Playbook herunterladen Kontakt aufnehmen
Jetzt Tarifieren

Cyber-Bedrohung für den Mittelstand

Interview mit Tobias Caspar

Tobias Caspar, Cyber Risk Engineer

Tobias Caspar, Cyber Risk Engineer

Welche Cybersicherheitsbedrohungen sind Ihrer Meinung nach besonders akut?

In den letzten Jahren waren Ransomware-Attacken nach dem Gießkannenprinzip das Top-Risikoszenario. Wir sehen dieses Szenario auch immer noch in den aktuellen Schadenfällen. Gleichzeitig sind bessere Schutzmechanismen wie bessere Malwareerkennung und stärkere Netzwerksegmentierung mehr und mehr verbreitet. Wir sehen daher einen Trend zu gezielten Angriffen entweder über Schwachstellen im Netzwerk oder mittels gezielter Angriffe auf den Benutzer als Einfallstore und einen Trend zum Doxing (Erpressung mit der Drohung der Informationsveröffentlichung) in der ‚Angriffsverwertung‘. Aber auch Denial-of-Service Situationen insbesondere in Industriesteuerungen bleibt eines der wichtigsten Risikoszenarien. Der fortschreitende Trend zum IoT und die häufig erst nachlaufende Absicherung, der dadurch neu auftretenden oder verschärften Risiken, begünstigt diese Szenarien.

„Gerade in diesem Bereich, dem Cyber-Risikomanagement bestehen noch große Herausforderungen“

Welche Rolle spielt bei der IT-Sicherheit der Faktor Mensch?

Der Mensch ist in zweierlei Hinsicht der Schlüssel: Zum einen ist es in sehr vielen Schadenfällen ein Benutzer, der einen Angriff durch die oft unbewusste Ausführung der Schadsoftware erfolgreich macht. Zum anderen sind es aber auch Menschen, die die Problematik und das damit verbundene Risiko verstehen müssen, um die richtigen Konsequenzen zu ziehen. Gerade in diesem Bereich, dem Cyber-Risikomanagement bestehen noch große Herausforderungen. Häufig ist in den Firmen das Cyberrisiko nicht transparent, damit Entscheider damit richtig umgehen können. Strukturen, um die Abhängigkeiten des Business von Informationen und IT systematisch zu erfassen und darstellen zu können, fehlen leider noch zu häufig. Der Verweis auf die IT, die sich kümmern soll, greift zu kurz, da das Verständnis für die geschäftlichen Auswirkungen naturgemäß nicht deren Kompetenz ist. Dem kann man, wie in anderen Bereichen auch, nur mit einem vom Business getragenen Managementsystem begegnen, in das die IT dann Ihre technische Perspektive beiträgt.

In Zukunft dürfte die IT immer stärker automatisiert werden. Werden Themen wie Künstliche Intelligenz (KI) das Problem menschlicher Risiken langfristig lösen?

KI ist ein sehr vielfältig gebrauchtes Schlagwort. KI im Sinne der Erschließung und Nutzung von großen Datenmengen durch Algorithmen ist ein wesentlicher Beitrag z.B. in der oben angesprochenen Verbesserung der Malwareerkennung. Hierdurch kann auch unbekannte Malware heute häufig anhand ihres Verhaltens erkannt werden. An dieser Stelle mindert KI in der Praxis tatsächlich einen Teil des Problems. Wenn jedoch ein gezielter Angriff auf Menschen vorgenommen wird, um deren Verhalten zu beeinflussen (z.B. Informationen preiszugeben), ist auch KI noch lange nicht so weit, das zuverlässig erkennen und verhindern zu können. Awareness-Trainings für Benutzer bleiben daher weiterhin eine elementare Maßnahme. Die Awareness auf Management- und IT-Ebene (Wie kann die Geschäftsanforderung ausreichend sicher gebaut und betrieben werden? Wie ist das technisch realisierbar?) bleibt eine Herausforderung an die menschliche Kreativität, die zwar in der Zukunft durch KI unterstützt, aber auf absehbare Zeit mit Sicherheit nicht vollständig durch diese gelöst werden kann. KI wird uns ermöglichen mehr Informationen nutzbar zu machen, aber die gestalterischen Aufgaben werden meiner Ansicht nach immer beim Menschen bleiben. Ich würde es so formulieren: KI wird uns helfen die durch sehr hohe Komplexität oft verlorene Kontrolle zurück zu erlangen. Die Kontrolle dann auszuüben wird meines Erachtens beim Menschen verbleiben.

