Cyber Crime: „Man wundert sich über die Einfallstore“

Johannes Steffl, Head of Cyber Underwriting bei HDI Global, und Andreas Seidel, Senior Business Developer bei Adesso

Unternehmen geraten immer stärker in den Fokus von Cyberkriminellen. Die Schäden gehen in die Milliarden. An der Bereitschaft vorzusorgen, hapert es aber noch. Johannes Steffl, Head of Cyber Underwriting bei HDI Global, und Andreas Seidel, Senior Business Developer bei Adesso, erklären, warum viele Firmen das Thema Cybersicherheit unterschätzen.

 

 

Wir erleben derzeit einen fundamentalen Wandel in der Wirtschaft. Wie umfassend ist der Umbruch?

Steffl: Jedes Unternehmen beschäftigt sich mit dem Thema Digitalisierung und fragt sich, wie sich dieser Trend auf traditionelle Geschäftsmodelle auswirkt. Die größten Unternehmen nach Marktkapitalisierung sind nicht mehr Energiekonzerne oder Automobilhersteller.

Es sind Technologiekonzerne wie Apple, Amazon und Google; in Deutschland ist es SAP. Das Wirtschaften findet zunehmend im digitalen Raum statt. Wir erleben also einen Wandel von einer materiellen hin zu einer immateriellen Wertschöpfung.

Informationen sind der Produktionsfaktor für die digitale Transformation, und diesen gilt es zu schützen. Die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen werden zum entscheidenden Wettbewerbsfaktor. Digitalisierung ohne Informationssicherheit kann dauerhaft nicht erfolgreich sein.

Seidel: Alles, was digitalisiert werden kann, wird in Zukunft digitalisiert und das, weil Kunden, weil Unternehmen, weil Behörden, weil die Verbraucher, weil die ganze Gesellschaft das genauso möchte. Auf diese knappe Aussage kann die Antwort auf die Frage reduziert werden, warum zunehmend Prozesse digitalisiert werden.

Die Digitalisierung wird weiter unser aller Lebens- und Arbeitswelt tiefgreifend verändern. Es werden die Unternehmen im Wettbewerb bestehen, die die Digitalisierung ihrer Geschäftsprozesse vorantreiben und dabei über die digitale Transformation neue Geschäftsmodelle für sich entwickeln. Wer sich dieser Herausforderung nicht stellt und nicht massiv in Digitalisierung investiert, der riskiert den Untergang seines Unternehmens.

Wir kaufen bei Amazon Produkte ein, die uns das Unternehmen binnen weniger Stunden vor die Haustür liefert. Und diese Erfahrung übertragen wir auf alle anderen Bereiche?

Seidel: Wir sehen heute Filme und hören Musik zunehmend über Streaming-Dienste. Unseren Urlaub halten wir in Fotos fest, die wir mit dem Smartphone schießen und Urlaubsgrüße versenden wir über Social-Media-Kanäle oder versenden Postkarten über Plattformdienste.

Der private Bereich ist schon voll digitalisiert und wir haben uns daran gewöhnt und finden es gut. Wir sind irritiert, wenn wir dieses digitale Erlebnis im Kontakt mit Behörden, Banken, Versicherungen, dem Handel und anderen Unternehmen so nicht vorfinden.

Für Unternehmen geht die Veränderung noch einen Schritt weiter. Sie kann zu einem völlig geänderten Geschäftsmodell führen. So verändert sich beispielsweise ein Leuchtenhersteller vom reinen Produzenten hin zu einem Dienstleister für Licht.

Dabei werden die Leuchten mit Sensorik ausgestattet, die mit einer Zentrale verbunden ist. Störungen werden an die Zentrale gemeldet und anschließend behoben. Um diese Dienstleistung anbieten zu können, müssen sich Systeme öffnen, Daten fließen, verarbeitet und geschützt werden. Produktionsstätten, Unternehmen, Dienstleister und Kunden werden miteinander vernetzt. Spätestens mit diesem Schritt gewinnt das Thema IT-Sicherheit an Bedeutung.

Wie steht es hier mit der Datensicherheit?

Seidel: Beim Blick auf kleine und mittelständische Unternehmen zeigt sich ein doppeltes Dilemma. Es wird zwar erkannt, dass die Cyberangriffe bedrohlich zunehmen, man ist aber davon überzeugt, dass man selbst für Cyberangriffe uninteressant ist.

