- |
- Face
- |
- Risk Newsletter
- |
- Presseportal
- |
- chubb.com/de
2020 Ausgabe 3
Cyberrisiken gibt es nicht nur in der Theorie – das sollte inzwischen jedem bekannt und bewusst sein. Diese Tatsache können die beiden Chubb Cyber-Experten Natalie Kress-Happel, Line Manager Cyber in Frankfurt, und Maximilian Ernst, Senior Underwriter Cyber in München, auch während des diesjährigen, erstmals digital stattfindenden Industrieforums am 12. November 2020 nur immer wieder betonen. Die beiden Cyber-Experten wissen schließlich nur allzu gut, wovon sie sprechen. „Je vernetzter Infrastrukturen sind, je zahlreicher die Schnittstellen mit dem Internet, desto größer ist auch die Angriffsfläche für Cybervorfälle. Das liegt in der Natur der Sache.“ Mit der immer weiter zunehmenden Digitalisierung als größten Treiber dieser Entwicklung geht also – nebst vielen positiven Errungenschaften – unwillkürlich eine steigende Bedrohung für die Cybersicherheit einher.
Doch welche Gefahren ergeben sich durch die Digitalisierung genau – speziell für Unternehmen? Das Gefahrenspektrum ist hier enorm, weiß Natalie Kress-Happel. „Dabei kann es sich um die klassischen kriminellen Hacker handeln, die sich zielgerichtet um den Zugang zu einem Unternehmen bemühen. Ein großes Thema sind auch Social Engineering-Angriffe, die versuchen Mitarbeiter auf Grundlage manipulierter E-Mails, Telefonanrufe oder auch bei einem analogen Lauschangriff auszuspähen und sich widerrechtlich an den Informationen zu bereichern. Gleiches gilt für raffinierte Schadsoftware, die Lücken im System ausnutzt und in diesem Schaden anrichtet. Oder aber es ist eine Kombination aus all diesen Methoden, wie bei einem Advanced Persistent Threat.“ Dies sind natürlich aber noch längst nicht alle Gefahren, bei der Betrachtung der Risiken in Cyber dürfen vor allem zwei weitere Aspekte nicht ungenannt bleiben: Daten und deren Verfügbarkeit sowie der Faktor Mensch, der risikoseitig nach wie vor eine sehr große Rolle spielt.
Chubb Cyber-Expertin Natalie Kress-Happel, Line Manager (Industrieforum 2020)
Wie geschützt sind Unternehmen dann überhaupt (noch) angesichts der Vielzahl an Cyberbedrohungen? Und das vor allem in Zeiten des derzeitigen „Working from home“, das nochmals ganz neue Anforderungen in Sachen Cybersicherheit auf den Plan gerufen hat? Denn klar ist: Die neue Normalität hat die Cyberrisiken drastisch erweitert. Wie sicher ist es eigentlich, wenn Mitarbeiterinnen und Mitarbeiter im Home Office über ihre eigenen Internetverbindungen sowie auch teilweise über ihre privaten Endgeräte wie Laptops auf das Firmennetzwerk zugreifen? Ein mangelhafter Schutz kann hier durchaus Auswirkungen auf die Unternehmenssicherheit haben. Und wer ist überhaupt für den Schutz der privaten Geräte verantwortlich? Viele Fragen, viele Herausforderungen, auf jeden Fall aber viel zu tun – und das nicht nur für Unternehmen, die sich vor Cyberrisiken zu schützen versuchen, sondern ebenfalls für diejenigen, die Cyberrisiken absichern. Zu bedenken gibt Natalie Kress-Happel dabei auch, dass die aktuelle Lage und eine dadurch entstehende Verschiebung der Prioritäten innerhalb der Unternehmen ein besonderes Risiko bergen. „Die Corona-Krise kann die IT-Sicherheitsabwehr von Firmen durchaus schwächen. Für sie heißt es jetzt mehr Aufwand zur Abwehr zu betreiben, doch wegen der wirtschaftlich angespannten Lage werden aktuell gleichzeitig die Budgets teilweise reduziert – das ist paradox! Die Entwicklung ist konträr und birgt damit zusätzliche unternehmerische Risiken.“
