Durch die rasante Digitalisierung der Wirtschaft und Gesellschaft wird es für Unternehmen immer schwieriger, sich effektiv vor Cyberangriffen zu schützen. Die größere Angriffsfläche macht es Cyberkriminellen einfacher, eines der Schlupflöcher zu nutzen und ins interne Netz eines Betriebes vorzudringen. Vor allem kleine Unternehmen und Mittelständler leiden unter Cyberangriffen, da sie aufgrund des leichtfertigen Umgangs IT-Infrastruktur und veralteter Software besonders anfällig sind.
Neben diesen Faktoren leiten Versicherer aus ihren Analysen von Schadenfällen weitere Entwicklungsmuster ab: Immer häufiger gelangt Schadsoftware über Drittplattformen von Serviceanbietern, die Liefer- oder Abnehmerkette in das interne Unternehmensnetz. Auch die Verwendung von Open-Source-Software und Apps gilt als riskant.
Die Basis der Risikoanalyse des Versicherers
Auf Unternehmensebene bewerten Versicherungen Risiken anhand von Risikofaktoren, die für jedes Unternehmen einzigartig sind. Diese Vorgehensweise gewährt den Kunden einen tieferen Einblick in ihre Stärken und Schwachstellen im Hinblick auf Cybersicherheit. Diese sogenannten Cyber Risk Assessments bestehen aus einer Vielzahl ausgewählter Fragen, die über eine Reihe von Auswahlmöglichkeiten beantwortet werden können.
Einige Fragen machen die inhaltliche Unterstützung anderer Bereiche innerhalb des Unternehmens erforderlich. Hierzu gehören unter anderem die IT sowie Verantwortliche für Sicherheitsfragen. Nach Abschluss und Übermittlung der Informationssicherheitsbewertung erhalten die Anwender einen personalisierten Cyberrisikobericht, der von Experten für Cybersicherheit auf Grundlage einer eingehenden Analyse der Ergebnisse erstellt wurde.??
Das inhärente Risiko
Der erste Schritt bei der Beurteilung eines Kunden besteht darin, die Bandbreite des innewohnenden Cyberrisikos zu verstehen. Das "inhärente" Cyberrisiko ähnelt dem von Bränden und anderen natürlichen Gefahren: Sie werden beide von Faktoren bestimmt, die außerhalb der Kontrolle des Unternehmens liegen. Ein Kunde, der sich beispielsweise in einer bekannten Hochwasserzone befindet, hat ein höheres inhärentes Hochwasserrisiko als ein Kunde, der nicht in einer solchen positioniert ist. Je größer diese Art des Risikos ist, desto umfassender müssen die Sicherheitskontrollen des Kunden sein, um es zu minimieren.
Zu den Faktoren, die zur Bestimmung des inhärenten Risikos für Cyberangriffe verwendet werden, gehören die Industriezugehörigkeit, der Hauptsitz des Unternehmens und seine Präsenzländer. Auch die Frage, in welchen Geschäftsfeldern sich ein Kunde bewegt und wo er seine Geschäfte grundsätzlich ausübt hat Einfluss auf seine Gefährdungslage. Diese Faktoren sollten gemeinsam und nicht isoliert betrachtet werden.
Industriezugehörigkeit
Die Industriezugehörigkeit bezieht sich auf die Grundkategorie der Geschäftstätigkeit - das heißt in der Regel, wie ein Kunde hauptsächlich seinen Umsatz generiert. Die Branche bestimmt, wo seine Hauptvermögenswerte liegen. Heutzutage sind das meist Daten und Produktionsanlagen. Hierbei handelt es sich um Werte, die bei Verlust die Wettbewerbsfähigkeit negativ beeinflussen, Rechte an geistigem Eigentum betreffen sowie die Markenreputation schädigen und die Geschäftsfähigkeit im Allgemeinen einschränken.
Verschiedene Branchen ziehen unterschiedliche Arten von Aggressoren an. Ein Flugzeughersteller hat beispielsweise ein hohes Risiko, von einem Staat angegriffen zu werden aufgrund der Art seiner Tätigkeit. Informationen aus dieser Art von Industrie nutzen vor allem Nationalstaaten, die eine eigene Flugzeugindustrie aufbauen möchten. Das Risiko durch "Hacktivisten" und organisierte Kriminalität ist dagegen geringer, weil die Informationen für solche Angreifer weniger wertvoll sind.
Der Hauptsitz des Unternehmens
Der Hauptsitz eines Kunden zentralisiert seine Führung, seine Finanzen und sein Know-how. Es ist auch der Ort, an dem die Marke lebt und am stärksten sichtbar ist. Hauptsitze in Ländern mit hoher globaler Bekanntheit sind öfter das Ziel von Cyberangriffen.