Ein Irrtum! Da man über Jahre nicht kontinuierlich in Sicherheit investiert hat, fehlen dann oftmals die finanziellen Mittel, Versäumtes nachzuholen, um die IT auf den neuesten Sicherheitsstandard zu bringen.

Woran hapert es ganz besonders?

Seidel: Beispiele aus der Vergangenheit zeigen, dass mittelständische Unternehmen nicht mehr das Know-how im Hause haben, um die richtigen Entscheidungen zu treffen und Maßnahmen ziel-
führend zu priorisieren. Hierzu bedarf es der Unterstützung von Dienstleistungen, wie sie der HDI gemeinsam mit Adesso anbietet.

Steffl: Mit unserem Serviceangebot setzen wir gemeinsam mit unserem Dienstleister bereits früh an. Das Thema Sicherheit muss bereits bei der Entwicklung von Produkten und Dienstleistungen mitgedacht werden.

Wenn ein Unternehmen ein Produkt herstellt, nutzt es Rohstoffe. Diese sind greifbar. Die IT war dabei lange Zeit immer nur Teil des Produktionsprozesses. Heute ist die gesamte Strecke von der Bestellung über die Produktion bis zum Versand an den Endkunden digitalisiert.

Die Informationen, die diesen Prozess unterstützen, bilden einen Wert, der in dieser digitalen Welt stetig zunimmt. Man erkennt ihn oft erst, wenn plötzlich die Bänder stillstehen. Das ist der Moment, in dem bewusst wird, wie abhängig Geschäftsprozesse von der IT sind.

Obwohl nahezu nichts mehr ohne IT funktioniert, gehört die Cyberversicherung längst noch nicht zu einem ganzheitlichen Beratungsansatz beim Thema Gewerbe. Warum?

Steffl: Die Cyberversicherung ist nur ein Teil der Informationssicherheit – wenn auch ein sehr wichtiger. Wir müssen hier aber bereits deutlich vorher ansetzen. Unter anderem bei der Frage: Wie entwickle ich das Bewusstsein, dass Informationssicherheit ein Teil des unternehmensweiten Risikomanagementprozesses sein muss?

Dazu muss man zunächst wissen, welche Risiken durch den Einsatz von IT entstehen. Welche Risiken bedrohen mich, wenn ich IT zu meiner Wertschöpfung benötige? Wie reagiere ich, um diese Risiken zu reduzieren?

Technische Maßnahmen wie eine Netzwerksegmentierung, Antivirenschutz, adäquates Berechtigungsmanagement und getestete Backups sind dabei ein weiterer Teilbereich, der organisatorische und prozessuale Maßnahmen ergänzt. Restrisiken, die ich nicht auf ein akzeptables Maß reduzieren kann, können teilweise versichert werden. Von diesem ganzheitlichen Sicherheitskonzept sind viele Unternehmen noch ein Stück entfernt.

Es gibt diverse Versicherungen, die ein Unternehmen abschließen kann. Warum rangiert die Cyberabsicherung derart weit hinten?

Seidel: Für die Informationssicherheit verantwortlich ist die Führungsebene eines Unternehmens, diese Verantwortung kann nicht delegiert werden. Dieser Punkt wird oftmals in den Entscheidungen bezüglich zusätzlicher Schutzmaßnahmen nicht richtig bewertet.

Oft wird es als ausreichend angesehen, das Thema Sicherheit an einen Mitarbeiter zu delegieren oder die IT wird an ein Rechenzentrum outgesourct. Ferner treffen wir immer wieder auf die Annahme, dass das eigene Unternehmen für Cyberkriminalität doch völlig uninteressant sei und in der Vergangenheit sei ja auch nie etwas Ernsthaftes passiert.

Und dann besteht noch die Überzeugung, über die bereits abgeschlossenen Versicherungsverträge ausreichend gegen die finanziellen Folgen eines Cyberangriffs versichert zu sein. Diese drei Aspekte führen zur einer Fehleinschätzung, zu einem Gefühl der Sicherheit, dass nicht begründet ist. Es gibt offensichtlich noch viel Aufklärungsbedarf.

Wie ermitteln Sie den Absicherungsbedarf für ein Unternehmen?

Steffl: Das ist von Branche zu Branche unterschiedlich und hängt zudem von der Unternehmensgröße ab. Derzeit müssen wir vor allem noch viel Aufklärungsarbeit leisten, den Bedarf und Nutzen erklären und damit die Aufmerksamkeit wecken.

