. Mit „Corona“, dem Home-Office als neuem Arbeitsplatz, einer zunehmenden Angriffsfläche aufgrund neuartiger Technologien und voranschreitender Digitalisierung werde es nicht leichter, IT-Sicherheit umzusetzen. „Ganz im Gegenteil“, so Schrenk. IT-Sicherheit werde individueller. Letztlich müsse jedoch die Sicherheitsstrategie zur jeweiligen Organisation passen. „Nur wer die für sein Unternehmen relevanten Cyber-Risiken kennt, kann die entsprechenden Vorkehrungen treffen.“

Weitere Informationen zum Thema:

datensicherheit.de, 18.03.2021
Vorsicht vor Ransomware-Mythen: Schutz muss realistisch angegangen werden

PSW GROUP, Bianca Wellbrock, 09.03.2021
IT-Security / Cyber-Risiken: Wie groß ist die Gefahr von Cyberangriffen?

Allianz, 19.01.2021
Allianz Risiko Barometer 2021: Covid-19-Trio an der Spitze der Unternehmensrisiken

Von unserem Gastautor Detlev Weise, Managing Director DACH bei KnowBe4

[datensicherheit.de, 30.05.2019] Cyber-Versicherungen sind inzwischen etabliert und ein gerne gesehenes Instrument zur Absicherung von Cyber-Risiken. Inzwischen gibt es nach Angaben des Verbraucherportals des Gesamtverbandes der Deutschen Versicherungswirtschaft (GDV) 38 Anbieter in Deutschland. Doch der Abschluss einer Police ist nicht unbedingt einfach. Das Problem beginnt bereits bei der Definition eines Cyber-Angriffs sowie der Bewertung der Folgekosten von Reputationsschäden.

Problem: Bewertung von Cyber-Risiken

Das Problem setzt sich bei den Versicherern fort, die bei jeder neuen Police prüfen müssen, wie sie Cyber-Risiken bewerten sollen. Um einige dieser Probleme zumindest für Unternehmen zu beheben, hat KnowBe4 eine Liste mit fünf Tipps für den Abschluss einer Cyberversicherung zusammengestellt:

