[datensicherheit.de, 15.12.2020] Das Thema 5G wurde in den vergangenen Monaten aus vielerlei Perspektive diskutiert und durchleuchtet. Sergej Epp, Chief Security Officer bei Palo Alto Networks in Zentraleuropa, erläutert wie sich rechtliche Regulierung auf die 5G-Sicherheit in Europa auswirken wird.

Der Experte für Cybersicherheit erklärt:

Sergej Epp, Chief Security Officer bei Palo Alto Networks, Foto: Palo Alto Networks

„In den letzten Jahren hat in Europa eine lebhafte Diskussion über die Telekommunikations- und 5G-Sicherheit stattgefunden. Viele Telekommunikationsanbieter sind aktuell mit der Entwicklung der Cybersicherheitsarchitekturen sowohl für bestehende 4G-Netze als auch für geplante 5G-Technologien beschäftigt. Viele von diesen stehen nun vor der Einführung. Dieser verstärkte Fokus ist eine Reaktion auf die wachsende Zahl von Cyberbedrohungen in mobilen Netzwerken sowie auf die Erkenntnis, dass der Aspekt ‚Sicherheit‘ ein wichtiges Unterscheidungsmerkmal für künftige Dienstleistungen wird. Es ist aber auch eine Reaktion auf die wachsenden Erwartungen der politischen Entscheidungsträger von Regierungen, wenn es um das Thema ‚Vertrauen in 5G Netzwerke‘ geht.

Als weltweit tätiges Unternehmen für Cybersicherheit arbeitet Palo Alto Networks mit zahlreichen Telekommunikationsanbietern und Unternehmen auf der ganzen Welt zusammen, die auf mobile Netzwerke angewiesen sind. Wir haben weltweit zahlreiche Lösungen realisiert, die es den Kunden ermöglichen, mobile protokoll-spezifische Bedrohungen, Malware und andere Schwachstellen in Mobilfunknetzen zu mitigieren und somit mögliche Cyber-Risiken zu reduzieren.

Umfang und Ausgereiftheit von Cyberangriffen hat stark zugenommen

Seit einigen Jahren beobachten wir, dass die Gefahren und Cyberangriffe auf diese Netzwerke in Umfang und Ausgereiftheit weiter stark zugenommen haben. Dabei stehen nicht nur die Netzwerkinfrastrukturen und Protokolle im Fokus der Angreifer, sondern auch die angeschlossenen und zunehmend kritischen Geräte, Dienste und Anwendungen (z.B. Roboter, Drohnen, etc). Die Wirkung der möglichen Angriffe steigt also. In Zukunft wird sich das Tempo der Angriffe beschleunigen, nicht zuletzt aufgrund der höheren Geschwindigkeit, mit der 5G- Netze einhergehen, sowie durch die wachsende Angriffsfläche, die sich aus dem schieren Volumen der IoT-Geräte ergibt. All dies macht die Cybersicherheit von Netzwerken, Daten, IoT-Geräten und Unternehmensdiensten unerlässlich. Um diesen Herausforderungen zu begegnen, hat Palo Alto Networks vor kurzem die branchenweit erste 5G-native Sicherheitslösung eingeführt, die containerisierte 5G-Sicherheit, Echtzeit-Korrelation von Bedrohungen mit 5G-Identifikatoren und 5G-Network-Slice-Sicherheit umfasst.

Europäische Regierungen erlassen Gesetze und Richtlinien

Die europäischen Regierungen wissen sehr genau , was beim Aufbau von 5G-Netzwerken auf dem Spiel steht, und erlassen daher Gesetze und Richtlinien, die Unternehmen dazu ermutigen, Cyber-Risiken in Telekommunikationsnetzwerken zu mitigieren. Im April 2020 veröffentlichte zum Beispiel die deutsche Bundesnetzagentur den Entwurf für einen Katalog der Sicherheitsanforderungen für das Betreiben von Telekommunikations- und Datenverarbeitungssystemen, sowie für die Verarbeitung personenbezogener Daten, Version 2.0. Anhang I, Abschnitt 2.2 des Katalogs fordert von Anbietern von Telekommunikationsdiensten mit einer IP-Infrastruktur“, die Verkehrsdaten regelmäßig auf Auffälligkeiten zu überwachen, „um Angriffe oder Fehler zu erkennen“ und eine geeignete Monitoring-Infrastruktur zu implementieren, die in der Lage sein sollte, Bedrohungen kontinuierlich zu erkennen und zu verhindern.  Als geeignete Datenquellen für die Sicherheitsüberwachung können zum Beispiel BGP-Router, DNS-Server, E-Mail und IPSec dienen, so der Katalog. Der deutsche Leitfaden ist lobenswert, weil er verdeutlicht, dass die Überwachung von Netzwerken auf Bedrohungen und die Verhinderung von Angriffen in Echtzeit von wesentlicher Bedeutung sind, um das Volumen und die Auswirkungen von Cyberattacken auf die nationale Infrastruktur, Regierungsnetze, Unternehmen und Bürger zu verringern. Die Sicherheitsanforderungen werden Berichten zufolge noch vor Ende 2020 offiziell in einem Bundesanzeiger bekannt gegeben.