Cyber als Bedrohung für Unternehmen

Interview mit Torben Schwierzke

Torben Schwierzke

Torben Schwierzke, Dach Leader Cyber Underwriting DACH

Der Mittelstand gerät immer mehr ins Visier von Cyberkriminellen. Wie reagieren Sie als Risikoexperte, wenn Sie neue Meldungen von Cyber-Angriffen bei mittelständischen Unternehmen sehen?

Trotz der vielen Artikel über Cyber-Angriffe in den Medien, geben sich nach wie vor gerade viele kleineren Unternehmen der trügerischen Hoffnung hin, dass ihr eigener Betrieb zu klein und uninteressant für Cyberkriminelle ist. Dieser Irrglaube kann im schlimmsten Fall zur Insolvenz führen. Cybererpressung und Ransomware sind für kleine und mittlere Unternehmen hier aktuell die größten Probleme. In einem ersten Schritt sind für Unternehmen daher ordentlich gepatchte Systeme, das Vorhalten von BackUps sowie Notfallplänen essenziell. Grundsätzlich müssen Unternehmen egal welcher Größe wissen, welchem Risiko sie ausgesetzt sind und was sie selbst an Risiko tragen können. Was bedeutet beispielsweise eine Betriebsunterbrechung von einer Woche für das Unternehmen. Ist der Betrieb nach dieser Woche konkurs, oder hat er beispielsweise genügend Produkte vorproduziert, um weiter an seine Kunden liefern zu können.

„Grundsätzlich müssen Unternehmen egal welcher Größe wissen, welchem Risiko sie ausgesetzt sind“

Großunternehmen und Konzerne sind aktuell eher in der Lage einen Angriff zeitnah zu entdecken und die erforderlichen Maßnahmen einzuleiten. Was sind Ihre Erfahrungen für Unternehmen im KMU-Umfeld – ist das dort auch der Fall?

Teils, teils. Gerade viele kleinere Unternehmen haben aktuell nicht alle Ressourcen intern vorhanden, um auf einen Vorfall umfassend zu reagieren. Viele KMUs haben beispielsweise keinen Kontakt zu externen IT-Experten. Im Falle eines Falles dann einen solchen Fachmann zu finden kann wertvolle Zeit in Anspruch nehmen, die in einer solchen Akutsituation dann fehlt, um den Vorfall effektiv zu bekämpfen. Hier kann beispielsweise der Versicherer helfen, der solche Services für seine Kunden 24/7 bereithält.

Wie können sich aus Ihrer Sicht kleine und mittelständische Unternehmen vor Cyber-Angriffen besser schützen?

Wir beobachten, dass die Bedrohung kleinerer und mittlerer Unternehmen durch Cyber-Angriffe wächst. Viele KMUs sind bereits mehrfach Opfer von Cyberkriminellen geworden. Wichtig ist es, einen Überblick zu haben, wie Cyber den Geschäftsbetrieb beeinträchtigt und zu welchem Zeitpunkt es für das Unternehmen kritisch wird. Viele KMUs erholen sich von umfassenden Cyberattacken nicht mehr und dies kann im schlimmsten Fall sogar zur Insolvenz führen. In den USA sagt man so schön „failing to plan, is planning to fail“. Jedes Unternehmen muss heutzutage die Grundlagen der Cyber-Hygiene beachten und einen Notfallplan für den Fall der Fälle in der Schublade haben.

Zukunft der Gewerbeversicherung

Interview mit Christian Rusch

Christian Rusch – Head of Digital Engagement AIG

Christian Rusch, Head of Digital Engagement AIG

Inwiefern verändert die Digitalisierung die Bedürfnisse der Kunden im Gewerbesegment?

eBay und Amazon haben unsere digitalen Erwartungen geprägt. Das bedeutet, wir erwarten die Verfügbarkeit von Angeboten und Dienstleistung heutzutage im Prinzip sofort und rund um die Uhr. Das trifft inzwischen auf fast alle Branchen zu – auch auf Versicherungen. Unsere Makler und Partner erwarten heute von uns, dass sie die Prämie für ihre Kunden schnell und einfach selbst online berechnen können, ohne lange E-Mails hin und her zu schicken – eben auch, weil Kunden heute kein Verständnis mehr dafür haben, wenn der einfache Prozess einer Prämienberechnung mehrere Tage dauert. Im besten Fall können die Makler den Vorgang bei Gefallen in einem zweiten Schritt gleich medienbruchfrei abschließen.