1. Cyber-Risiken bewerten
   Am Anfang sollte eine umfassende Bewertung der Cyber-Risiken erfolgen. Es ist wichtig, genau herauszufinden, wo die tatsächlichen Risiken beim Versicherten liegen, denn das wird bestimmen, welche Art von Cyberversicherung abgeschlossen werden muss. Werden beispielsweise personenbezogene Daten, Kreditkarteninformationen oder andere sensible Daten in der Cloud ausgelagert? Oder sind es nur Verkaufszahlen oder andere eher weniger sensible Daten? Werden regelmäßig Transaktionen durchgeführt? All dies sind wichtige Fragen, die beantwortet werden müssen, um das Cyberrisiko richtig einzuschätzen. Das grundsätzliche Problem ist, dass bei vielen Unternehmen, aber auch Versicherungen keine Schadenshistorien vorliegen, es gibt also kaum Vergleichswerte oder Vergleichsfälle, die zur Bewertung hinzugezogen werden können.
2. Alle Bedingungen der Police sorgfältig durchlesen
   Unterschiedliche Definitionen von Begriffen sind nur ein Grund, warum man die Police sorgfältig durchlesen sollte. Ein weiterer Grund ist, sicherzustellen, dass sie gut zum Unternehmen und seinem Risikoniveau passt.
3. Absicherung durch Schäden von IT-bedingten Betriebsunterbrechungen
   Eines der wichtigsten Elemente, die Cyber-Versicherungen abdecken müssen, sind IT-bedingte Betriebsunterbrechungen. Es gibt normalerweise eine Wartezeit, bevor die Schadensregulierung beginnt. Sobald die Schadensregulierung gestartet wird, werden finanzielle Verluste abgedeckt, die während der Ausfallzeit entstehen. Die IT-bedingte Betriebsunterbrechung bietet Schutz vor finanziellen Verlusten, wenn ein bestimmter Geschäftspartner einen vorab definierten Cyber-Ereignisfall bzw. Sicherheitsvorfall hat und nicht in der Lage ist, eine Dienstleistung für das betroffene Unternehmen zu erbringen oder aber Waren oder Materialien fristgerecht auszuliefern.
4. Fachleute können unterstützen und werden von der Versicherung gestellt
   Oft deckt das aktuelle Versicherungsportfolio bereits bestimmte Cybersicherheitsvorfälle ab. Darüber hinaus ist in Cyberversicherungen zumeist ein Support in Form von spezialisierten Anwälten und forensischen Beratern inkludiert, die im Falle eines Sicherheitsvorfalls helfen können. Diese Fachleute bestehen aus vorab geprüften Teams, die in diesem Bereich Erfahrungen gesammelt und in der Regel bereits früher bei ähnlichen Fällen zusammengearbeitet haben. Das Team wird in der Regel von einem Anwalt unterstützt, der sich mit den Gesetzen und Vorschriften in den Bereichen Cybersicherheit und Datenschutz bestens auskennt. Gerade für kleine und mittlere Unternehmen, die sich oft fragen müssen, was sie tun sollen und welche Ressourcen sie bei einem Sicherheitsvorfall zusammenstellen müssen, kann der Zugang zu diesem Team sehr hilfreich sein.
5. Verantwortlichkeiten im Vorfeld abklären
   Schließlich muss man verstehen, wofür man im Rahmen der Police verantwortlich ist. Wer muss beispielsweise benachrichtigt werden, wenn ein Sicherheitsverstoß auftritt? Oder was passiert, wenn ein Hacker seit Jahren in die Systeme eindringt, aber dies jetzt erst erkannt wurde? In diesem Fall wäre eine rückwirkende Cyber-Versicherung sinnvoll. Das genaue Verständnis dessen, was im Falle eines Sicherheitsvorfalls getan werden muss, kann den Unterschied ausmachen, ob die Versicherung den Schaden reguliert oder nicht.

Bild: KnowBe4

Detlev Weise, Managing Director DACH bei KnowBe4

Fazit

Das Wichtigste jedoch ist, dass keine Cyber-Versicherung in der Hoffnung abgeschlossen werden sollte, dass sie eh niemals zum Einsatz kommt. Die Anforderungen der Police sollten berücksichtigen, wie die Meldung eines Schadensfalls vorgenommen wird und wann die Zustimmung des Versicherers eingeholt werden muss, bevor man auf einen Sicherheitsvorfall reagiert. All das muss in den allgemeinen Krisenreaktionsplan des Unternehmens einfließen. Wenn alle diese Punkte berücksichtigt werden, sollte ein Kauf der richtigen Cyberversicherung für das Unternehmen etwas einfacher werden. Unabhängig vom Abschluss einer solchen Versicherung sollten Unternehmen dennoch in Security Awareness-Trainings ihrer Mitarbeiter und Führungskräfte investieren, um sich mit „menschlichen Firewalls“ gegen Cyberangriffe zu wappnen.

Weitere Informationen zum Thema:

datensicherheit.de, 29.04.2019
Plansecur empfiehlt Cyberversicherungen gegen Hacker

datensicherheit.de, 26.06.2018
Cyber-Risiken: BIGS über die Grenzen der Versicherbarkeit

datensicherheit.de, 19.11.2017
Viele offene Fragen und wenige Antworten: EU-DSGVO und Cyber-Versicherung

datensicherheit.de, 22.10.2016
Mittelstand laut SicherheitsMonitor 2016 zu sorglos gegenüber Cyber-Risiken

datensicherheit.de, 09.09.2015
Unternehmen müssen sich für eine neue Dimension von Cyberrisiken wappnen

datensicherheit.de, 15.05.2014
AppRiver-Umfrage: Versicherung von Cyber-Risiken