WERBUNG

Cybersicherheit: Wie KMU versicherbar werden

7.6.2024 – Cybersicherheit zählt für Unternehmenslenker zu den Top-Themen, die Zahl der Angriffe steigt ebenso wie die Schadensummen. Thomas Stubbings, Vorsitzender der Cyber-Security-Plattform der österreichischen Regierung, zeigte beim Financial Lines Summit, wie Firmen resilienter werden können. Und der IT-Professor Ulrich Greveler gab Tipps, was heimische mittelständische Unternehmen tun müssen, um versicherbar zu sein.

Symbolfoto (Bild: Leo bei AdobeStock)
Symbolfoto (Bild: Leo bei AdobeStock)

Thomas Stubbings, Vorsitzender der Cyber-Security-Plattform der österreichischen Bundesregierung und im Zivilberuf CEO der Cyber Trust Services GmbH und TS Management Consulting, beschäftigte sich beim Financial Lines Summit der Finlex GmbH mit der aktuellen Cyber-Sicherheit Österreichs.

Insbesondere ging es in seinem Vortrag um die Frage, was die heimische Wirtschaft im Bereich Cyber-Risikomanagement tun muss, um ihrer Management-Verantwortung gerecht zu werden.

Cybersecurity zähle seit Jahren zu den Top-10-Kernthemen, die die Wirtschaftsführer beschäftigen, zitierte Stubbings aus verschiedenen Studien. Betroffen seien zwar alle Sektoren, die Finanzdienstleistungsbranche aber in besonderem Maße.

Die Motivation der Angreifer sei überwiegend finanzieller Natur. Zu den Dimensionen: Wäre Cyberkriminalität ein Land, würde sie mit einem Jahres-GDP (Bruttoinlandsprodukt, Anm.) von acht Billionen US-Dollar inzwischen Rang drei in der Weltwirtschaft einnehmen.

Lösegeld ist nur ein Teil des Schadens

Global würden die Schadensummen stetig steigen, betont Stubbings. Die Angreifer unterscheiden dabei nach Unternehmensgröße, als Faustregel gelte: „Jahresumsatz durch 52 mal zwei“, also der Umsatz des Unternehmens in zwei Wochen.

Allerdings sei die bezahlte Schadensumme nur ein Bruchteil des gesamten Schadens. Für Unternehmen sei es eine gewaltige Herausforderung, dass die Recovery-Zeiten immer länger werden: Ein bis drei Monate Betriebsausfall müssten erst einmal verkraftet werden.

Gerade in Österreich seien in sehr vielen Unternehmen jene Schutzmechanismen nicht vorhanden, die nötig wären, merkt Stubbings an: Immerhin würden 28 Prozent der heimischen Firmen angeben, schon einmal mit einer Verschlüsselung von Daten konfrontiert gewesen zu sein.

Ein oft zu wenig beachtetes Risiko sei die Supply Chain als Ursache für Cyberangriffe, beispielsweise über Fernzugriff, Schnittstellen oder Software, bei denen der Lieferant angegriffen wird. Lieferanten seien deshalb unbedingt in die Schutz- und Sicherheitsüberprüfung einzubeziehen.

Doppelte Erpressung

Zur Wiederherstellung des Betriebsablaufs bei Ransomware-Angriffen würden weltweit 68 Prozent der Unternehmen Backups benützen; allerdings würden bei fast jedem zweiten Unternehmen auch die Backups verschlüsselt. Stubbings: „Die Backup-Strategien müssen besser werden!“

56 Prozent der angegriffenen Unternehmen würden einer Studie zufolge Lösegeld zahlen, von diesem würden wieder 98 Prozent ihre Daten tatsächlich zurückbekommen. In Österreich würden einer Umfrage zufolge nur drei Prozent Lösegeld zahlen, aber „diese Zahl glaube ich nicht“, so Stubbings.

Ein weiteres Problem bei Ransomware-Angriffen stelle „double Extortion“ dar: Wenn die Verschlüsselung nicht funktioniert, werden Unternehmen mit der Drohung der Veröffentlichung ihrer Daten erpresst.

Aufgabe der Geschäftsleitung

Zu den größten Problemen zähle, dass die Geschäftsführer der Unternehmen sich in diesem Bereich nicht sicher fühlen: So würden sich 100 Prozent zwar verantwortlich fühlen, beim Treffen von Entscheidungen aber nur 28 Prozent sicher fühlen.

Insgesamt stünden Business Continuity Management und Awareness im Fokus heimischer Unternehmen, allerdings fehle in vielen heimischen KMUs das Bewusstsein für das Thema, so Stubbings. Und manche von ihnen würden die Risiken auch nicht wahrhaben wollen.

Aufgabe der Geschäftsführung sei die Schaffung von Cyberresilienz. Dazu zählen der Entwurf einer Strategie, die Anpassung der Unternehmenskultur, die Organisation, Risikomanagement und Governance, die Beschäftigung mit dem Ökosystem und die Messung der Ergebnisse.

Von besonderer Bedeutung sei auch die Optimierung des Lieferantenrisikomanagements. Dabei handle es sich nicht um ein IT-Thema, notwendig sei die Integration in die Beschaffungsprozesse. Guter Ansatzpunkt für die Versicherung sei dabei das Cyber-Risiko-Schema des Kompetenzzentrums Sicheres Österreich (KSÖ).