Auch wenn die Zeiten momentan alles andere als leicht sind, so ist es gerade jetzt unverzichtbar in Cybersecurity zu intensivieren – nicht zuletzt mit Blick auf die immer weiter zunehmende Digitalisierung. “Wir sehen in der letzten Zeit in vielen Branchen einen starken Drang nach digitaler Transformation – freiwillig oder aber auch aus der Situation heraus erzwungen, wegen der aktuellen Pandemie oder generell aufgrund von hohem Wettbewerbsdruck“, bestätigt Maximilian Ernst, Senior Underwriter Cyber im Bereich Major Accounts bei Chubb. „Aus unserer Sicht ist es schön zu sehen, dass auch durch die negative Situation ein durchaus sehr positiver Wandel stattfindet. Daraus ergeben sich sehr viele neue Chancen und Möglichkeiten, aber selbstverständlich auch Risiken.“ Zwar sei für Cyberrisiken eine steigende Sensibilisierung zu beobachten, allerdings würden Angreifer immer wieder ihre Strategien verändern. Die Folge davon? „Auch wir als Versicherer müssen dementsprechend unsere Lösungen anpassen. Dazu gehört auch die Risikoprävention beziehungsweise -beratung.“
Chubb Cyber-Experte Maximilian Ernst, Senior Underwriter (Industrieforum 2020)
Dreh- und Angelpunkt der Präventivmaßnahmen ist ein umfassender Risikodialog. In erster Linie geht es bei einem Risikodialog darum zu erkennen, wo das Unternehmen Angreifern sowohl von außen als auch von innen eine Zugriffsmöglichkeit bietet und welche Erkennungs- und Reaktionsprozesse bestehen. Im Fokus steht dabei die Annahme, dass Cyberkriminelle immer einen Weg finden werden, die erste „Schutzmauer“ zu überwinden. „Wichtig ist es dann, entsprechende Möglichkeiten zur Erkennung im Einsatz zu haben und im schlimmsten Fall auf erprobte Reaktionsmaßnahmen zurückgreifen zu können. Zum Beispiel bei Eintritt einer Betriebsunterbrechung aufgrund eines Systemausfalls“, erklärt Maximilian Ernst. Ziel des Risikodialoges ist es also, den handelnden Personen im Unternehmen Schwachstellen bewusst zu machen, damit diese – unterstützt von den Cyber-Experten auf Versichererseite – entsprechende Maßnahmen einleiten können.
Ist der oder sind die „blinden Flecken“ bereits erkannt und umfassende technische sowie organisatorische IT-Sicherheitsmaßnamen vorgenommen, so mag sich das eine oder andere Unternehmen die Frage stellen, warum es dann überhaupt noch eine Versicherung braucht und abschließen sollte. Die Antwort darauf ist simple: Die Erfahrung zeigt, dass Cyberkriminelle der IT-Sicherheit immer einen Schritt voraus sind – hierbei hilft auch die beste digitale Schutzmauer nicht. Und gerade auch da menschliches Versagen möglich ist, kann eine Versicherung sinnvoll sein. Zum einen um den Restrisiken zu begegnen, aber auch um beim Eintritt eines Schadens entsprechende Dienstleistungen in Anspruch nehmen zu können. Dazu gehört ein ganzer Stab an unterschiedlichen Funktionen, wie etwa IT-Forensiker, Rechtsanwälte oder auch PR-Profis. „Bildlich gesprochen sollten Unternehmen den Versicherer als lebensrettenden Airbag sehen, nicht jedoch als Anschnallgurt“, macht Maximilian Ernst abschließend nochmal deutlich. „Denn unabhängig, ob es um die Technik oder um Experten geht, sagt ein IT-Sprichwort so schön: No back-up, no mercy.“
Sehen Sie sich den gesamten Video-Beitrag „Cyberrisiken gibt es nicht nur in der Theorie“ von Natalie Kress-Happel und Maximilian Ernst während des Industrieforums 2020 hier nochmals an.
Sie möchten eine ältere Ausgabe der Face lesen? Dann stöbern Sie bitte durch das Archiv und laden sich die entsprechende Ausgabe als PDF herunter.
Sie möchten in Zukunft darüber informiert werden, wann die neue Ausgabe der Face hier zu lesen ist? Dann melden Sie sich bitte hier an, gerne lassen wir Ihnen eine Nachricht zukommen.