„eBay und Amazon haben unsere digitalen Erwartungen geprägt“

Was bedeuten diese Veränderungen für den Vertrieb?

Grundsätzlich ist die Veränderung nicht immens. Das eigenständige Erstellen einer ersten Quotierung sollte nicht als Verlagerung der Arbeit zum Makler gesehen werden, sondern als Effizienzgewinn. Die Vorteile liegen hier auf der Hand. Es ist sehr viel schneller, mit dem Underwriter gleich schon über ein bereits erstelltes Angebot zu sprechen, als erst auf ein Angebot zu warten und dann in die Diskussion einzusteigen.

Wo sehen Sie die Gewerbeversicherung in der Zukunft?

Die Gewerbeversicherung im kleinen und mittleren Bereich wird in den nächsten Jahren genauso transparent werden, wie es heute bereits Privat- und Kfz-Segment ist. Treiber hierfür ist wie schon angesprochen die Erwartungshaltung der Kunden. Ich persönlich sehe das als einen sehr großen Vorteil für die Gewerbeversicherung. Aktuell sind viele Versicherer noch auf die Verbesserung ihrer digitalen Prozesse konzentriert. Langfristig aber werden Beratungs- und Produktqualität wieder mehr in den Fokus treten und neben den Prozessen einen wesentlichen Erfolgsbestandteil einnehmen.

Digitalisierung: Chancen und Risiken

Digitalisierung

Am Thema Digitalisierung kommt mittlerweile kaum ein Unternehmen vorbei. Um schneller und kostengünstiger zu produzieren, transformieren immer mehr Firmen ihre Produktions- und Kommunikationsabläufe in digital gesteuerte, weitgehend automatisierte Prozesse. Maschinen zum Beispiel werden vernetzt, damit sie autonom miteinander agieren können. Sensoren sammeln Daten, die zentral erfasst und von Künstlicher Intelligenz ausgewertet werden, um Lieferketten und Produktionsabläufe zu optimieren. Auf digitalen Plattformen wird der Zustand von Maschinen und Anlagen überwacht. Etwaig notwendig werdende Reparatur- und Wartungsarbeiten lassen sich so frühzeitig einplanen, um teure Stillstandszeiten zu minimieren. Kunden-, Produktions- und Betriebsdaten werden in Cloudsysteme ausgelagert, von wo aus sie permanent für jeden Mitarbeiter und von jedem Ort aus verfügbar sind. Zusammen mit Data Analytics sind so ganz neue Services möglich, die sich eng an den individuellen Bedürfnissen jedes einzelnen Kunden orientieren.

Digitale Systeme sind verwundbar
Die Beispiele zeigen: Die Anwendungsmöglichkeiten digitaler Technologien sind vielfältig, die Wachstumschancen, die sich daraus ergeben, enorm. Schätzungen der beiden Branchenverbände BDI und Bitkom zufolge, beträgt das zusätzliche industrielle Wertschöpfungspotenzial der Digitalisierung bis zum Jahr 2025 allein hier in Europa 1,25 Billionen Euro.* Allerdings: Diesen Chancen stehen auch Herausforderungen gegenüber. In einer zunehmend vernetzten digitalen (Betriebs-)Welt gibt eine Vielzahl von Schnittstellen, die über das Internet verbunden sind. Für Hacker und Kriminelle potenzielle Einfalltore, um sich Zugriff etwa auf per Software gesteuerte Maschinen, Alarmanlagen oder die Gebäudetechnik zu verschaffen. Ähnlich groß ist auch allerdings die Gefahr durch Schadsoftware oder Trojaner, die über Emails eingeschleust werden. Mit ihnen rauben Kriminelle Daten, spähen Passwörter aus, manipulieren Prozesse oder legen im schlimmsten Fall die komplette IT-Infrastruktur des Betriebs lahm.