Um den Absicherungsbedarf und die Versicherbarkeit zu ermitteln, nutzt man zunächst Fragebögen, um ein Gefühl zu entwickeln, wo der Kunde beim Thema Informationssicherheit steht. Bei größeren Kunden setzen wir eigene Cyber-Risikoingenieure ein.

Gemeinsam führen wir vor Ort einen Risikodialog mit dem Ziel durch, den Reifegrad und entsprechend das Maß der Informationssicherheit sowie verbleibende Risiken zu verstehen und greifbar zu machen. Unser Partner Adesso kann uns dabei weiter unterstützen.

Grundsätzlich wollen wir IT, IT-Sicherheit und Cyberversicherung eng verknüpfen. Wir sind ein Versicherungsunternehmen und kein IT-Spezialist. Deshalb kooperieren wir mit professionellen Partnern, um Risiken aus weiteren Blickwinkeln zu sehen und unseren Kunden zudem einen Mehrwert zu bieten.

Seidel: Mit unserer Dienstleistung führen wir eine Standortbestimmung durch. Dabei gehen wir das Thema Security aus einer prozessualen und organisatorischen Richtung an. Geschäftskritische Applikationen wie beispielsweise ein SAP-System werden mit einem standardisierten, elektronischen, eintägigen Verfahren auf Schwachstellen untersucht.

Das Ergebnis dieses Prüfschrittes kann beispielsweise sein, dass es ein Sicherheitsrisiken bezüglich der Vergabe von Berechtigungen gibt. Darauf aufbauend stellen wir die Frage, wie überhaupt Mitarbeiter oder Berater Zugang zum Unternehmen, zum Netzwerk und zum System bekommen.

Das heißt, dass wir, so es die Kunden wünschen, auf den ersten Check ein IT-Assessment aufsetzen. Mit diesen zwei Schritten erhalten unsere Kunden ein Gesamtbild aus prozessual-organisatorischem Blickwinkel.

Sie erhalten eine Risikobewertung, aus der die Wahrscheinlichkeit abgeleitet werden kann, dass dieses Unternehmen Opfer eines Cyberangriffs wird oder nicht. Ferner stellen wir unseren Kunden eine umfangreiche Dokumentation zur Verfügung, mit der sie in die Lage versetzt werden, selbstständig die Organisation und die IT gegen Angriffe sicherer aufzustellen.

Und sind die Unternehmen überrascht ob der Einfallstore?

Seidel: Das erleben wir sehr unterschiedlich. Es hängt von der Branche, von der Unternehmensgröße und sicherlich auch davon ab, wer in dem Unternehmen unser erster Ansprechpartner ist. Produzierende Unternehmen gehen seit jeher sensibel mit dem Thema um.

Große Unternehmen verfügen in der Regel über mehr Budget und haben zertifizierte Mitarbeiter oder ganze Abteilungen, die mit dem Thema Abwehr von Cyberangriffen beauftragt sind. Wenn Sie mit dem IT-Leiter sprechen, wird dieser Ihnen immer sagen: „Bei uns ist alles sicher. Wir sind auf einem guten Stand, wir haben alle Patches eingespielt und wir haben umfangreiche Zugangs- und Berechtigungskonzepte“.

Der kaufmännische Leiter ist da schon unsicherer und glaubt schon eher, dass ein neutraler Blick auf die Sicherheit der IT oder die Unternehmensorganisation wichtige Erkenntnisse bringt. Die Kunden, die sich auf die Standortbestimmung durch eine elektronische und damit neutrale und jederzeit wiederholbare Untersuchung einlassen, sind überrascht, welche Einfallstore kriminelle Organisationen in ihrem Unternehmen hätten.

Was ist denn der schwächste Faktor des gesamten Systems?

Seidel: Der Mensch, der aus Unwissenheit oder Leichtsinn beispielweise schadhafte E-Mail-Anhänge angeklickt, ist immer noch das größte Risiko, um Angreifern die Möglichkeit einzuräumen, fremde Computernetzwerke vollständig zu übernehmen.

Steffl: Oftmals ist es ein Mitarbeiter, der auf einen Link oder einen E-Mail-Anhang klickt und damit dem Angreifer die Tür öffnet. Das sehen wir zunehmend und in unterschiedlichen Ausprägungen von Schadenfällen.

Seidel: Neben Schadsoftware in E-Mails sind schwache Passwörter ein großes Problem. Mithilfe leistungsstarker Gaming-Computer und im Internet erhältlicher Programme sind sechsstellige Passwörter leicht zu knacken. Bei achtstelligen wird es aufwendiger.