Prinzip der „geringsten Berechtigung“

Die Bemühungen Deutschlands um die Sicherheit von 5G-Netzwerkinfrastrukturen sind im  Kontext weitreichender politischer Aktivitäten in ganz Europa zu sehen. Im Januar 2020 veröffentlichte die Europäische Kommission die Toolbox zur 5G-Cybersicherheit, die den  EU-Mitgliedsstaaten dabei helfen soll, sowohl strategische wie auch technische Maßnahmen für die Sicherung von 5G Technologien umzusetzen. Zu diesen Maßnahmen gehören strenge Zugangskontrollen, das Prinzip der „geringsten Berechtigung“ (Konzept und die Praxis der Einschränkung von Zugriffsrechten für Benutzer), die Segmentierung der Netzwerke und effektive Authentifizierung, Autorisierung, Protokollierung und Prüfung. Die Umsetzung der Toolbox ist zwar freiwillig, erfolgt jedoch auf nationaler Ebene. Die Toolbox ist in gewissem Masse der empfohlene „Werkzeugkasten“ für die Mitgliedstaaten, um den europäischen Kodex für elektronische Kommunikation (EECC) als ein umfangreiches neues EU-Telekommunikationsrecht, in nationales Recht, bis Dezember 2020 umzusetzen.

Sicherheitsmaßnahmen sollten „den Stand der Technik berücksichtigen“

Die Sicherheitsanforderungen des EECC in Artikel 40 und 41 fordern die Anbieter von öffentlichen elektronischen Kommunikationsnetzen oder öffentlich zugänglichen elektronischen Kommunikationsdiensten auf, „angemessene und verhältnismäßige technische und organisatorische Maßnahmen zu ergreifen, um die Risiken für die Sicherheit von Netzen und Diensten angemessen zu handhaben“. Diese Maßnahmen sollten „den Stand der Technik berücksichtigen“, „ein dem vorhandenen Risiko angemessenes Sicherheitsniveau gewährleisten“ und „die Auswirkungen von Sicherheitsvorfällen auf Nutzer und andere Netze und Dienste verhindern und auf ein Mindestmaß beschränken“.

Dazu hat die Europäische Agentur für Cybersicherheit (ENISA) am 10. Dezember 2020 zwei Dokumente für die nationalen Regulierungsbehörden der Mitgliedstaaten herausgegeben, um sie bei der Umsetzung dieser Bestimmungen zu unterstützen: die Leitlinie für Sicherheitsmaßnahmen im Rahmen des EECC und eine 5G-Ergänzung zu dieser Leitlinie.

Dienstanbiter investieren in Cybersicherheit

Ungeachtet der Gesetzgebung und Richtlinien haben viele europäische Dienstanbieter bereits begonnen, in bewährte, hochmoderne Sicherheitstools und -fähigkeiten zur Sicherung von Netzwerken zu investieren. Dies gilt insbesondere seit dem Aufkommen von Sicherheitslücken in 4G und 5G Protokollen. Bei diesen Investitionen handelt es sich vor allem um Lösungen für Echtzeitabwehr, Authentifizierung und Zugangskontrolle, Netzwerksegmentierung und Containersicherheit. Die Telekommunikationsdiensteanbieter folgen damit den bewährten Prinzipien wie Zero-Trust-Architekturen, Prävention und Automatisierung. Wichtig ist, dass sich Netzbetreiber zunehmend der Notwendigkeit bewusst werden, eine ständige Echtzeit-Überwachung und -Regeldurchsetzung aufrechtzuerhalten, um jederzeit in der Lage zu sein, Cyber-Sicherheitsbedrohungen im mobilen Verkehr fortlaufend zu erkennen und zu stoppen. In diesem Zusammenhang hat die GSMA, der Branchenverband, der die Interessen von Mobilfunkbetreibern weltweit vertritt, darunter mehr als 200 europäische Betreiber, im März 2020 ein Referenzdokument herausgegeben, das Empfehlungen für Telekommunikationsdiensteanbieter zur Erkennung und Verhinderung von Angriffen auf die GPRS-Tunnelprotokoll-Nutzerebene (GTP-U) gegen Mobilfunknetze, -dienste und -anwendungen enthält.

Unternehmen bereiten sich auf Nutzung von %G vor

Neben den Telekommunikationsanbietern, bereiten sich aber auch die Unternehmen darauf vor, private 5G-Netze zu nutzen. Zum Beispiel hat die deutsche Bundesnetzagentur kürzlich mehr als 80 Lizenzen für Frequenzen im Frequenzband von 3.700 bis 3.800 MHz an Firmen wie Audi, Bosch und Lufthansa zur Nutzung von lokalen 5G-Netzen vergeben. Dabei ist es dringend notwendig, dass die Regulierungsbehörden auch diese privaten 5G Netzwerke nicht außer acht lassen. Vielen kritische Anwendungsfälle wie Industrieroboter oder selbstfahrende Fahrzeuge werden nämlich vor allem in privaten und nicht in den öffentlichen 5G-Netzwerken umgesetzt.

Internationale Verbände beim Thema 5G involviert

Auch viele internationale Verbände beschäftigen sich aktuell mit dem Thema 5G Sicherheit. So führt beispielsweise das in der Schweiz ansässige Weltwirtschaftsforum eine branchenübergreifende Initiative durch, die einen nachhaltigen und sicheren Übergang zur nächsten Generation von Mobilfunknetzen beschleunigen soll. Das Ziel der Initiative ist es, hochrangigen Führungskräften die aufkommenden Sicherheitsrisiken und systemischen Herausforderungen von Mobilfunknetzen zu vermitteln. Dabei erarbeiten sie wichtige Empfehlungen für Maßnahmen, mit deren Hilfe diese Risiken besser verstanden und beherrschbar gemacht werden können.

Eins steht fest: Investitionen in die Cybersicherheit werden unverzichtbar sein, wenn es um die Zukunft der Mobilfunknetze geht. Gleichzeitig wird weitere Regulierung der 5G-Sicherheit dazu beitragen, die Grundsicherheit dieser kritischen Netzwerke zu erhöhen und Cyber-Risiken zu reduzieren.  Leitlinien helfen vor allem kleinen Mobilfunkbetreibern oder Betreibern privater 5G-Netzwerke, wie z.B. Unternehmen, die sich oft keine Cybersicherheitsexpertise zu diesem Thema leisten können.

