Unabhängig vom Standort und der Branche ist die Gefahr eines Cyberangriffs auf die Datensicherheit des jeweiligen Unternehmens in den Chefetagen und Risikomanagementabteilungen sehr präsent. Das Risiko, Opfer eines Cyberangriffs zu werden, besteht für alle Unternehmen, ob öffentlich oder privat, groß oder klein - und die Zahl der Fälle hat in den letzten Jahren erheblich zugenommen.
Cyber-Kriminelle entwickeln ständig neue Methoden, um Schwachstellen in den Systemen und Technologien auszunutzen, die unsere Wirtschaft antreiben und unser Leben beeinflussen.
Die Prämien für Cyber-Versicherungen sind entsprechend der erhöhten Gefahrenlage und der Schadenentwicklung rasch gestiegen. Zu Beginn des Jahres 2023 scheint sich der Anstieg zwar etwas verlangsamt zu haben, aber die Versicherer prüfen die Risiken ihrer Kunden von Fall zu Fall und passen die Preise entsprechend an.
Die überwiegende Mehrheit der Cyber-Schäden ist auf Ransomware-Angriffe zurückzuführen; wir gehen davon aus, dass etwa 80 % der bei uns eingehenden Schäden auf Ransomware-Angriffe zurückzuführen sind. Die Ursachen für diese Schäden sind vielfältig: Mitarbeitende sind nicht ausreichend geschult, um Phishing-E-Mails zu erkennen, Unternehmen verwenden keine Multi-Faktor-Authentifizierung und/oder andere Sicherheitsmaßnahmen und versäumen es, regelmäßig Patches oder Updates einzuspielen.
Die Schwere der Schäden wird häufig zusätzlich verstärkt durch einen unzureichenden oder manchmal sogar gänzlich fehlenden Krisenmanagementplan, fehlende Offline-Backups, bei denen die Mitverschlüsselung von Backups zur Norm wird, zu lange Intervalle zwischen den Backups und die Tatsache, dass zunehmend Accounts von Administratoren ins Visier genommen werden.
Laufende Anpassung
Mehr und mehr Unternehmen nehmen diese Risiken in Angriff, und in den meisten großen und mittleren Unternehmen wird ein Mindestmaß an IT-Sicherheit gewährleistet. Es reicht jedoch nicht aus, nur Sicherheitsmaßnahmen zu ergreifen. Diese Maßnahmen müssen verstanden und aktualisiert werden und Teil der täglichen Arbeit eines Unternehmens werden.
Unternehmen können beispielsweise Richtlinien zur IT-Sicherheit relativ schnell einführen. Damit diese jedoch wirksam sind, müssen sie verinnerlicht und Teil der Alltagskultur des Unternehmens werden. Kurz gesagt: sie müssen gelebt werden! Für Unternehmen, die an verschiedenen Standorten auf der ganzen Welt tätig sind, stellt dies eine besondere Herausforderung dar; die Richtlinien zum Sicherheitsbewusstsein müssen an allen Standorten des Unternehmens in gleichem Maße übernommen und verinnerlicht werden, damit sie ihre Wirkung entfalten können.
Da sich die Cyber-Bedrohungen ständig weiterentwickeln und Cyber-Kriminelle immer neue Wege finden, um Sicherheitslücken und Schwachstellen auszunutzen, müssen Sicherheitsmaßnahmen nicht nur in die DNA eines Unternehmens übergehen, sondern es muss auch regelmäßig bewertet werden, wo diese potenziellen Schwachstellen liegen und wo die Abwehrmaßnahmen verstärkt werden können.
Dreistufige Verteidigung
Die Bewältigung von Cyber-Bedrohungen erfordert einen dreistufigen Ansatz. Wir vergleichen es mit einem dreibeinigen Hocker − wenn eines der drei Beine wegfällt, kippt der Hocker um.
Diese drei „Beine“ sind:
Um unsere Kunden optimal bei der Umsetzung dieser drei Verteidigungslinien zu unterstützen, ist es wichtig, dass wir mit ihnen direkte und regelmäßige Gespräche führen, um zu ermitteln, wo potenzielle Schwachstellen liegen und welche Schritte zur Stärkung ihrer Widerstandsfähigkeit unternommen werden können.
Damit wir dies besser tun und sicherstellen können, dass die Präventionsmaßnahmen unserer Kunden auf dem neuesten Stand bleiben, sind wir eine Partnerschaft mit Security Scorecard eingegangen, um unseren Kunden bei der Analyse zu helfen, wo und in welcher Weise sie für Cyberangriffe anfällig sind. Der Service von SecurityScorecard umfasst die Bewertung potenzieller Bedrohungen und geeigneter Maßnahmen zum Schutz vor Verstößen sowie deren schnelle Erkennung.
SecurityScorecard sammelt und analysiert globale Bedrohungsmeldungen und gibt Unternehmen einen sofortigen Einblick in den Sicherheitsstatus ihrer Zulieferer und Geschäftspartner sowie die Möglichkeit, die Robustheit ihrer eigenen Sicherheit selbst zu bewerten.