Auf der sicheren Seite ist man erst bei zehn- oder zwölfstelligen Kennwörtern. Dabei kommt es gar nicht auf die Kombination von Buchstaben, Zahlen oder Sonderzeichen an. Viel entscheidender ist die Länge des Kennworts. Argumentiert der Kunde dabei „wer kann sich die denn schon merken“, empfehlen wir eine Zwei-Faktor-Authentifizierung. Die damit verbundenen Investitionen sind sehr überschaubar.

Steffl: Neben dem Einfallstor Mensch merken wir bei Cyber-Vorfällen immer wieder, dass es vor allem auf der organisatorischen und prozessualen Ebene hapert. Das sind grundsätzliche Themen, wie eine lasche Passwort-Policy oder ein fehlendes Berechtigungsmanagement.

Wenn jeder Mitarbeiter administrative Zugriffe besitzt, obwohl er gar keine administrativen Tätigkeiten durchführen muss, dann hat es der Angreifer leicht, sich durch das Netzwerk zu bewegen. Wenn kein Backup vorhanden ist oder das Backup ständig am Netz hängt, dann hat es die Ransomeware einfach, Sicherungskopien zu verschlüsseln.

Das sind die organisatorischen Fehler, die viele Unternehmen machen. Aber auch auf der prozessualen Ebene läuft vieles falsch. Dort ist die Frage, wie ich korrekt auf einen Cyberangriff reagiere, oftmals nicht vollständig durchdacht.

Bei Feuer weiß jeder, dass er die Feuerwehr anrufen muss und kennt die Nummer auswendig. Aber für den Cyber-angriff? Weiß der Mitarbeiter, wen er anrufen muss und was er wie zu melden hat? Kennt der IT-Leiter die Nummern von externen Forensikexperten, die unterstützen können? Im Bereich Cyber fehlen meist Reaktionspläne und ein angemessenes Notfallmanagement.

Ist das Thema Sicherheit ein Wettbewerbsfaktor?

Steffl: Wir haben anfangs über das Thema Digitalisierung und die Werthaltigkeit von Informationen in der digitalen Wertschöpfung gesprochen. Ich glaube, Informationssicherheit wird künftig zu einem ganz wesentlichen Qualitätsmerkmal der digitalen Wertschöpfung.

Sie wirkt sich positiv auf das Vertrauen der Verbraucher in Produkte und Dienstleistungen aus. Ich möchte schließlich keine Angst vor der Digitalisierung und bei der Benutzung von Produkten haben. Als Konsument will ich davon ausgehen können, dass niemand meine persönlichen Daten einsehen oder sogar missbrauchen kann.

Ich möchte eine gewisse Sicherheit haben, wenn Unternehmen meine personenbezogenen Daten sammeln und verarbeiten.Wenn ich erfahre, dass ein Unternehmen gehackt wurde und zum Beispiel Produktionsausfälle oder Datenschutzverstöße vorgefallen sind, mag das auch negative Auswirkung auf bestehende Kundenverbindungen haben. Insofern wird Informationssicherheit für Unternehmen zum entscheidenden Wettbewerbsfaktor, um in der Digitalisierung dauerhaft erfolgreich und zukunftsfähig zu sein.

Wie kann ich als Kunde das überhaupt feststellen? Kein Unternehmen wird sich selbst an den Pranger stellen: „Entschuldigung, wir wurden gehackt, wir sind nicht sicher“.

Seidel: Ich möchte jetzt nicht auf die Gesetzeslage eingehen, die Unternehmen im Fall eines Angriffs verpflichten, diesen Vorfall zu melden. Ich möchte hier eher darauf verweisen, dass es neben der ISO-27001-Zertifizierung – auch zusätzliche Zertifikate gibt, die die Bemühungen des Unternehmens, die Informationssicherheit auf einem aktuellen, hohen Sicherheitstand zu halten, beurkunden.

Auch der Jahresabschlussbericht kann für mich als Kunde Hinweise enthalten, wie es um das Thema Sicherheit bei dem Unternehmen bestellt ist. Als Kunde habe ich somit verschiedene Möglichkeiten, mich darüber zu informieren, wie ein Unternehmen die vom Gesetzgeber vorgegebenen Standards einhält. Je mehr das Thema in der Öffentlichkeit präsent ist, desto mehr nutzen Unternehmen das Thema auch als Mittel, um sich von Wettbewerbern abzuheben.