Ähnlich wie im Finanzsektor kann die Regulierung der Sicherheit mobiler Netzwerke dazu beitragen, zum einen das Vertrauen in die Infrastruktur und Technologie zu stärken, aber auch neue Geschäftsmodelle zu ermöglichen. Es ist nicht überraschend, dass einige Telekommunikationsanbieter dieses bereits erkannt haben und Investitionen in die Cybersicherheit getätigt haben, um damit einer stärkeren Marktdifferenzierung Vorschub zu leisten und neue Geschäftsmöglichkeiten zu ermöglichen.

Zeit zum Handeln

Jetzt ist es jedoch an der Zeit, dass alle handeln müssen. Die Cybersicherheit muss bereits in der Entwurfsphase (Stichwort: Security by Design) künftiger Telekommunikationsnetzwerke von allen relevanten Akteuren berücksichtigt werden: Mobilfunknetzbetreiber, Regierungen und Unternehmen, die ihre eigenen privaten Netzwerke betreiben. Möglich wird das nur durch einen umfassenden Ansatz, der die Risiken der angeschlossenen Geräte, der Netzwerkinfrastruktur und der eigentlichen Netzwerke berücksichtigt, und je nach Anwendungsfall entsprechend umsetzt.“

Weitere Informationen zum Thema:

datensicherheit.de, 03.04.2020
Sichere Erschließung des Potenzials der digitalen 5G-Wirtschaft

Von unserem Gastautor Kristian von Mejer, Global Account Executive bei Forescout Technologies Inc.

[datensicherheit.de, 04.09.2020] Das Analystenhaus Gartner ging 2019 davon aus, dass in diesem Jahr mehr als 5,8 Milliarden als IoT (Internet of Things) bezeichnete Geräte in Großunternehmen und der Automobilindustrie allein eingesetzt werden. Die Schätzungen über die gesamte Anzahl der IoT liegt bei etwa 20 Milliarden bis 2022. Die schiere Anzahl birgt leider auch eine Menge Cyber-Risiken. Die Suchmaschine Shodan untersucht speziell IoT mit offenen Ports und wird von beiden Seiten, von Sicherheitsexperten aber auch Cyberkriminellen, für die Recherche genutzt. Weitere Suchmaschinen dieser Art sorgen dafür, dass die Angreifer den Verteidigern, wenn sie ihre Hausaufgaben bezüglich der Erkennung ihrer IoT im Netzwerk nicht machen, überlegen sind. Sicherheitsverantwortliche müssen daher einerseits einen kompletten Überblick über alle im Netzwerk befindlichen IoT haben, andererseits aber auch einschätzen können, von welchen dieser Geräte das größte Sicherheitsrisiko ausgeht.

Kristian von Mejer, Forescout Technologies Inc., © Forescout Technologies Inc.

Die Device-Cloud von Forescout beinhaltet detaillierte Informationen über mittlerweile mehr als 11 Millionen Geräte von über 1.200 Organisationen. Durch die Analyse dieses Datenbestands konnte das Unternehmen in seinem jüngsten Report untersuchen, wie Cyberrisiken auf einzelnen IoT-Geräten auf der Grundlage von sechs quantifizierbaren Risikofaktoren modelliert werden können – all dies auf automatisierte und kontinuierliche Weise. Vorstände und Führungskräfte wollen heute genau wissen und besonders messen, wo sich ihr höchstes Cyberrisiko befindet.

Die Notwendigkeit, Betriebssysteme zu patchen, den Zugang zu Netzwerkdiensten einzuschränken und IoT-spezifische Betriebssysteme unter Kontrolle zu halten, wird nicht so bald verschwinden.

Verteilung der Betriebssystemkategorien nach Branchenvertikalen

Windows und verschiedene Linuxderivate dominieren die Betriebssystemkategorien in allen Unternehmensbereichen, wobei Windows-Betriebssysteme allein mehr als 50 Prozent der Gesamtzahl ausmachen. Diese Betriebssysteme werden in den meisten Workstations, Servern und sogar einigen eingebetteten Geräten verwendet, so dass ihre weitverbreitete Präsenz keine Überraschung ist. Was Macintosh- und UNIX-Betriebssysteme betrifft, so sind sie weniger populär, wobei Macintosh vor allem in Laptops und Workstations auftaucht und UNIX-Varianten immer noch einen beträchtlichen Teil der IT-Server ausmachen, insbesondere in der Fertigung. Netzwerkausrüstung mit Cisco-OS (eine Gruppe, die mehrere Varianten von Betriebssystemen umfasst, die in Cisco-Ausrüstung verwendet werden, wie zum Beispiel IOS) ist die drittgrößte Gesamtkategorie, was die Herstellerhomogenität von Netzwerkumgebungen unterstreicht. Interessant ist, dass diese netzwerkspezifischen Betriebssysteme in mehr als zehn Prozent der Geräte in der Finanzdienstleistungs- und Gesundheitsbranche auftauchen: Den beiden Branchen mit dem höchsten Anteil an Netzwerkgeräten.

Mit durchschnittlich mehr als 37 Schwachstellen pro Jahr, die im letzten Jahrzehnt alleine bei Versionen von Cisco IOS gefunden wurden, ist dies eine Kategorie von Betriebssystemen, der Sicherheitsteams besondere Aufmerksamkeit widmen sollten.

