Einzelheiten

Wie geht man mit Cyberrisiken um?

Fachartikel

Wussten Sie, dass sogar Hacker ihre eigenen Kundendienst-Hotlines haben?

Das Geschäft mit der Cyberkriminalität ist so groß, dass es mit der viertgrößten Volkswirtschaft der Welt vergleichbar ist. Und wie jeder, der seinen Job ernst nimmt, müssen auch die Hacker wissen, ob ihre „Kunden“ (sprich: Opfer) mit dem erbrachten „Service“ zufrieden waren. Die fortschrittlicheren Hackergruppen operieren bereits wie multinationale Unternehmen, mit Personalabteilungen, Kundenbetreuung und Marketing.

Ein österreichisches Unternehmen, das angegriffen wurde, erhielt seine Daten zurück, nachdem es das Lösegeld gezahlt hatte, nur um das Telefon des IT-Chefs klingeln zu lassen. Mit angenehmer Stimme forderte die junge Frau ihn auf, die „Qualität der Dienstleistung“ auf einer Skala von eins bis zehn zu bewerten, nachdem es ihm gelungen war, das Lösegeld auf 2/3 des ursprünglichen Betrags herunterzuhandeln. „7“, sagte er. Es handelte sich nicht um eine Empfehlung.

 

Großer Biss

Cyber-Bedrohungen sind für die große Mehrheit der Unternehmen nach wie vor ein drängendes Problem, ob man nun laut darüber spricht oder nicht. Für viele Einrichtungen wird dieses Thema durch die Datensicherheitsverpflichtungen im Rahmen der NIS2-Richtlinie noch unterstrichen. Diese Richtlinie wird bald nicht nur große private und öffentliche Einrichtungen betreffen, sondern auch deren Lieferketten.

Es handelt sich also um einen ziemlich großen Bissen. Wie beißt man hinein und erstickt nicht?

 

Virtuelle Bedrohungen - reale Auswirkungen

Die erste und sehr grundlegende Frage beim Umgang mit Cyber-Bedrohungen lautet: Was bedroht mich eigentlich? Ohne den potenziellen Schaden zu benennen und zu quantifizieren, sind alle weiteren Schritte „blind“. Die Finanzleitung des Unternehmens muss zumindest die ungefähre Höhe des Verlustes kennen, um verantwortungsvolle Entscheidungen über Investitionen zur Risikominimierung und -übertragung treffen zu können.

Um den potenziellen Schaden für RESPECT, a.s. zu quantifizieren, erstellen wir eine Analyse der Betriebsunterbrechung, ergänzt durch andere Auswirkungen von Cyber-Risiken wie Erpressung und die Höhe des Lösegelds, Ansprüche Dritter im Falle einer Haftung für ihre Daten, behördliche Geldbußen usw.

Der Kunde weiß also, wie viel ihn dieses Risiko kosten kann.

 

Cybersicherheit - ein sich ständig veränderndes Ziel

Heutzutage sind die Unternehmen gezwungen, in großem Umfang in die Cybersicherheit zu investieren. Wer dies nicht tut, setzt die Zukunft des Unternehmens, für das er verantwortlich ist, aufs Spiel. Jemand wird vom gesunden Menschenverstand gezwungen werden, jemand von der Regulierungsbehörde, jemand vom tatsächlichen Schaden.

Doch eine einmalige Investition ist nie genug, oder nur so lange, bis die Zeit abläuft, und die läuft schnell. Die Technologie veraltet, wird anfällig, verliert die Unterstützung der Entwickler (dies gilt insbesondere für industrielle Technologien - Fertigung usw.), und aufgrund der rasanten Entwicklung der Digitalisierung ist es praktisch unmöglich, einen völlig zufriedenstellenden Zustand zu erreichen. Geschweige denn, sie zu behalten.

