Cyber-Resilienz in aller Munde: Was Unternehmen jetzt beachten sollten
Gisa Kimmerle, Head of Cyber beim Spezialversicherer Hiscox, gibt einen Status Quo zur digitalen Sicherheit von Unternehmen und erklärt die drei wichtigsten Maßnahmen zur Steigerung der eigenen Cyber-Resilienz.
Cyber-Risiken für Unternehmen haben in den letzten Jahren durch verstärktes Home-Office, vermehrtes Auftreten kritischer Sicherheitslücken oder geopolitische Krisen enorm an Bedeutung gewonnen. Laut aktuellem Hiscox Cyber Readiness Report 2022 waren zuletzt in Deutschland fast die Hälfte aller Firmen von mindestens einer Cyber-Attacke betroffen – Tendenz steigend.
Neue Bedrohungsszenarien wie Kumul-Schäden oder die internationale Vernetzung von Hacker-Gruppen stellen Unternehmen und Versicherer gleichermaßen vor Herausforderungen. Dabei verschärft sich auch das Spannungsfeld zwischen Versicherungsbedarf und Versicherbarkeit von digitalen Risiken immer weiter.
Obwohl die Sensibilität und damit auch die Ausgaben für Cyber-Schutzmaßnahmen in Unternehmen steigen, wird es immer schwieriger für Unternehmen, dieses Risiko kontrollierbar zu halten. Dies sorgt insgesamt für große Unsicherheit und ein drastisch sinkendes Selbstbewusstsein: So reduzierte sich der Anteil der Firmen, die sich als Cyber-Experten einstufen, im letzten Jahr um 21 Prozent auf nur noch 3 Prozent. Dabei kann bereits die Umsetzung einiger weniger Maßnahmen eine große positive Wirkung auf die eigene Cyber-Resilienz haben. Wir empfehlen daher Unternehmen jeder Größe, gewisse Vorkehrungen zu treffen, um ihre IT-Sicherheit zu erhöhen. Im Folgenden nennen wir daher die drei wichtigsten Maßnahmen für eine nachhaltige Cyber-Resilienz, die wir aus unserer Praxiserfahrung abgeleitet haben.
„Bereits die Umsetzung einiger weniger Maßnahmen kann eine große positive Wirkung auf die eigene Cyber-Resilienz haben.“
1. Patch Management und Sicherung von Altsystemen beugen Hacker-Angriffen vor
Die erste wichtige Maßnahme zur Prävention eines Cyber-Angriffs betrifft ein gut aufgestelltes Patch Management. Es ist essenziell, neu auftretende bzw. neu bekanntwerdende Sicherheitslücken so schnell wie möglich zu schließen, um zu verhindern, dass Hacker oder Schadprogramme überhaupt erst in das Computersystem eindringen können. Massenhafte Software-Sicherheitslücken wie beispielsweise im Microsoft Exchange Server 2020 – auch unter dem Stichwort „Hafnium“ bekannt geworden – oder auch die Schwachstelle Log4j Ende letzten Jahres treten flächendeckend auf und werden so zu Eingangstore für Hacker. Mit von den Software-Herstellern zur Verfügung gestellten sogenannten Patches (Software-Updates) können Hersteller Sicherheitslücken in ihren Systemen schließen.
„Mit von den Software-Herstellern zur Verfügung gestellten sogenannten Patches (Software-Updates) können Hersteller Sicherheitslücken in ihren Systemen schließen.“
Durch effizientes und zeitnahes Patch Management in der jeweiligen IT-Abteilung kann schnell in einem solchen Bedrohungsszenario agiert werden und größerer Schaden vermieden werden, bevor er überhaupt auftritt. Insbesondere Altsysteme, bei denen keine neuen Patches mehr angeboten werden, stellen gefährliche Schwachstellen dar, die von Cyber-Kriminellen relativ einfach ausgenutzt werden können. Sofern Unternehmen Betriebssysteme nutzen, für die ihnen keine Sicherheitsupdates mehr bereitgestellt werden, sollten diese Altsysteme unbedingt z. B. mithilfe einer Firewall und Abschottung vom Internet umfassend gegen externe Bedrohungen abgesichert werden.
2. Ransomware-sichere Back-Ups
Eine der zentralen Maßnahmen beim Thema Cyber-Resilienz ist und bleibt das Ransomware-sichere Back-Up. Dieses dient nicht nur dazu, die Eintrittswahrscheinlichkeit eines Schadenszenarios zu reduzieren, sondern auch dazu, im Worst Case den Umfang eines möglichen Schadens zu reduzieren und die Systeme zügig wieder zum Einsatz zu bringen – und nicht zuletzt macht man sich somit weniger erpressbar gegenüber Lösegeld-Zahlungsforderungen.