Es folgen die mobilen Betriebssysteme (iOS und Android), was ein Indikator für die Anwendung mobiler Geräte in modernen Unternehmensumgebungen ist, insbesondere in der Regierung, wo iOS- und Android-Geräte zusammen mehr als 15 Prozent der Geräte ausmachen. Mobile Bedrohungen entwickeln sich rasch weiter. Obwohl viele Sicherheitsteams nach wie vor der Meinung sind, dass mobile Bedrohungen auf persönliche Geräte und Endbenutzer abzielen, erlitten 33 Prozent der Organisationen 2018 einen Sicherheitsvorfall mit mobilen Geräten, wobei 60 Prozent von ihnen den Vorfall als schwerwiegend einstuften.

Legacy Windows-Bedrohung

Da Windows in allen Branchenvertikalen das beliebteste Betriebssystem ist, wurden seine Versionen zusammen mit zwei wichtigen aktuellen Sicherheitslücken, welche das Betriebssystem betreffen, genauer analysiert. Die nachstehende Abbildung zeigt den Prozentsatz der Geräte in jeder Vertikalen, auf denen nicht unterstützte Versionen von Windows laufen. Das bedeutet alle Versionen vor Windows 7, wie Vista und XP, sowie diejenigen, auf denen Versionen ausgeführt werden, welche

lediglich über das Extended Security Updates (ESU)-Programm unterstützt werden. Das heißt alle Versionen von Windows 7 ab dem 14. Januar 2020.

Verteilung von Windows-Legacy-Geräten, Bild: Forescout

Obwohl die wirklich veralteten und nicht unterstützten Versionen jeweils weniger als einen Prozent der Geräte in jeder Branche ausmachen (mit dem Einzelhandel an der Spitze und den Behörden weit dahinter), ist der Prozentsatz der über ESU unterstützten Versionen besorgniserregend. Dies gilt insbesondere für das Gesundheitswesen, wo mehr als 35 Prozent der Windows-Geräte in diese Kategorie fallen. Das ESU-Programm sollte ein letzter Ausweg für Organisationen sein, die ihre Geräte nicht aufrüsten können. Beispielsweise wird die deutsche Regierung im Jahr 2020 mindestens 800.000 Euro zahlen müssen, um mehr als 33.000 Arbeitsplätze auf dem neuesten Stand zu halten.

Die alleinige Existenz eines Unterstützungsprogramms für ein bestimmtes Betriebssystem reicht nicht aus, um zu garantieren, dass die Geräte gepatcht werden. Der Prozentsatz der verwalteten Windows-Geräte, die für BlueKeep (CVE-2019-0708) oder CurveBall (CVE-2020-0601) anfällig sind, ist nicht zu unterschätzen. Diese sind zwei schwerwiegende Beispiele für Schwachstellen, die 2019 bzw. 2020 aufgedeckt wurden. BlueKeep erlaubt entfernte Codeausführung und kann verwendet werden, um Malware zu erstellen, welche sich automatisch verbreitet, während CurveBall eine kryptografische Schwachstelle ist, die es Angreifern ermöglichen kann, Benutzer zu täuschen, damit sie glauben, dass bösartiger Code legitim ist.

Es ist bemerkenswert, dass, obwohl BlueKeep im Mai 2019 gemeldet wurde, im September 2019 ein Metasploit-Exploit verfügbar war und aktive Angriffe im November 2019 bestätigt wurden. Fast 30 Prozent der verwalteten Windows-Geräte in der Finanzdienstleistungsbranche laufen immer noch mit potenziell anfälligen Betriebssystemen. Diese Zahl ist viel höher als in jeder anderen Branche, in der die Zahlen zwischen vier und sieben Prozent liegen, mit Ausnahme des Gesundheitswesens. Interessanterweise ist die Rangfolge für beide Schwachstellen nicht korreliert, da sich die von den jeweiligen Problemen betroffenen Betriebssystemversionen gegenseitig ausschließen. Bei CurveBall, einer in jüngerer Zeit gemeldeten Schwachstelle, die moderne Windows-Versionen (Windows 10 und Windows 2016) betrifft, sind die Zahlen im Allgemeinen höher (12-22 Prozent), mit Ausnahme des Bereichs Finanzdienstleistungen, in dem CurveBall weniger verbreitet ist als BlueKeep.

Fazit

Um Sicherheitsrisiken durch aktuelle Schwachstellen zu minimieren, sollten Unternehmen zuerst alle Geräte in ihrem Netzwerk inventarisieren. Sie müssen Kontrollen zur Risikominderung durchsetzen und Patch-Updates priorisieren. Segmentierung, Isolierung und Kontrolle des Netzwerkzugriffs für gefährdete Geräte tragen zur Risikominderung bei. Automatische Alarme zur Information von IT-Sicherheitsabteilungen und Incident Response-Teams helfen dabei, die Spreu vom Weizen zu trennen und die wichtigsten Sicherheitsvorfälle frühzeitig zu erkennen.

Weitere Informationen zum Thema:

datensicherheit.de, 01.07.2020
IT-Sicherheit: Netzwerksegmentierung, Cloud Services und Compliance

datensicherheit.de, 08.06.2020
IT-Sicherheit: Fragen zur Anpassung an die heutige Remote-Arbeitsumgebung

Ein Gastkommentar von René Schoenauer, Director Product Marketing EMEA, Guidewire Software

[datensicherheit.de, 15.04.2020] Natürlich stehen in der aktuellen Situation rund um die rapide Ausbreitung des Coronavirus humanitäre und gesamtwirtschaftliche Belange im Vordergrund. COVID-19 und die neue Situation, vor allem wie und von wo aus gearbeitet wird, birgt jedoch auch veränderte Cyber-Risiken, die nicht unterschätzt werden dürfen. Welche das sind und wie die Versicherungsbranche damit umgehen sollte, kommentiert René Schoenauer, Director Product Marketing EMEA, Guidewire Software.

