Heutzutage sind alle Unternehmen – unabhängig von Größe, Branche oder Standort – gefährdet, Opfer von Cyberangriffen zu werden. Dies gilt auch für Regierungen, öffentliche und private Versorgungsunternehmen, Universitäten, Krankenhäuser und gemeinnützige Organisationen. Darüber hinaus entwickeln Cyber-Kriminelle ständig neue Tools und Methoden, um Schwachstellen in den Systemen und Technologien auszunutzen, die unsere Wirtschaft antreiben und unser Leben bereichern.
Fast Fast Forward sprach kürzlich mit Carlos Rodriguez Sanz von É«¶à¶àÊÓƵund José Ferreira Costa von SecurityScorecard über die Zusammenarbeit beider Unternehmen, um Kunden bei der Analyse zu helfen, wo und auf welche Weise sie anfällig für Cyberangriffe sein könnten.
Herr Rodriguez Sanz, könnten Sie zunächst erläutern, was Unternehmen tun können, um dieser ständigen und sich weiterentwickelnden Bedrohung zu begegnen?
Carlos Rodriguez Sanz (CS): Fachleute für Cybersicherheit empfehlen in der Regel einen auf drei Säulen basierenden Ansatz:
- Prävention:
Dies umfasst die Bewertung potenzieller Bedrohungen sowie geeignete Maßnahmen zum Schutz vor Verstößen und zu deren schnellen Entdeckung.
- Reaktion:
Hier geht es um das Vorhandensein von Mechanismen zur Begrenzung des Ausmaßes eines Angriffs und zur raschen Wiederherstellung von Daten und betroffenen Systemen.
- Schadensbegrenzung:
Für den Transfer des Risikos finanzieller Verluste wird der Abschluss angemessen strukturierter Versicherungspolicen angeraten.
Wie bei einem dreibeinigen Hocker sind alle drei Säulen unverzichtbar; fehlt eines, kippt der Hocker um. Oder, im Falle von Cyberangriffen, wenn ein Unternehmen Opfer eines Vorfalls wird, können die direkten und indirekten Kosten, einschließlich der Auswirkungen auf den Ruf, verheerend sein, wenn eines dieser Elemente vernachlässigt wurde.
Prävention ist das A und O. Ich kann das nicht genug betonen. Deshalb ist É«¶à¶àÊÓƵeine Partnerschaft mit SecurityScorecard eingegangen, um Unternehmen dabei zu helfen, ihre Schwachstellen zu bewerten und herauszufinden, wo ihre Abwehrmaßnahmen verstärkt werden müssen.
Was die Reaktion betrifft, hilft unser Team, wenn eine Sicherheitsverletzung auftritt. Wir haben uns mit führenden Anbietern für die Reaktion auf Sicherheitsverletzungen zusammengetan und bieten Zugang zu einer 24/7-Hotline, die Unternehmen in diesen heiklen Situationen hilft. Unsere Cyber-Deckungen umfassen auch den Zugang zu Unternehmen, die sich z.B. auf Computerforensik, Öffentlichkeitsarbeit sowie Kredit- und ID-Monitoring spezialisiert haben.
Und schließlich die Nutzung von Versicherungen zur Übertragung von Risiken: Ohne die Vor- und Nachteile der verschiedenen Deckungsoptionen zu vertiefen, möchte ich anmerken, dass É«¶à¶àÊÓƵdie Cyberrisiken von Unternehmen prüfen und mit ihnen zusammenarbeiten kann, um die Bedrohungen zu mindern. Unser Ziel ist es, unseren Kunden im Schadenfall dabei zu helfen, ihre Geschäfte wieder aufzunehmen und gedeckte Schäden so schnell wie möglich zu beheben.
Ich möchte noch hinzufügen, dass alle drei Säulen – Prävention, Reaktion und Schadensbegrenzung – regelmäßig überprüft und aktualisiert werden müssen. Cyber-Risiken entwickeln sich ständig weiter, da Cyber-Angreifer ständig nach Schwachstellen in den IT-Systemen von Unternehmen suchen und gleichzeitig neue Tools und Taktiken für ihre Angriffe entwickeln.
Herr Costa, was ist SecurityScorecard, und wie helfen Sie Unternehmen bei der Prävention von Cyberangriffen?
José Costa (JC): SecurityScorecard wurde 2013 gegründet. Wir sind der weltweit führende Anbieter von Cybersicherheitsbewertungen und der einzige Dienst, der Millionen von Unternehmen kontinuierlich bewertet. Wir wollen die Welt sicherer machen, indem wir die Art und Weise verändern, wie Unternehmen Cybersecurity-Risiken verstehen, verbessern und an ihre Vorstände, Mitarbeitenden und Lieferanten kommunizieren. Mit Unterstützung von AXA Venture Partners umfasst unser Angebot nun eine umfangreiche Palette von Cybersicherheitslösungen.
Cybersicherheitsratings sind vergleichbar mit finanziellen Kreditratings: So wie ein schlechtes Kreditrating mit einer höheren Wahrscheinlichkeit eines Zahlungsausfalls verbunden ist, zeigt ein schlechtes Cybersicherheitsrating die höhere Wahrscheinlichkeit eines Datenvorfalls oder eines anderen negativen Cyberereignisses für ein Unternehmen an.