Niederlassungen
Niederlassungen in anderen Ländern verfügen meist über eine signifikante Aggregation von wichtigen Unternehmenstätigkeiten oder -infrastrukturen. Hierzu gehören Rechenzentren, Produktionsstätten, Forschung und Entwicklung sowie eine große Zahl von Mitarbeitern.
Einige Charakteristika dieser Länder können das inhärente Cyberrisiko beeinflussen. So setzen manche Staaten Cybergesetze nicht durch. Andere haben nicht die wirtschaftlichen Voraussetzungen, um Ressourcen zur Einführung und Durchsetzung von Cybersicherheitspraktiken und -gesetzen aufzubringen. Auch das politische Umfeld hat einen großen Einfluss. So sind manche Staaten politisch instabil und von Störfaktoren wie Unruhen und Terrorismus betroffen.
Handhabung von Risiken
Über das inhärente Risiko hinaus bewerten Versicherer auch die Art und Weise, wie Unternehmen Sicherheitsthemen handhaben. Daraus leitet sich das individuelle Risiko des Kunden ab. Diese Themen befassen sich mit den organisatorischen und technischen Schutzmaßnahmen, die getroffen werden. Im Folgenden werden diese Themen näher beschrieben sowie beispielhafte Assessment-Fragen aufgeführt.
Governance
Governance bezieht sich auf die Verantwortlichkeit der Geschäftsleitung eine strategische Ausrichtung zu definieren. Sie muss sicherstellen, dass das Thema Cybersicherheit angemessen gemanagt wird. Zudem fördert sie die Verantwortlichkeit für Informationssicherheit über die gesamte Organisation hinweg, nicht nur in der IT-Abteilung.
Führt das Unternehmen mindestens einmal jährlich interne Audits des Cybersicherheitsprogramms durch?
Wer genehmigt und unterzeichnet die grundsätzliche Cyber-Risikobereitschaft des Unternehmens?
Identifikation
Dies beinhaltet die Identifizierung von schutzbedürftigen Vermögenswerten sowie aller möglichen Bedrohungen, die auf diese Vermögenswerte abzielen.
Wie häufig werden Informationsbestände anhand des Datenklassifikationsschemas bewertet?
Enthalten Verträge mit Drittdienstleistern explizite Anforderungen an die Datensicherheit?
Schutz
Der Schutz umfasst die Entwicklung, Implementierung und Aufrechterhaltung angemessener Sicherheitsvorkehrungen zur Absicherung der Vermögenswerte und Dienstleistungen.
Wie wird der Systemzugriff kontrolliert?
Führt das Unternehmen Echtzeit-Simulationen wie Tests mit Phishing-E-Mails durch, um die Wirksamkeit seiner Cybersicherheitsaktivitäten zu testen?
Erkennung
Hierbei geht es darum geeignete Sicherheitsvorkehrungen für die Benachrichtigung des Sicherheitspersonals beim Eintritt eines Cyber-Ereignisses zu entwickeln und zu implementieren.
Verfügt das Unternehmen über die Möglichkeit, den Zugriff sofort auszusetzen - auch für Personen, die derzeit mit dem Netzwerk oder den Systemen verbunden sind?
Reaktion
Reaktion bedeutet, dass man Verfahren entwickelt und implementiert, um auf Cyberangriffe adäquat und regelbasiert antworten zu können.
Hat das Unternehmen eine dokumentierte Vorgehensweise zur Reaktion auf Vorfälle?
Wiederherstellung
Wiederherstellung umfasst die Konzeption und Umsetzung von Maßnahmen zur Wiederherstellung des Unternehmenszustands in seiner ursprünglichen Form.
Sind Backups so konfiguriert, dass sie nicht überschrieben oder gelöscht werden können, auch nicht von Konten auf Administratorebene?
Ganzheitlich handeln und zusätzlich absichern
Unternehmen müssen selbst viel dafür tun, um Schäden durch Cyberangriffe abzuwenden oder zumindest zu verringern - vor allem dadurch, dass sie die Unternehmensdaten optimal und umfangreich schützen. Es ist hier wichtig, dass sowohl die externen als auch die internen Schwachstellen aufgedeckt und geschlossen werden.
Dennoch kann es vorkommen, dass ein Cyberangriff ins Mark trifft und erhebliche Schäden verursacht. Eine Versicherung, die konkret Schäden versichert, die durch Cyberattacken verursacht werden, ist eine Option, über die nachgedacht werden sollte.