Foto: Guidewire Software (UK) Ltd

Gastkommentar zu Cyber-Risiken von René Schoenauer

Neue Arbeitsumgebung – veränderte Cyber-Risiken

Viele Firmen haben quasi in einer Ad-hoc-Aktion ihre Mitarbeiter für die Arbeit aus dem Home-Office ausgestattet. Für viele, Firmen wie Mitarbeiter, gleicht dies der Erkundung unentdeckten oder zumindest noch nicht lange bewohnten Neulandes. Diese relativ spontane Anpassung an die neue Wirklichkeit birgt eine ganze Reihe von digitalen Risiken: Angefangen von unzureichender IT-Kapazität bis hin zu inadäquaten VPNs (Virtual Private Networks), fehlenden Datenregulierungen und mangelhaftem Risikomanagement.

Diese Risiken stellen ein Einfallstor für Cyber-Kriminelle dar, die auch in angespannten Zeiten wie momentan auf ihre Chancen warten. Social Engineering, Überweisungsbetrug, DoS (Denial-of-service)-Attacken sowie Spam- und Phishing-Mails sind nur einige der Angriffsmethoden, vor denen sich IT-Sicherheitsverantwortliche von Unternehmen wappnen müssen.

Veränderte Cyber-Risiken – Neue Empfehlungen

Genauso wie Hygiene-Vorschriften in Bezug auf COVID-19 aktualisiert werden, so sollten auch Empfehlungen für die „Cyber-Hygiene“ von Mitarbeitern angepasst werden. Eine Mehrfach-Authentifizierung, eine robuste VPN-Verbindung und eine Verpflichtung zur Nutzung von ausschließlich privaten WLAN-Netzwerken sind dabei sinnvolle erste Schritte. Auch das Einhalten einer hohen Passwort-Sicherheit sollte sichergestellt werden. Zudem gilt es, die Mitarbeiter in diesem Bereich kontinuierlich weiterzubilden und für Risiken und Bedrohungen zu sensibilisieren.

Anpassungen von Cyber-Versicherungen – Risikotransfer und veränderte Deckungen

Auch wenn die Cyber-Risiken per se nicht neu sind, so ist doch die aktuelle Bedrohungslage durch die veränderte Arbeitssituation in vielen Bereichen erhöht. Deshalb müssen auch bestehende Deckungen im Bereich der Cyber-Versicherungen auf die veränderte Lage und ihre Anwendbarkeit hin geprüft werden. Dies gilt zum Beispiel bei Datenschutzverletzungen, der Haftpflicht gegenüber Dritten, Netzwerkunterbrechungen, Cyber-Erpressung und Datenbestands-Verlust.

Es sind jedoch auch Versicherungs-Bereiche außerhalb der Cyber-Versicherungen betroffen – weil sie entweder direkt oder indirekt mit der gleichen Bedrohungslage zusammenhängen: Hierbei geht es um die allgemeine Haftung, Ansprüche bei Sach- und Gebäudeschäden in Zusammenhang mit einem Netzwerkausfall oder Sachschäden, die auf Cyber-Angriffe zurückzuführen sind. Zudem kommen Haftungsfragen im Finanzbereich hinzu, beispielsweise durch Cyber-Wirtschaftskriminalität.

Akkumulationspotenzial von Cyber-Risiken

Für Versicherungs- und Finanzdienstleister ist eine der sekundären Auswirkungen von COVID-19 die Akkumulation von Cyberr-Risiken. Branchenübergreifend sind Unternehmen stärker auf Informations- und Telekommunikationsinfrastrukturen angewiesen. Es erfolgt zwar eine Effizienzsteigerung durch den Einsatz von Internet Access Points, Cloud-Infrastrukturen und Breitbandverbindungen, aber es werden ebenso Korrelationen und Abhängigkeiten erhöht und Risikopotenziale gebündelt. Dies hat zur Folge, dass systemische Schäden weitaus gravierendere Auswirkungen haben können.

Viele Versicherungspolicen decken sowohl böswillige als auch nicht böswillige Vorfälle bei Ausfällen in der Dienstleistungskette ab. Dies stellt angesichts der Globalisierung und der engen Kopplung von Lieferketten eine Herausforderung dar. Unternehmen können Schwierigkeiten haben, ihre kritischen Lieferanten, störende Auswirkungen auf die Lieferkette und mögliche alternative Lieferanten zu identifizieren. Die dadurch entstehende Informationsasymmetrie stellt eine Herausforderung für das Management des Akkumulationspotenzials dar.

Einschätzung, Erkennung, Diagnose, Prognose

Wie bei der Strategie zur Bekämpfung von COVID-19 liegt der Schlüssel zur Verringerung der Cyber-Risiken im Verständnis der Art, des Umfangs und der voraussichtlichen Auswirkungen des Problems. Für Versicherer ist dies von vergleichbarer Bedeutung für die Definition von Risiko-Segmenten und die Preisgestaltung sowie der Bestimmung von Risiken, die nicht gezeichnet werden sollten. Ebenso ist das Verständnis der Risikoexposition in einem Portfolio und der Bestimmung des richtig dosierten Einsatzes von Automatisierung in der Schadenbearbeitung wichtig. Die Fähigkeiten von Data Analytics and Data Science kann den Sachbearbeitern im Bestand, Underwritern und Risiko- und Schaden-Managern helfen, Cyberrisiken zu diagnostizieren, zu quantifizieren, genauer zu prognostizieren und zu beheben.