Hierzu überwacht SecurityScorecard kontinuierlich zehn Gruppen von Risikofaktoren, um sofort ein leicht verständliches A-F-Rating zu erstellen. Zu den Risikofaktoren gehören Netzwerksicherheitsrisiken, Zustand des Domain-Name-Systems, Rhythmus der Patches, Endpoint-Sicherheit, Anwendungssicherheit, Reputation des Internetprotokolls und soziale Indikatoren wie Hacker-Chatter und die Frage, ob eine Organisation Passwörter oder Anmeldedaten öffentlich zugänglich gemacht hat.
Die zehn ermittelten Werte werden nach ihrem relativen Gefährdungspotenzial gewichtet und addiert, um eine Gesamtpunktzahl von 0 bis 100 zu erhalten. SecurityScorecard vergibt dann eine Punktzahl von A bis F, die einen einfachen, intuitiven Hinweis auf die Wahrscheinlichkeit eines Cyberangriffs auf ein Unternehmen gibt.
Die Bewertungen für jeden Faktor helfen IT-Teams, Schwachstellen zu erkennen, die eine weitere Analyse und gegebenenfalls Abhilfemaßnahmen rechtfertigen. Mit anderen Worten: Die Scorecard ist sowohl für das IT-Team eines Unternehmens als auch für den Vorstand und die Geschäftsleitung aussagekräftig und umsetzbar.
Unsere Kunden nutzen diese Sicherheitsbewertungen auf verschiedene Weise. IT-Teams verwenden die Faktorenbewertungen häufig als ein fortlaufendes Diagnosewerkzeug, das ihnen hilft, Schwachstellen zu erkennen. Anhand der Buchstabenbewertungen erhalten Vorstände und Führungskräfte einen Überblick darüber, wie gut ihr Unternehmen vor Cyberangriffen geschützt ist, und können so strategische Entscheidungen treffen.
Unternehmen nutzen diese Bewertungen auch, um ihre Zulieferer zu beurteilen. Dies wird immer wichtiger, da Hacker zunehmend kleinere Akteure in der Lieferkette ins Visier nehmen, um sich zu einem größeren Ziel vorzuarbeiten.
Nicht zuletzt nutzen Finanzinstitute und Investoren solche Cyber-Ratings, um die Arten von Cyber-Risiken zu verstehen, denen ein Unternehmen ausgesetzt sein könnte.
Nutzung der Bewertungen für die Zeichnung von Risiken
Abgesehen davon, dass die Daten von SecurityScorecard eine große Rolle dabei spielen, den Kunden mögliche Schwachstellen aufzuzeigen, helfen sie uns als Versicherer auch bei der Umsetzung des dritten Standbeins, dem Risikotransfer.
Die SecurityScorecard-Daten werden in unsere Underwriting-Plattformen integriert und es dürfte nicht überraschen, dass wir mit den Buchstabenbewertungen beginnen. Diese helfen unseren Underwritern bei der Risikoselektion. Wenn ein Unternehmen beispielsweise ein C- oder B-Rating erhält, ist das ein Zeichen dafür, dass wir gemeinsam an der Behebung von Schwachstellen arbeiten und Deckungsoptionen besprechen können, sobald diese zufriedenstellend behoben wurden.
Die kontinuierliche Überwachung der Bedrohungslandschaft durch SecurityScorecard hilft uns bei der Bewältigung von Großrisiken, systemischen Risiken, wie der Möglichkeit, dass ein einzelnes Ereignis weitreichende Störungen in verschiedenen Branchen und Regionen verursacht. Im Falle eines groß angelegten Cyber-Ereignisses kann SecurityScorecard uns helfen, Kunden zu identifizieren, die wahrscheinlich gefährdet sind, damit wir sie schnell auf die Notwendigkeit von spezifischen Maßnahmen aufmerksam machen können.
Viele IT-Infrastrukturen sind komplex und können nicht nur von außen oder mit einem Bericht über Schwachstellen bewertet werden. Daher sind regelmäßige Risikodialoge für beide Seiten äußerst hilfreich und wichtig. Für den Versicherer sorgen diese Dialoge für mehr Transparenz und geben dem versicherten Unternehmen die Möglichkeit, ein detailliertes, aktuelles Bild seiner IT-Sicherheitsmaßnahmen zu geben.
Um die steigende Zahl der Risikodialoge zu bewältigen, haben wir unsere Risk-Engineering-Partnerschaft mit dem globalen Intelligence- und Cybersecurity-Beratungsunternehmen S-RM weiter ausgebaut und zusätzliche IT-Ingenieure eingestellt.
In Zusammenarbeit mit S-RM können wir unsere Kunden bei der Identifizierung, Quantifizierung und Minderung von Cyberrisiken unterstützen. Unser großes und erfahrenes Team von Risikoingenieuren kann dazu beitragen, Sicherheitslücken aufzudecken, sie zu schließen und unseren Kunden Empfehlungen zu geben, damit sie ein höheres Maß an Cybersicherheit erreichen, ohne dass zusätzliche kostspielige Ressourcen benötigt werden.
Auch in Zukunft wird sich die Cyber-Bedrohung ständig weiterentwickeln. Wir wollen unseren Kunden helfen, mit diesen Veränderungen Schritt zu halten und sicherzustellen, dass ihre Risiken und möglichen Auswirkungen minimiert werden.
Dieser Artikel wurde erstveröffentlicht von VersicherungsPraxis, März 2023
