Sie haben Fragen?
Steigendes Risiko – steigende Anforderungen
Das steigende Risiko durch Cyberangriffe zwingt nicht nur Unternehmen, sondern auch Anbieter von Cyberversicherungen zum Umdenken. So sind die Prämien für Cyberpolicen zuletzt kontinuierlich gestiegen. Zusätzlich sind die Versicherer dazu übergegangen, noch vor Vertragsschluss akribisch zu überprüfen, ob der potenzielle Versicherungsnehmer auch die notwendigen technischen wie personellen Voraussetzungen mitbringt, um die Eintrittswahrscheinlichkeit und die möglichen Schäden bei Vorfällen so gering wie nur möglich zu halten.
Unternehmen auf der Suche nach einer Cyberversicherung sollten daher zunächst im Rahmen einer Bestandsaufnahme prüfen, welche Schutzmaßnahmen bereits umgesetzt wurden – und welche Vorkehrungen zunächst umgesetzt werden sollten, um eine bezahlbare Cyberversicherung oder überhaupt ein Angebot zu erhalten. Je nach Anbieter sind bestimmte Maßnahmen nämlich Grundvoraussetzung für den Vertragsschluss. Zudem spiegelt sich in der Prämienhöhe auch wider, welche Risiken bestehen und damit versichert werden müssen.
Identifizieren Sie Ihre Risiken: Stellen Sie sich folgende Fragen
Inzwischen verlangen die Versicherer, dass sich Unternehmen intensiv mit den möglichen Risiken für ihre Organisation und dem Schutz ihrer Infrastrukturen auseinandergesetzt haben. Die Beantwortung der folgenden Fragen kann Ihnen dabei helfen, eine für Sie geeignete Police zu finden und – viel wichtiger – Risiken noch besser einzuschätzen und die Cybersicherheit Ihres Unternehmens zudem wirksam zu steigern.
Wie werden Bedrohungen, Schwachstellen und Risiken in Ihrem Unternehmen identifiziert?
Versicherer möchten sichergehen, dass Sie Ihre Risiken kennen. Das Wissen um potenzielle Gefahren und Bedrohungen ist unerlässlich, um im Ernstfall richtig und schnell reagieren zu können. Schadenseintrittswahrscheinlichkeiten und Schäden im Ernstfall sollen möglichst gering sein. Daher möchten die Versicherer wissen, ob Sie über ein bewährtes Risikomanagementverfahren verfügen. Die Identifizierung Ihrer Schwachstellen ist dabei die Grundlage, um Risiken einschätzen zu können. Um den Status Quo zu ermitteln, eignet sich beispielsweise ein Cyber Risk Assessment. Eine solche Prüfung widmet sich nicht nur rein technischen Schwachstellen, sondern nimmt auch organisatorische Maßnahmen unter die Lupe. Ein Abschlussbericht gibt Aufschluss über die größten Risiken und priorisierte Maßnahmen zur Verbesserung des Schutzniveaus.
Wie sensibilisieren Sie Ihre Mitarbeitenden und auch Dienstleister für Cybersicherheit?
Auch dem Risikofaktor Mensch sollten Sie ausreichend Beachtung schenken. Gerade weil E-Mails und kompromittierte Zugangsdaten noch immer die initialen Angriffsfaktoren bei Cybersicherheitsvorfällen sind, verlangen Versicherer, dass Mitarbeitende und Dienstleister umfassend sensibilisiert und geschult werden – und zwar regelmäßig. Dementsprechend müssen Sensibilisierungs- und Schulungsmaßnahmen zum festen Bestandteil der Unternehmenskultur werden. Einfach realisierbar ist das zum Beispiel mit einer webbasierten E-Learning-Plattform, auf der die Mitarbeitenden flexibel und bei freier Zeiteinteilung das Wichtigste lernen.