SecurityScorecard sammelt und analysiert globale Bedrohungssignale, die Unternehmen einen sofortigen Einblick in die Sicherheitslage von Anbietern und Geschäftspartnern sowie die Möglichkeit geben, eine Selbsteinschätzung ihrer eigenen Sicherheitslage vorzunehmen. SecurityScorecard überwacht kontinuierlich zehn Gruppen von Risikofaktoren, um sofort eine leicht verständliche A-F-Bewertung zu liefern. Zu den Risikofaktoren gehören: Netzwerksicherheitsrisiken, DNS-Zustand, Patching-Rhythmus, Endpunktsicherheit, Anwendungssicherheit, IP-Reputation und soziale Indikatoren wie Hacker-Chatter und ob ein Unternehmen Passwörter oder Anmeldeinformationen preisgegeben hat.
Die zehn ermittelten Werte werden nach ihrem relativen Schweregrad gewichtet und zu einem Gesamtwert von 0 bis 100 zusammengerechnet. Anschließend vergeben wir eine Note von A bis F, die einen einfachen, intuitiven Hinweis auf die Wahrscheinlichkeit eines Cyberangriffs auf eine Organisation gibt. Gleichzeitig helfen die Bewertungen der einzelnen Faktoren den IT-Teams, die Schwachstellen zu erkennen, die eine weitere Analyse und gegebenenfalls Abhilfemaßnahmen rechtfertigen. Mit anderen Worten: Die Scorecard ist sowohl für das IT-Team eines Unternehmens als auch für den Vorstand und die Führungsebene aussagekräftig und umsetzbar.
Wie nutzen Unternehmen diese Informationen?
CS: Die Unternehmen nutzen unsere Sicherheitsbewertungen auf verschiedene Weise. IT-Teams konzentrieren sich in der Regel eher auf die Faktorbewertungen als ein fortlaufendes Diagnoseinstrument, das ihnen hilft, Schwachstellen zu erkennen. Gleichzeitig bieten die Buchstabenbewertungen den Vorständen und Führungskräften eine Momentaufnahme, wie gut ihre Organisationen vor Cyberangriffen geschützt sind, was ihnen bei der strategischen Entscheidungsfindung hilft.
Die Unternehmen nutzen die Bewertungen ebenfalls für die Beurteilung ihrer Zulieferer. Diese Anwendung wird sogar noch relevanter, da immer mehr Hacker kleinere Akteure weiter unten in der Lieferkette ins Visier nehmen und sich dann zum Hauptziel vorarbeiten. Daher stellen die ausgedehnten Ökosysteme von Lieferanten oder Anbietern eine mögliche zusätzliche Schwachstelle dar, die es zu untersuchen und zu überwachen gilt.
Und nicht zuletzt nutzen Finanzinstitute und Investoren die Cyberratings, um die Arten von Cyberrisiken zu verstehen, welche Arten von Cyber-Risiken auf sie zukommen können.
Wie verwendet É«¶à¶àÊÓƵdie Scorecards?
CS: Die Scorecards sind ein unschätzbares Instrument für uns, und die Daten von SecurityScorecard sind in unsere Underwriting-Plattformen integriert. Es überrascht nicht, dass wir mit den Buchstabenbewertungen beginnen; diese helfen unseren Underwritern bei der Risikoauswahl. Wenn ein Unternehmen beispielsweise eine C- oder B-Bewertung erhält, ist das ein Zeichen dafür, dass wir zusammenarbeiten können, um die Schwachstellen zu beseitigen, und Deckungsoptionen zu besprechen, wenn die Schwachstellen zufriedenstellend beseitigt sind.
SecurityScorecard überwacht auch kontinuierlich die Bedrohungslandschaft, was uns hilft, Risiken größeren Ausmaßes zu bewältigen, z.B. die Möglichkeit, dass ein einzelnes Ereignis massive Störungen verursacht. Wenn ein weitverbreitetes Cyber-Ereignis eintritt, kann die SecurityScorecard uns helfen, Kunden zu identifizieren, die wahrscheinlich gefährdet sind, damit wir sie auf die Notwendigkeit von Präventivmaßnahmen aufmerksam machen können.
Gibt es noch weitere Punkte, auf die Sie hinweisen möchten?
JC: Während wir uns in unserer Diskussion auf die Prävention konzentriert haben, wird auch die Reaktion auf Vorfälle immer wichtiger. Wenn es zu einem Cybervorfall kommt, muss ein Unternehmen schnell und effektiv reagieren, um weitere Datenverluste zu verhindern. Sobald die Sicherheitsverletzung eingedämmt ist, sollte der Vorfall ausgewertet und aufgezeichnet werden. Zudem ist angeraten, eine digitale Forensik durchzuführen, auf der Grundlage dieser Untersuchungen Schwachstellen zu beheben und die erforderlichen Maßnahmen zu ergreifen, um weitere Angriffe zu verhindern.
CS: Das ist richtig. Eine schnelle und effektive Reaktion auf Vorfälle ist für Kunden und Versicherer von entscheidender Bedeutung. Die Kunden wollen die Auswirkungen begrenzen und ihre Daten so schnell wie möglich wiederherstellen. Maßnahmen, die eine Sicherheitsverletzung schnell und effektiv eindämmen und den Schaden begrenzen, helfen den Kunden, ihren Betrieb schneller und mit geringeren Auswirkungen wieder aufzunehmen.