„Für Hacker und Kriminelle potenzielle Einfalltore, um sich Zugriff etwa auf per Software gesteuerte Maschinen, Alarmanlagen oder die Gebäudetechnik zu verschaffen.“

Cyber-Risiken ernst nehmen
Die Zahl der Cyber-Angriffe hat sich parallel mit der Digitalisierung sprunghaft erhöht. Die Schäden gehen allein in Deutschland in die Milliarden.* Viele Unternehmen sind daher sensibel für diese Art von Risiko geworden. Cyber-Vorfälle werden inzwischen als bedeutende Geschäftsbedrohung wahrgenommen. Viele Unternehmen sehen inzwischen als höchstes Geschäftsrisiko Betriebsunterbrechungen ausgelöst durch Cybervorfälle – noch vor Explosionen, Naturkatastrophen, Unterbrechungen der Lieferketten sowie Maschinenbruch. Dazu kommt: Die Datenschutzgrundverordnung verlangt von Unternehmen, dass sie das Thema Datensicherheit ernst nehmen. Sonst drohen hohe Strafen. All das zeigt: Unternehmen müssen bei der Digitalisierung nicht nur die Chancen, sondern auch die Risiken im Blick haben, die mit neuen Technologien verbunden sind. Denn nur wenn die Sicherheit in der neuen Cyber-Welt langfristig gewährleistet ist, können Unternehmen heutzutage langfristig erfolgreich sein.

* Quelle: DIE DIGITALE TRANSFORMATION DER INDUSTRIE – Was Sie bedeutet. Wer gewinnt. Was jetzt zu tun ist. Eine europäische Studie von Roland Berger Strategy Consultants im Auftrag des BDI

Cyber-Risiken: Das Risikomanagement

Cyber-Risiken

Beim Thema Cyber-Versicherung gibt es nach wie vor viele offene Fragen. Das ist nicht verwunderlich, denn das Produkt Cyber ist immer noch neu auf dem Versicherungsmarkt. Klar ist, eine Cyberversicherung mindert die finanziellen Folgen eines Hackerangriffs, doch inwieweit sie als Tool für den Risikotransfer genutzt werden kann, bedarf Erklärung.

Um zu verstehen, wie eine Cyber-Versicherung aufgebaut ist, ist es sinnvoll, sich zunächst mit den Grundlagen des Risikomanagements zu befassen.

Cyber-Risiken: Das Risikomanagement
Das Unternehmensrisikomanagement umfasst verschiedene Aspekte des Risikos für ein bestimmtes Unternehmen:
• rechtliche Risiken
• finanzielle Risiken
• regulatorische Risiken oder
• operationelle Risiken

um nur einige zu nennen. Cyber-Risiken werden dabei häufig als operationelle Risiken identifiziert. Aber auch andere Kategorien, z.B. rechtliche Risiken, sind betroffen. Ein Blick auf die großen Datenverstöße dieser Tage reicht aus, um dieses Risiko zu erkennen.

Innerhalb des Zyklus der Bestimmung der aktuellen Risikohaltung durch die Betrachtung der Wahrscheinlichkeit von Cyber-Bedrohungen und deren Auswirkungen sowie aktueller Sicherheitskontrollen werden Cyber-Risiken aus einer kontinuierlichen Perspektive heraus betrachtet. Sobald dieser Zyklus abgeschlossen ist, wird er fortlaufend ausgeübt.

Da es in der Natur der Risiken liegt, sie kaum vollständig ausmerzen zu können, besteht immer ein Restrisiko. Dieses Restrisiko kann akzeptiert, weiter gemindert oder auf einen Cyberversicherer übertragen werden.

Cyber-Risiken: Die Herausforderung der Unterscheidung
Schwierigkeit der objektiven Senkung

Um das Brandrisiko für ein Gebäude zu senken, kann man bestimmte Maßnahmen ergreifen, um die Wahrscheinlichkeit des Ausbruchs eines Brandes zu begrenzen. Im Cyberspace funktioniert dieses Konzept nicht, da die Wahrscheinlichkeit, Opfer eines (gezielten) Angriffs zu werden, nicht nur von der eigenen Verteidigung abhängt, sondern auch von der Verteidigung anderer, einschließlich der Organisationen, von denen Sie abhängig sind (abhängiges Geschäft und Supply Chain Exposure).