Verlangen Sie als Versicherer diese Zertifikate, wenn ein Unternehmen sich versichern möchte?

Steffl: Wir achten drauf, ob ein Unternehmen zertifiziert ist oder zumindest den Best-Practices dieser Standards folgt. Nicht für jedes Unternehmen mag eine ISO-27001-Zertifizierung wirtschaftlich sein. Manchmal ist es auch sinnvoll, nur gewisse Prozesse oder Organisationseinheiten zu zertifizieren.

Diese Punkte fragen wir natürlich ab. Setzt ein Unternehmen externe IT- oder Cloud-Dienstleister ein, so wollen wir wissen, wie diese ausgewählt werden und ob man darauf achtet, dass die Dienstleister, denen sensible Daten oder Prozesse anvertraut werden, entsprechenden Standards folgen. Auch der Gesetzgeber wird zunehmend regulatorisch tätig.

Die DSGVO spricht Security beziehungsweise Privacy by Design klar an. Das heißt, Informationssicherheit muss zukünftig bei der Entwicklung von Produkten und Dienstleistungen oder bei der Auslagerung von Dienstleistungen klar berücksichtigt werden. Das ist die Herausforderung: Wenn ich heutzutage ein neues Produkt entwickeln will, sollte ich bereits während der Entwicklung die notwendige Security beachten. Security in bestehende Produkte zu implementieren, ist oftmals komplex, folglich teurer und schränkt ggf. die Benutzerfreundlichkeit ein.

Was erwarten Unternehmen von einer Cyberversicherung?

Steffl: Unternehmen erwarten von uns Support in allen Bereichen. Das fängt bei der Prävention an und reicht von Schulungsmaßnahmen für Informationssicherheit über Datenschutz und (Re-)Zertifizierung bis zur Sensibilisierung von Mitarbeitern. Außerdem bieten wir bei der Risikoidentifikation Unterstützung durch professionelle Partner wie Adesso, die Risiken aus technischer und organisatorischer Sicht greifbar machen.

Dazu muss man wissen, dass viele unserer Kunden produzierende Unternehmen sind. Da geht es nicht allein um Themen wie Datenschutz, sondern vor allem auch um Produktionsausfall: Ist die Produktions-IT den gleichen Bedrohungsszenarien ausgesetzt wie die klassische IT? Was passiert, wenn meine Produktionsstätte ausfällt und welcher monetäre Betriebsunterbrechungsschaden ist denkbar?

Gemeinsam mit unseren Kunden und mit Sicherheitsingenieuren unserer Tochter HDI Risk Consulting werden relevante IT-Prozesse identifiziert und etwaige Kosten einer Betriebsunterbrechung ganzheitlich ermittelt. Dabei stehen Umsatzverluste sowie betriebliche Mehrkosten zur Bewältigung von Auswirkungen einer Betriebsunterbrechung im besonderen Fokus. Natürlich steht am Ende der Risikotransfer.

Was geschieht, wenn sich Risiken nicht managen lassen?

Steffl: Dafür bieten wir eine maßgeschneiderte Versicherung. Grundsätzlich ermöglicht sie eine Absicherung von Eigenschäden, etwa für Betriebsunterbrechungen, die Ausfallsrisiken in der Fertigung umfassend absichern. Ebenso werden Drittschäden abgedeckt.

Ein weiterer Baustein ist die Verletzung von Betriebsgeheimnissen (Industriespionage). Cyber Incident Response ist ebenfalls sehr wichtig und fixer Bestandteil unserer Produkte. Was passiert, wenn ich wirklich einen Vorfall habe?

Im Rahmen unseres Dienstleisterkonzepts kooperieren wir mit externen Experten, die Kunden bei der Krisenreaktion unterstützen. Der Kunde erhält bei einem potenziellen Vorfall professionelle Unterstützung. Zu diesen Services gehören beispielsweise IT-forensische Untersuchungen, Rechtsberatung bei möglichen Datenschutzverletzungen, die Benachrichtigung von betroffenen Personen und Behörden wie auch Unterstützung bei der Krisenbewältigung, wie der Kommunikation mit Kunden und Medien.

Das Gespräch führte Jörg Droste, Cash. (dr)

 




Nachricht an die Redaktion

Hier können Sie uns einen Kommentar zu dem Artikel zukommen lassen.
Wir freuen uns auf Ihr Feedback.

[honeypot additional-name-406]]

Bei unseren Lesern momentan beliebt