Die IT-Sicherheit eines Unternehmens wird im Vergleich mit einem Schiff deutlich. Dort gibt es für den Fall einer Havarie verschiedene Sicherungsbereiche. Sobald Wasser von außen in das Schiff eindringt, können die Schotten niedergelassen werden. So läuft nur ein Bereich des Schiffes voll, die anderen aber nicht. Ein Offline-Back-Up ist quasi wie eine separate, nicht auf normalen Wegen erreichbare Kammer mitten im Schiff, in der alle wichtigen Daten ebenfalls enthalten sind. Auch wenn der Rest vollgelaufen ist, bleibt dieser Bereich „trocken“ und das Schiff selbst kann sich über Wasser halten.
„Eine der zentralen Maßnahmen beim Thema Cyber-Resilienz ist und bleibt das Ransomware-sichere Back-Up.“
Dies gelingt durch unterschiedliche Zugänge bzw. über eine andere „Domain“ des Back-Ups als das übriger IT-Systeme. Aus dem „normalen“ Bereich darf nicht auf den Back-Up-Bereich zugegriffen werden können. Administratoren, die beide Bereiche verwalten, haben ebenfalls keinen Zugriff, da dies sonst ein Loch in den „Schotten“ darstellen würde. Bei einem Ransomware-sicheren Back-Up muss also sichergestellt werden, dass in keiner Form direkt aus dem bestehenden System auf dieses zugegriffen werden kann und die Möglichkeit der nicht-autorisierten Veränderung des Back-Ups in jedem Fall technisch unterbunden wird.
Außerdem gibt es noch eine weitere Möglichkeit der Absicherung: ein Cloud-Back-Up. Hier lagert man das Back-Up an einen Dritten aus. Das kann mit einem Beiboot verglichen werden – und derjenige darauf ist ebenfalls abgesichert: Im Gegensatz zu einem Offline-Back-Up nicht nur durch ein gesondertes Passwort, sondern zusätzlich durch ein Token-Code oder einen PIN. Zu guter Letzt erfüllt auch ein Offline-Back-Up, also die Sicherung z. B. auf Bändern oder Tapes, die Anforderung an die Sicherung gegen fremde Zugriffe.
3. Partner, Prävention und Präparation: Schlüssel für Cyber-Resilienz
Zusammenfassend lässt sich sagen: Auch wenn Cyber-Angriffe in nächster Zeit nicht abnehmen und Kumul-Schäden ebenfalls eher zunehmen werden, kann eine rechtzeitige Vorbereitung und Beschäftigung mit Cyber-Risiken viele Gefahren abfedern. Insbesondere wie beschrieben: ein professionelles Patch Management, die Absicherung von Altsystemen sowie Ransomware-sichere Back-Ups.
„Zur Cyber-Resilienz gehört immer auch eine individuelle Cyber-Versicherung, um das Rest-Risiko von Unternehmen abzusichern.„
Allerdings bedeuten selbst die besten Cyber-Schutzvorkehrungen leider nicht, dass ein Schadenfall zu 100 Prozent verhindert werden kann. Daher gehört zur Cyber-Resilienz immer auch eine individuelle Cyber-Versicherung, um das Rest-Risiko – das für Unternehmen existenzbedrohende Ausmaße annehmen kann – abzusichern. Hier ist es ratsam, auf einen Anbieter mit langfristiger Schadenerfahrung zurückzugreifen, dessen Schaden-Service gut bewertet ist und der nicht zuletzt auch umfangreiche Assistance-Leistungen mit anbietet, also Sofort-Hilfe im Schadenfall z. B. in den Bereichen IT-Forensik, Datenschutz-Beratung oder Krisen-PR.
Wenn Unternehmen alle diese Punkte beachten, haben sie ihre Cyber-Resilienz wesentlich erhöht und können sich wieder voll auf das Tagesgeschäft konzentrieren.
Über die Autorin
Gisa Kimmerle ist als Head of Cyber beim Spezialversicherer Hiscox Deutschland verantwortlich für den Bereich der Hiscox Cyber-Versicherungslösungen für Geschäftskunden, entwickelt das Cyber-Wording kontinuierlich weiter und beschäftigt sich mit der Risikobewertung von Unternehmen sowie dem Pricing. Die ausgebildete Versicherungskauffrau, studierte Versicherungswirtschaftlerin sowie Inhaberin eines M.A. begann ihre Karriere bei der Hannover Rück als Underwriterin. Erste Erfahrungen in der Cyber-Produktentwicklung konnte sie als Senior Underwriter Casualty bei der Amlin Insurance SE gewinnen. Seit Oktober 2018 ist Gisa Kimmerle bei Hiscox tätig.