Paradigma des vermeintlichen Bruchs

Dieses Paradigma stellt eine einzigartige Wendung in dem traditionellen Gedanken des Risikomanagements dar. Wenn ein unerwünschtes Ereignis bereits eingetreten ist und regelmäßig auftreten könnte, besteht die Herausforderung darin, die echte Gefahr dieses Ereignisses und die entsprechende Reaktion hierauf einzuschätzen. Das Ergebnis selbst könnte dabei zu einer positiven Änderung führen – oder aber zu einer umfassenden Gefahr für alle Schutzmechanismen werden.

Häufigkeit der Vorfälle

Auch hinsichtlich der Anzahl an Vorfällen, unterscheiden sich Cyber-Risiken deutlich von anderen Risiken. Im Gegensatz zu Gefahren, die mehr oder weniger deterministisch sind, wirken Cyberrisiken diesem Ansatz fast entgegen. Normalerweise gibt es ein grundlegendes Problem, das zuerst behoben werden muss, bevor im Falle von Cyber-Vorfällen die allgemeine Sicherheit auf lange Sicht verbessert wird, besteht hierbei doch eher das Risiko, auch in naher Zukunft von einem anderen Vorfall getroffen zu werden, anstatt von einem geringeren oder zumindest ähnlichen Risiko.

„Merke: Da es sich bei Cyber-Risiken um vom Menschen verursachte Risiken handelt, ist die Suche nach Mustern in der Vergangenheit nur eingeschränkt in der Lage, zukünftige Ereignisse vorherzusagen.“

Was leistet eine Cyber-Versicherung?

Cyber-Versicherung

Während einige Organisationen robuste Pläne für die Reaktion auf Cyber-Angriffe haben und somit gut für den Umgang mit einem solchen Vorgang gerüstet sind, ist dennoch hervorzuheben: Für die Mehrheit der Unternehmen trifft dies nicht zu. Erfahrene Cyber-Versicherungsträger sind in der Lage, bei Vorfällen einzugreifen und eine Reaktion zu koordinieren. Sie können zudem ein Netzwerk von Experten anbieten, darunter spezialisierte Rechtsberatung sowie Cyber Incident Response Firmen, die bei der Bewältigung einer schwierigen Situation helfen können. Das heißt aber auch: Erfahrung und Philosophie der Schadenbearbeitung sollten bei der Auswahl des Anbieters, bei dem die Cyber-Versicherung abgeschlossen werden soll, von zentraler Bedeutung sein.

Die Cyber-Versicherung | In Kürze
• ...ermöglicht den Risikotransfer in die Bilanz des Versicherers für Vermögensschäden einer Organisation.
• ...bietet einen wertvollen Service durch die Unterstützung im Schadenmanagement während eines Vorfalls.
• ...ist keine einzige Abdeckung, sondern kann individuell aus einer Reihe von Deckungsangeboten bestehen und zusammen mit dem Kunden hinsichtlich des Aufkommens von Cyber-Bedrohungen, -Risiken und sich abzeichnenden Auswirkungen entwickelt werden.
• ...ermöglicht eine Kombination aus Eigenschaden-Deckungen sowie Haftungsansprüchen.

Die Abdeckung von Cyber-Schäden hat sich in den fast zwanzig Jahren ihres Bestehens stets weiter entwickelt und erweitert. Daher ist es wichtig, auch die Formulierungen der Cyber-Versicherung regelmäßig zu überprüfen, um sicherzustellen, dass die Deckungsangebote auf dem neuesten Stand sind.

Cyber-Versicherung:

Das ist wichtig
Verständnis des Risikos

Für Kunden ist es wichtig, die Bedrohung und die Auswirkungen eines Cyberunfalls auf ihre Organisation zu verstehen und anhand dieser Informationen zu bestimmen, welche der Deckungen sie wählen und wie viel Versicherungsschutz sie erhalten möchten.

Auswertung von Auswirkung und Schadenart
Weiterhin spielt auch die Auswertung der Auswirkungen und der Art der Schäden aus einem Cyber-Ereignis auf die verschiedenen Versicherungspolicen eine elementare Rolle, um sicherzustellen, dass eine angemessene Deckung vorhanden ist und die damit versicherten Unternehmen geschützt sind.

Was eine Cyber-Versicherung NICHT ist...
• ...sie ersetzt kein Cyber-Sicherheitsprogramm.
• ...sie macht die Notwendigkeit guter Sicherheitskontrollen nicht zunichte.

Damit Unternehmen Cyber-Risiken effektiv managen können, sollten sie sich auch auf diese Punkte konzentrieren.