Während wir also in unserer analogen Antwort auf COVID-19 von der Prävention zur Minderung übergegangen sind, haben wir immer noch die Möglichkeit, die sekundären, risikoreichen Auswirkungen auf IT-Umgebungen und die veränderte digitale Arbeitswelt zu verhindern und zu bewältigen.

Weitere Informationen zum Thema:

datensicherheit.de, 14.04.2020
Virus trifft Virus – IT-Sicherheit in Zeiten der Pandemie

datensicherheit.de, 19.10.2019
Guidewire: Neues Datenmodel für Cyber-Risikomanagement

datensicherheit.de, 30.05.201
Fünf Tipps für Cyber-Versicherungs-Policen

Von unserem Gastautor Detlev Weise, Managing Director DACH bei KnowBe4

[datensicherheit.de, 30.05.2019] Cyber-Versicherungen sind inzwischen etabliert und ein gerne gesehenes Instrument zur Absicherung von Cyber-Risiken. Inzwischen gibt es nach Angaben des Verbraucherportals des Gesamtverbandes der Deutschen Versicherungswirtschaft (GDV) 38 Anbieter in Deutschland. Doch der Abschluss einer Police ist nicht unbedingt einfach. Das Problem beginnt bereits bei der Definition eines Cyber-Angriffs sowie der Bewertung der Folgekosten von Reputationsschäden.

Problem: Bewertung von Cyber-Risiken

Das Problem setzt sich bei den Versicherern fort, die bei jeder neuen Police prüfen müssen, wie sie Cyber-Risiken bewerten sollen. Um einige dieser Probleme zumindest für Unternehmen zu beheben, hat KnowBe4 eine Liste mit fünf Tipps für den Abschluss einer Cyberversicherung zusammengestellt:

1. Cyber-Risiken bewerten
   Am Anfang sollte eine umfassende Bewertung der Cyber-Risiken erfolgen. Es ist wichtig, genau herauszufinden, wo die tatsächlichen Risiken beim Versicherten liegen, denn das wird bestimmen, welche Art von Cyberversicherung abgeschlossen werden muss. Werden beispielsweise personenbezogene Daten, Kreditkarteninformationen oder andere sensible Daten in der Cloud ausgelagert? Oder sind es nur Verkaufszahlen oder andere eher weniger sensible Daten? Werden regelmäßig Transaktionen durchgeführt? All dies sind wichtige Fragen, die beantwortet werden müssen, um das Cyberrisiko richtig einzuschätzen. Das grundsätzliche Problem ist, dass bei vielen Unternehmen, aber auch Versicherungen keine Schadenshistorien vorliegen, es gibt also kaum Vergleichswerte oder Vergleichsfälle, die zur Bewertung hinzugezogen werden können.
2. Alle Bedingungen der Police sorgfältig durchlesen
   Unterschiedliche Definitionen von Begriffen sind nur ein Grund, warum man die Police sorgfältig durchlesen sollte. Ein weiterer Grund ist, sicherzustellen, dass sie gut zum Unternehmen und seinem Risikoniveau passt.
3. Absicherung durch Schäden von IT-bedingten Betriebsunterbrechungen
   Eines der wichtigsten Elemente, die Cyber-Versicherungen abdecken müssen, sind IT-bedingte Betriebsunterbrechungen. Es gibt normalerweise eine Wartezeit, bevor die Schadensregulierung beginnt. Sobald die Schadensregulierung gestartet wird, werden finanzielle Verluste abgedeckt, die während der Ausfallzeit entstehen. Die IT-bedingte Betriebsunterbrechung bietet Schutz vor finanziellen Verlusten, wenn ein bestimmter Geschäftspartner einen vorab definierten Cyber-Ereignisfall bzw. Sicherheitsvorfall hat und nicht in der Lage ist, eine Dienstleistung für das betroffene Unternehmen zu erbringen oder aber Waren oder Materialien fristgerecht auszuliefern.
4. Fachleute können unterstützen und werden von der Versicherung gestellt
   Oft deckt das aktuelle Versicherungsportfolio bereits bestimmte Cybersicherheitsvorfälle ab. Darüber hinaus ist in Cyberversicherungen zumeist ein Support in Form von spezialisierten Anwälten und forensischen Beratern inkludiert, die im Falle eines Sicherheitsvorfalls helfen können. Diese Fachleute bestehen aus vorab geprüften Teams, die in diesem Bereich Erfahrungen gesammelt und in der Regel bereits früher bei ähnlichen Fällen zusammengearbeitet haben. Das Team wird in der Regel von einem Anwalt unterstützt, der sich mit den Gesetzen und Vorschriften in den Bereichen Cybersicherheit und Datenschutz bestens auskennt. Gerade für kleine und mittlere Unternehmen, die sich oft fragen müssen, was sie tun sollen und welche Ressourcen sie bei einem Sicherheitsvorfall zusammenstellen müssen, kann der Zugang zu diesem Team sehr hilfreich sein.
5. Verantwortlichkeiten im Vorfeld abklären
   Schließlich muss man verstehen, wofür man im Rahmen der Police verantwortlich ist. Wer muss beispielsweise benachrichtigt werden, wenn ein Sicherheitsverstoß auftritt? Oder was passiert, wenn ein Hacker seit Jahren in die Systeme eindringt, aber dies jetzt erst erkannt wurde? In diesem Fall wäre eine rückwirkende Cyber-Versicherung sinnvoll. Das genaue Verständnis dessen, was im Falle eines Sicherheitsvorfalls getan werden muss, kann den Unterschied ausmachen, ob die Versicherung den Schaden reguliert oder nicht.