Empfehlungen für Unternehmen

Als erstes sollten sich Unternehmen bereits „nächste Woche“ ein Bild davon verschaffen, wo sie stehen, welchen Status Cybersecurity für sie hat und welche Gesetze bezüglich Cybersicherheit für sie relevant sind, empfiehlt Stubbings.

Innerhalb der nächsten drei Monate sollten sie dann eine strategische Entscheidung treffen, ob ihnen ein Basissicherheitslevel genügt oder ob sie risikobasierende Sicherheitsstandards einführen wollen.

Im selben Zeitraum sollten auch wesentliche Sicherheitslücken identifiziert und eine Roadmap zu deren Schließung erstellt werden, ebenso sollten sie sich einen Überblick über die Lieferkette verschaffen und kritische Lieferanten identifizieren.

Innerhalb eines Jahres müssten dann Sicherheitslücken geschlossen, wesentliche Lieferanten einer Risikoanalyse unterzogen und diese in das eigene Risikomanagement integriert werden.

Ablehnung von Versicherer kann Wunder wirken

Mit der Cyberrisiko-Analyse und typischen Problemfeldern heimischer mittelständischer Unternehmen beschäftigte sich anschließend Ulrich Greveler, Professor für Informatik und Leiter des Labors für IT-Sicherheit an der Hochschule Rhein-Waal in einer Zuschaltung.

Österreich sei bei der Digitalisierung „weit vorne“, so Greveler, das betreffe aber vor allem Großunternehmen – kleine und mittlere Firmen würden Rückstände aufweisen. Dazu komme, dass für viele die Digitalisierung der Produktion Vorrang habe und die Sicherheit auf der Strecke bleibe.

Notwendig für eine Risikoanalyse seien der „Risikodialog“, ein Auditing durch unabhängige Gutachter, die Vereinbarung von Zielen sowie die Priorisierung von Projekten und schließlich „low hanging fruits“, um Missverständnisse zu vermeiden.

Zu den Herausforderungen zählt Greveler neben den hohen Kosten, dass das Interesse des Managements an Lösungen häufig erst nach einem Cybervorfall oder einer Ablehnung durch einen Versicherer steigt.

Was Versicherer fordern

Typische Themenfelder, die von Cyberversicherern adressiert werden, seien die IT-Sicherheitsorganisation, Awareness-Schulungen, Zutrittsregelungen („der Serverraum muss verschlossen sein!“), eine Notfallplanung oder die Datensicherung („offline oder Cloudspeicher“).

Wichtig seien auch Regelungen für VPN-Zugänge (Virtual Private Network, Anm.) und Fernwartung, die Abschottung von Produktion, Office und Lagerbereichen sowie der Umgang mit Altsystemen.

Unternehmen, die nach „Fragebogen-Lage schlecht aussehen“, würden häufig tatsächlich hohe Risiken aufweisen, viele der Risiken würden sich aber mit geringem Aufwand adressieren lassen, resümiert Greveler.

Wichtiger als der Status quo sei die Roadmap des Kunden; hier komme Beratern auf Maklerseite eine Schlüsselrolle zu. Wichtig sei es dabei, zu erwartende Mindestanforderungen der Versicherer frühzeitig mitzuteilen, um Roadmap-Anpassungen zu ermöglichen.

Schlagwörter zu diesem Artikel
Digitalisierung · Marktforschung · Motivation · Strategie
 
WERBUNG
Ihr Wissen und Ihre Meinung sind gefragt

Ihre Leserbriefe können für andere Leser eine wesentliche Ergänzung zu unserer Berichterstattung sein. Bitte schreiben Sie Ihre Kommentare unter den Artikel in das dafür vorgesehene Eingabefeld.

Die Redaktion freut sich auch über Hintergrund- und Insiderinformationen, wenn sie nicht zur Veröffentlichung unter dem Namen des Informanten bestimmt ist. Wir sichern unseren Lesern absolute Vertraulichkeit zu! Schreiben Sie bitte an redaktion@versicherungsjournal.at.

Allgemeine Pressemitteilungen erbitten wir an meldungen@versicherungsjournal.at.

Täglich bestens informiert!

Der VersicherungsJournal Newsletter informiert Sie von montags - freitags über alle wichtigen Themen der Branche.

Ihre Vorteile

  • Alle Artikel stammen aus unserer unabhängigen Redaktion
  • Die neuesten Stellenangebote
  • Interessante Leserbriefe

Jetzt kostenlos anmelden!

VersicherungsJournal in Social Media

Besuchen Sie das VersicherungsJournal auch in den sozialen Medien:

  • Facebook – Ausgewähltes für den Vertrieb
  • Twitter – alle Nachrichten von VersicherungsJournal.at
  • Xing News – Ausgewähltes zu Karriere und Unternehmen
Diese Artikel könnten Sie noch interessieren
16.2.2015 – Sie wusste schon als 13-Jährige, dass sie in die Versicherungswirtschaft will. Heute möchte sie die Innovation in der Branche vorantreiben: Erika Krizsan spricht im Interview darüber, was sich ihrer Meinung nach verbessern ließe, wie Kunden eingebunden werden können, Inspiration aus anderen Branchen und wie sie Beratung und Vertrieb im Internet sieht. (Bild: Krizsan) mehr ...
 
18.12.2023 – Im ersten Teil unseres Jahresrückblicks lassen wir Ereignisse der ersten drei Monate im Zeitraffer Revue passieren. (Bild: Gerd Altmann auf Pixabay, Bearbeitung Lampert) mehr ...