Mit unserer 8ocm Academy bieten wir unseren Kunden eine solche Plattform, auf der die Mitarbeitenden Informationen und Trainings rund um E-Mail-Sicherheit, Social Engineering, Passwörter, Informations- und Datensicherheit sowie viele weitere Themen finden – mit praktischen Beispielen und verpackt in einem abwechslungsreichen Medienmix.
Ebenfalls bewährt: Bei unseren Phishing Tests versenden wir im Auftrag unserer Kunden verdächtige E-Mails an deren Mitarbeitende und finden so heraus, wie hoch das Sensibilisierungsniveau ist und wo Nachholbedarf besteht.
Kennen Sie Ihre Infrastruktur? Welche Hard- und Software kommt im Unternehmen zum Einsatz und welche privilegierten Konten gibt es?
Die besten Sicherheitsmaßnahmen, wie Erkennungstechnologien und Software-Aktualisierungen, nützen wenig, wenn sie nur punktuell eingesetzt oder einzelne Systeme vergessen werden. Denn Cyberkriminelle sind häufig in der komfortablen Position, dass sie lange Zeit unbemerkt nach Schwachstellen suchen können. Auch das wissen die Versicherer. Und deshalb verlangen sie von ihren Kunden immer häufiger, dass Bestandslisten sämtlicher im Einsatz befindlicher Geräte, Anwendungen und privilegierter Konten geführt werden, die zu möglichen Einstiegspunkten für Angriffe werden könnten.
Umfassende Transparenz ist das Stichwort. Eine lückenlose Bestandsaufnahme ist daher Pflicht. Genau die ist auch essenzieller Bestandteil bei der Planung und Inbetriebnahme unserer Managed Security Services – und findet immer in enger Zusammenarbeit mit den IT-Verantwortlichen unserer Kunden statt.
Verwenden Sie Multi-Faktor-Authentifizierung und überwachen Sie Systemzugriffe?
Auch vermeintlich sichere Passwörter und Authentifizierungsverfahren können von Angreifern umgangen werden. Daher sind einige Versicherer dazu übergegangen, den Einsatz von Multi-Faktor-Authentifizierung (MFA) einzufordern. Unabhängig davon empfehlen wir, Multi-Faktor-Authentifizierung flächendeckend einzusetzen, sowohl bei der Anmeldung als auch bei der Berechtigungserweiterung.
Automatisieren Sie Ihre Passwortverwaltung?
Eine manuelle Verwaltung sämtlicher Passwörter frisst nicht nur Ressourcen, sie birgt gleichzeitig die Gefahr, dass sich dabei menschliche Fehler einschleichen. Die können durch den Einsatz spezieller Software zur Verwaltung privilegierter Passwörter ausgeschlossen werden. Auch Versicherer legen daher immer häufiger Wert auf eine automatisierte Passwortverwaltung.
Weil Sie durch die Automatisierung Ihrer Passwortverwaltung nicht nur Ressourcen sparen, sondern effektiv sicherstellen, dass die festgelegten Passwortrichtlinien konsequent umgesetzt und menschliche Fehler vermieden werden, empfehlen auch wir den Einsatz.
Haben Sie ein Privileged Access Management (PAM) implementiert?
Durch die Einschränkung der Zugangsrechte zu Ihren Systemen zeigen Sie dem Versicherer, dass Sie vor allem die privilegierten Konten vor Angreifern schützen, die damit schlimmstenfalls getarnt als legitimer Admin ihr Unwesen treiben könnten.
Wir empfehlen daher, eine PAM-Lösung zu implementieren, mit der Sie den Zugriff auf Systeme und sensible Daten kontrollieren können.
Wie schützen Sie sich vor Malware?
Versicherer erwarten, dass Sie sich auf mehreren Ebenen vor Malware schützen. Sie sollten umfassende Schutzmaßnahmen ergriffen haben, um fortschrittlichen Cyberangriffen etwas entgegensetzen zu können. Dazu gehören grundlegende Konfigurationseinstellungen wie die Einschränkung bzw. Aufhebung lokaler Administratorrechte. Schlussendlich führt zur Erreichung eines effektiven Schutzniveaus allerdings kein Weg an der Implementierung umfassender Detektions- und Reaktionsmaßnahmen vorbei.