Um es mit den Worten der Roten Königin zu sagen: „Wie du siehst, musst du hier mit aller Kraft rennen, um an Ort und Stelle zu bleiben. Wenn du woanders hin willst, musst du mindestens doppelt so schnell laufen.“

Laufen, ja, aber in welche Richtung? Welche Maßnahmen sollten jetzt eingeleitet werden und welche sollten warten?

Um diese komplexe und komplizierte Frage zu beantworten, ist eine Bewertung der Datensicherheit unerlässlich, damit Sie wissen, wo Sie stehen und wo Sie gegebenenfalls nachbessern müssen. Die standardisierte und bewährte Methodik basiert auf dem Datensicherheitsgesetz, Normen wie ISO 27001 usw. und kann in verschiedenen Detailstufen eingesetzt werden.

Der von uns verwendete Fragebogen basiert auf dieser Methodik und ist trotz seiner „Beliebtheit“ eine sehr gute Grundlage für weitere Diskussionen. Mit relativ geringem Zeitaufwand ist es möglich, zumindest ungefähr zu erfahren, wie schlecht es dem Unternehmen geht.

 

Risiken - welche sollte man „behalten“ und welche sollte man versichern?

Bei der Cybersicherheit gibt es im Wesentlichen zwei Stolpersteine:

1) ein völlig sicheres System gibt es nicht

2) Cyber-Risiken sind äußerst dynamisch

Künstliche Intelligenz, menschliche Unaufmerksamkeit, immer mehr Zero-Day-Schwachstellen, die geopolitische Lage, die zunehmende Digitalisierung und Vernetzung - all das sind Einflüsse und Bedrohungen, mit denen die Datensicherheit bestenfalls mehr oder weniger „mithalten“ kann.

Eine Versicherung bietet einen wirksamen Schutz gegen das sogenannte Restrisiko, also das Risiko, das nicht minimiert werden kann.

Betriebsunterbrechung, entgangener Gewinn, Erpressung, Kosten für die Wiederherstellung des Systems, Kosten für professionelle Eingriffe und Sanierungsmaßnahmen, PR-Kosten, Haftung für Datenlecks, Kosten für die Abwehr eines Anspruchs, betrügerische Zahlungen - all dies sind Schäden, die mit einer gut ausgehandelten Versicherung vermieden werden können.

Andererseits sind Auswirkungen wie Abwanderung von Kunden, Rufschädigung, Verletzung eigener Geschäftsgeheimnisse Risiken, die nicht versicherbar sind und auf andere Weise bewältigt werden müssen: durch einen guten Umgang mit der Medienberichterstattung über einen möglichen Vorfall, einen gut ausgearbeiteten Kommunikationsplan während eines Vorfalls usw.

So wie es keine perfekte Sicherheit gibt, gibt es auch keine perfekte Versicherung. Und deshalb verdienen beide einen fachkundigen Ansatz.

Cybersicherheit und Cyber-Risikoversicherung bilden zusammen ein effektives Tandem, das sich dort ergänzt, wo eines allein nicht ausreicht. Aber die absolute Grundlage ist das Wissen.

1) Wie hoch ist das Risiko und die Höhe des Schadens für mein Unternehmen?

2) Wie gut ist das Unternehmen gegen dieses Risiko gewappnet?

3) Welches Restrisiko kann auf die Versicherungsgesellschaft übertragen werden?

 

Wenn Sie sich nicht sicher sind, wie gut Ihr Unternehmen auf Cyberbedrohungen vorbereitet ist oder mehr über Cyberrisikoversicherungen erfahren möchten, zögern Sie nicht, uns über unser Kontaktformular zu kontaktieren – wir besprechen gerne alle Optionen mit Ihnen und finden die beste Lösung.

Datenschutz und Cookie-Einstellungen 🍪

Die Website verwendet Cookies, um Dienste anzubieten, Anzeigen zu personalisieren und den Datenverkehr zu analysieren.

 

Mit Auswahl der folgenden Option stimmen Sie unserer Datenschutz- und Cookie-Richtlinie zu. Sie können Ihre Einstellungen jederzeit ändern.