Bild: KnowBe4

Detlev Weise, Managing Director DACH bei KnowBe4

Fazit

Das Wichtigste jedoch ist, dass keine Cyber-Versicherung in der Hoffnung abgeschlossen werden sollte, dass sie eh niemals zum Einsatz kommt. Die Anforderungen der Police sollten berücksichtigen, wie die Meldung eines Schadensfalls vorgenommen wird und wann die Zustimmung des Versicherers eingeholt werden muss, bevor man auf einen Sicherheitsvorfall reagiert. All das muss in den allgemeinen Krisenreaktionsplan des Unternehmens einfließen. Wenn alle diese Punkte berücksichtigt werden, sollte ein Kauf der richtigen Cyberversicherung für das Unternehmen etwas einfacher werden. Unabhängig vom Abschluss einer solchen Versicherung sollten Unternehmen dennoch in Security Awareness-Trainings ihrer Mitarbeiter und Führungskräfte investieren, um sich mit „menschlichen Firewalls“ gegen Cyberangriffe zu wappnen.

Weitere Informationen zum Thema:

datensicherheit.de, 29.04.2019
Plansecur empfiehlt Cyberversicherungen gegen Hacker

datensicherheit.de, 26.06.2018
Cyber-Risiken: BIGS über die Grenzen der Versicherbarkeit

datensicherheit.de, 19.11.2017
Viele offene Fragen und wenige Antworten: EU-DSGVO und Cyber-Versicherung

datensicherheit.de, 22.10.2016
Mittelstand laut SicherheitsMonitor 2016 zu sorglos gegenüber Cyber-Risiken

datensicherheit.de, 09.09.2015
Unternehmen müssen sich für eine neue Dimension von Cyberrisiken wappnen

datensicherheit.de, 15.05.2014
AppRiver-Umfrage: Versicherung von Cyber-Risiken

[datensicherheit.de, 15.05.2014] AppRiver, Anbieter von E-Mail-Messaging und Web-Security- sowie Microsoft-365-Lösungen für IT-Reseller und Partner, hat eine Umfrage mit dem Thema „Sind Cyber-Risiken ausreichend versichert?“ auf der InfoSecurity Europe 2014 im April diesen Jahres durchgeführt. Die Ergebnisse decken sich mit weiteren aktuellen Studien:

• 63% der befragten Unternehmen gehen davon aus, dass Versicherer die aus Cyber-Sicherheitsvorfällen entstehenden Ansprüche nicht ausgleichen würden
• Bei 32% der UK-Unternehmen ist das Vertrauen sogar so gering, dass sie eine Versicherung, die bei Cyber-Risiken haftet, nicht in Erwägung ziehen

Insbesondere für die im Vereinigten Königreich (UK) angesiedelten Unternehmen scheint es eine regelrechte Vertrauenskrise im Hinblick auf die Versicherungsbranche zu geben. In Gesprächen mit 250 IT-Sicherheitsexperten auf der diesjährigen InfoSecurity Europe hat sich herausgestellt, dass nur sehr wenige der Befragten in eine Deckung von Cyber-Risiken durch Versicherungsunternehmen vertrauen.

63% der Unternehmen gehen demnach nicht davon aus, dass eine Versicherung die Deckung für potenzielle Cyber-Risiken übernimmt und damit etwaig entstehende Haftungsansprüche ausgleicht. Tatsächlich ist das Vertrauen insbesondere der in UK ansässigen Unternehmen derart gering, dass sie eine Versicherung für diesen sensiblen Bereich nicht ein Mal erwägen.

Demgegenüber steigen die Kosten für jeden einzelnen Datenschutzverstoß, jede einzelne erfolgreich ausgenutzte Sicherheitslücke nachweislich weiter an. Laut einer Umfrage des Ponemon-Institutes[1] liegen sie inzwischen bei durchschnittlich 145 Dollar für jeden dokumentierten Verstoß. Eine einfache Hochrechnung offenbart schnell, dass Unternehmen damit nicht nur immense finanzielle Risiken eingehen, sondern zusätzlich das Risiko ihre komplette Geschäftstätigkeit nicht mehr aufrechterhalten zu können.

Jim Tyer, EMEA Channel Director bei AppRiver, dazu: „Die Zahl der Unternehmen, die wenig bis gar kein Vertrauen in die Versicherungsbranche haben, ist alarmierend. Wenn ich an dieser Stelle die Rolle des Advocatus Diaboli übernehmen darf: es müsste eigentlich ein Seufzer der Erleichterung durch die Branche gehen mit einer Zahl von 91% aller Unternehmen (Ergebnisse einer Studie des Sicherheitsspezialisten Kaspersky[2]), die angeben bereits Opfer einer Datenschutzverletzung geworden zu sein und nur etwa einem Drittel der Unternehmen, die den daraus entstandenen Schaden tatsächlich gegenüber einem Versicherer geltend machen.“

Die von AppRiver unterstützte Umfrage ergab, dass von den Unternehmen, die über eine Versicherung gegen Cyber-Risiken verfügten (lediglich 18% der befragten Firmenvertreter bejahten dies), 38% von der Regel abweichende Sonderkonditionen in die Police mit aufgenommen haben, 32% das für unnötig hielten, weitere 39% unsicher waren wie sie am besten verfahren sollten.