Entsprechend der unterschiedlichen Bedürfnisse und Anforderungen unserer Kunden bietet das Security Operations Center (SOC) von 8com unterschiedliche Threat-Intelligence- und Endpunktschutz-Lösungen für Workstations und Server an. Damit schützen wir unsere Kunden auch vor den Bedrohungen durch Malware.
Haben Sie einen Plan für den Notfall?
Kommt es zum Katastrophenfall, ist eine schnelle Wiederherstellung der Systeme entscheidend. Wie groß der zu regulierende Schaden am Ende ausfällt, hängt auch davon ab, wie zeitnah der Normalbetrieb wiederhergestellt werden kann. Zu erwartende längere Produktions- und Betriebsunterbrechungen erhöhen das Risiko für den Versicherer. Daher ist ein umfassendes Notfallkonzept nicht nur für den Versicherungsnehmer von großer Bedeutung.
Verfügen Sie über Reaktionspläne? Wie häufig werden diese überprüft und aktualisiert?
Zusätzlich erwarten Versicherer von ihren Kunden immer häufiger, dass für den Notfall Reaktionspläne, spezielle Sicherheits- und Incident-Response-Teams vorhanden sind sowie Angriffssimulationen durchgeführt und dadurch Erkennungs- und Abwehrfähigkeiten kontinuierlich verbessert werden. Solche Reaktionspläne müssen regelmäßig mit Blick auf ihre Umsetzbarkeit geprüft und gegebenenfalls angepasst werden.
Welche Tools setzen Sie ein, um Angriffe zu erkennen?
Je nachdem, wie die Beantwortung der eingangs gestellten Frage nach der grundsätzlichen Bewertung von Risiken ausgefallen ist, werden Versicherer konkreter. Immer häufiger fragen sie nach eingesetzten Tools und Technologien. Denn auch in der Versicherungsbranche haben Lernprozesse eingesetzt.
Viele Unternehmen und Behörden, allen voran KRITIS-Unternehmen, sind laut IT-SiG 2.0 explizit dazu verpflichtet, Systeme zur Angriffserkennung (SzA) einzusetzen. Im Grunde sind allerdings alle Unternehmen und Behörden, deren Geschäft und Erfolg direkt von einer funktionierenden IT- und/oder OT-Umgebung abhängt, dazu gezwungen, Systeme zur Angriffserkennung entweder selbst zu betreiben oder sich einen geeigneten Partner ins Boot zu holen.
Der Einsatz eines Security Information and Event Management (SIEM) zur Angriffserkennung ist deshalb beinahe unerlässlich. Zur Reaktion auf Cyberangriffe sind aber auch Endpoint-Detection-and-Response- (EDR) und Network-Detection-and-Response-Lösungen (NDR) notwendig. 8com erbringt diese Leistungen als Managed Security Service –rund um die Uhr und an 365 Tagen im Jahr. Denn Cybersicherheit ist kein Zustand, der irgendwann erreicht ist, sondern ein fortwährender Prozess.
Fazit
Cyberversicherungen können ein wichtiger Bestandteil im Cybersicherheitskonzept von Unternehmen und Behörden sein, deren Geschäftserfolg direkt von ihrer IT- und/oder OT-Umgebung abhängt. Dennoch bieten Cyberversicherungen keinen Schutz vor Cyberangriffen. Sie dienen lediglich dazu, Restrisiken abzufedern, die mithilfe bewährter Schutzmaßnahmen nicht vollends zu tilgen sind. Die Tatsache, dass nun auch Versicherer ganz genau hinschauen, wie ihre Kunden aufgestellt sind, sollte zusätzlich dazu beitragen, das Schutzniveau insgesamt zu steigern.
Bild (c) Kindel Media / Pexels