Jim Tyer weiter: „Man kann hierzu eine interessante Kalkulation anstellen. Die Wahrscheinlichkeit von speziellen, vom Regelfall abweichenden Versicherungsbedingungen kommt laut den Ergebnissen unserer Umfrage nur in einem von vier Fällen zum Tragen. Was heißt das für die Befragten, die entweder unsicher darüber sind, inwieweit sie über eine Deckung seitens ihres Versicherers verfügen oder diejenigen, die zwar über eine entsprechende Police verfügen, aber gegebenenfalls die Bedingungen ändern müssten: 28% derjenigen, die überhaupt eine Versicherung abgeschlossen haben, haben keine Ahnung ob diese im Schadensfalle tatsächlich gültig ist. Eine ziemlich hohe Zahl wie ich finde.“

Keiner der Befragten mit einer gültigen Police hat denn auch bisher einen Schadensfall angezeigt. „Das könnte man als ein positives Zeichen werten, allerdings gibt es noch zwei weitere, eher bedenklich stimmende Aspekte dabei. Die eingangs erwähnten 63% der an einer Deckungsübernahme zweifelnden Unternehmen sehen sich in ihrer Annahme weder bestätigt noch widerlegt. Hinreichend wahrscheinlicher ist aber, dass ein Prozent unter den Befragten gar keine korrekten Angaben gemacht hat, dass unter dem Befragten solche sind, die zwar schon Sicherheitsvorfälle verzeichnet, aber nicht ihrem Versicherer gemeldet haben und vor allem, dass eine erhebliche Zahl überhaupt nicht weiß, wie es um die aktuelle Datenschutzsituation im Einzelnen bestellt ist. Ein, wie ich finde, beunruhigender Gedanke“, so Tyer abschließend.

Weitere Informationen zum Thema:

datensicherheit.de, 14.04.2014
Zweite Potsdamer Konferenz für Nationale Cyber-Sicherheit am 19. Mai 2014

[datensicherheit.de, 25.02.2014] Am Jahresanfang ist es für viele Einzelhändler mit Onlineshops die richtige Zeit, um Bilanz zum letzten Jahresendgeschäft zu ziehen. Ebenso wie der Umsatz stieg bei vielen auch die Zahl der Betrugsversuche und der Web-Attacken. Akamai empfiehlt vier Maßnahmen, mit denen sich E-Commerce-Unternehmen besser vor Cyber-Risiken schützen können.

Viele Entscheider im Bereich E-Commerce sehen sich bezüglich der Sicherheit ihrer Websites mit einem Dilemma konfrontiert. Auf der einen Seite müssen sie sehr umfangreiche Sicherheitsmaßnahmen implementieren, um sich vor immer heimtückischeren Web-Attacken zu schützen. Ein Zuviel an Sicherheitsregeln schreckt aber andererseits Interessenten und Kunden ab. Akamai Technologies, ein führender Anbieter von Cloud-Services, mit denen sich Online-Inhalte und Business-Applikationen sicher bereitstellen und optimieren lassen, erläutert in vier Tipps, wie E-Commerce-Unternehmen ihre Websites effizienter absichern können.

1. Aktuelle Bedrohungen und Trends genau beobachten.
   Unternehmen, die noch über keine routinemäßige Beobachtung der Bedrohungslandschaft und der neuesten Hackermethoden verfügen, sollten damit jetzt beginnen. Allerdings ist dies eine sehr zeitaufwändige Tätigkeit, die bei knappen IT-Ressourcen schnell vernachlässigt wird. Externe Sicherheitsspezialisten bieten hierfür vielfältige Services an, um diese Herausforderung zu meistern.
2. Die neuesten Regeln zur gezielten Abwehr von Web-Attacken einsetzen
   Sind die Risiken identifiziert, müssen wirksame Sicherheitsregeln definiert und umgesetzt werden. Viele sind der Meinung, dass die vor Zeiten einmal implementierten Maßnahmen ausreichen. Das kann sich sehr schnell als fataler Fehlschluss erweisen. Angriffsmethoden ändern sich ständig und E-Commerce-Unternehmen müssen sich darauf immer wieder neu einstellen.
3. Risiken und Chancen der Schutzregeln abwägen
   Viele Einzelhändler mit Onlineshops sehen sich mit einer schwierigen Lage konfrontiert, wenn sie entscheiden müssen, welche Sicherheitsregeln sie implementieren sollen. Zu strikte Maßnahmen wirken sich negativ auf die Kundenzufriedenheit und den Umsatz aus. Nach einem Fehlalarm beispielsweise steht eine Website nicht oder erst nach langen Wartezeiten zur Verfügung. Tun sie zu wenig, laufen sie Gefahr, Opfer von Webattacken zu werden, die zu einer massiven Beeinträchtigung des Betriebs oder gar zu einem kompletten Systemausfall führen. Hier hilft nur testen, testen und nochmals testen, um die passende Balance zu finden.
4. Schutzregeln regelmäßig aktualisieren
   Sind die Sicherheitsregeln einmal implementiert, muss ihre Wirksamkeit ständig überprüft werden. Eigentlich ist dies eine Binsenweisheit, aber nur wenige Unternehmen halten sich daran. Die Implementierung von Web-Sicherheitsegeln ist kein einmaliges Projekt, sondern ein fortlaufender Prozess. Sind die Regeln umgesetzt, müssen sie ihre Praxistauglichkeit erweisen und werden aufgrund der Ergebnisse – und damit einem Kreislaufmodell folgend – immer wieder angepasst.

„Je größer ein E-Commerce-Unternehmen, desto aufwändiger ist der Schutz einer Website. Hacker lassen nichts unversucht, um Lücken auf den Websites aufzuspüren und sie für ihre Zwecke auszunutzen“, sagt Michael Heuer, Regional Vice President & Country Manager Central Europe bei Akamai. „Für Unternehmen ist es daher essenziell, die neuesten Risiken und Trends zu kennen und sich davor zu schützen. Wer nicht selbst über die dazu notwendigen Personal- und die IT-Ressourcen verfügt, sollte diese Aufgabe an Web-Security-Spezialisten übertragen.“