Verschiedene Zeitungen symbolisieren den Pressebereich von NW Assekuranz

"Cyber-Sicherheit ist der Brandschutz des 21. Jahrhunderts"

Alle wissen es, wenige sprechen darüber: Cyber-Kriminalität ist eine der großen wirtschaftlichen Bedrohungen der Gegenwart. Die Antwort auf das mulmige Gefühl des Ausgeliefertseins ist ein aktiver Umgang mit der Herausforderung. Achim Fischer-Erdsiek, Spezialist für Cyber-Versicherungen bei NW Assekuranz, erläutert im folgenden Gespräch, was zu tun ist:

Herr Fischer-Erdsiek, was sind die größten Missverständnisse, die Ihnen bei Unternehmen in Bezug auf Cyberkriminalität begegnen?
Erstens, wir sind zu klein, für uns interessiert sich kein Hacker. Zweitens, mich findet ja sowieso niemand im Netz. Drittens, ich komme auch ohne IT aus.

Das Gegenteil ist die Wahrheit?
Ja – wer es selbst erlebt, ist für immer geläutert. Aber insbesondere kleine und mittlere Unternehmen sprechen nicht darüber, wenn sie ein Opfer eines Cyber-Angriffs geworden sind. Ein solcher Angriff ist schambehaftet, und dazu haben die Betroffenen Angst, Kunden zu verlieren. Diese Mauer des Schweigens im Mittelstand führt dazu, dass andere Unternehmen denken, das Thema beträfe sie nicht, sondern nur die Konzerne, über deren Schäden wir in den Medien lesen.

Fehlt den Unternehmen grundsätzlich das Bewusstsein für die Bedrohung, die von Cyberkriminalität ausgeht?
Man muss sich darüber klar werden, dass die IT-Versicherung und die damit zusammenhängende Cyber-Sicherheit der Brandschutz des 21. Jahrhunderts ist. Wir wissen, dass wir handlungsunfähig sind, wenn unsere Firma abbrennt. Aber wir haben noch nicht verstanden, dass es sich mit unserem IT-System und den darin befindlichen Daten genauso verhält. Der Stellenwert der Verfügbarkeit ist extrem gestiegen – aber wir gehen einfach davon aus, dass es läuft. Die Covid-19-Pandemie war ja so ein Aha-Erlebnis: In sehr kurzer Zeit waren wir abhängig von einer reibungslos laufenden Vernetzung, von guten Software-Lösungen und der dezentralen Verfügbarkeit von Daten. Die meisten Unternehmen haben das im Lauf der ersten Wochen gut hingekriegt, aber man hat gesehen: Wenn die digitale Infrastruktur nicht zur Verfügung steht, ist man schnell handlungsunfähig. Ich spreche regelmäßig mit Chefs, die sagen, ein paar Tage ohne IT, das kann doch nicht so schlimm sein. Dann fallen die Systeme aus, und die Arbeit steht nach sechs Stunden still. Noch viel schlimmer ist es natürlich, wenn Sie online verkaufen: Ab Sekunde eins sinkt Ihr Umsatz auf null. Wenn dann das System zwei oder drei Tage steht, fehlt nicht nur der Umsatz. Es wird auch sehr lange dauern, bis die Umsätze wieder hochfahren, weil die Kunden in der Zwischenzeit zu anderen Anbietern gewechselt sind.

Geht die größere Gefahr für IT-Systeme von Hacker-Angriffen aus?
Natürlich kann auch einfach mal etwas kaputtgehen, aber die Herausforderung ist die Cyberkriminalität. Wir haben in den letzten Jahren eine enorme Professionalisierung der Szene beobachtet. Noch vor vier, fünf Jahren hat man über Script-Kiddies gesprochen – Jugendliche, die halt einfach mal ausprobieren, ob sie irgendwo reinkommen. Die Schäden, die dadurch entstanden sind, muss jedes Unternehmen aus der Portokasse bezahlen können. Heute reden wir über eine Industrie mit einer mehrstufigen Wertschöpfung. Jemand entwickelt einen Trojaner, schickt ihn millionenfach ins Netz und protokolliert, in wieviel hundert oder tausend Unternehmen er angeklickt wurde. Diese Erkenntnis verkauft er im Darknet. Ein anderer Cyberkrimineller entdeckt vielleicht eine Programmierlücke in der aktuellen Version einer Kommunikationssoftware. Auch er wird einen Käufer finden, der dann ganz einfach auslesen kann, wer die schadhafte Software benutzt, um dann die Unternehmen seiner Wahl zu infiltrieren. Zum Beispiel mit einem Trojaner, der Zahlungsströme identifizieren kann. Diesen Zugang verkauft er an die dritte Wertschöpfungsebene – hochprofessionelle Hacker, die dann einen Trojaner bauen, der genau auf das ausspionierte System angepasst wird und es lahmlegt. Eine solche Software können Sie fast nicht mehr knacken.

Und was dann?
Sie zahlen das Lösegeld und müssen die IT austauschen.

Klingt besorgniserregend.
In Deutschland spricht man von über 100 Milliarden Euro Schaden, die die Cyberkriminalität jährlich kostet. Das Landeskriminalamt sagt ganz klar: Was glauben Sie, warum die eigentliche Kriminalität heruntergeht? Wer raubt denn heute noch eine Bank aus? Die, die ein bisschen Verstand und die entsprechende kriminelle Energie haben, setzen sich an den Laptop oder kaufen sich die Software und die Systemzugänge im Darknet. Die Macht dieser Maschinerie verbindet sich mit der immer stärker werdenden Vernetzung und immer höheren Digitalisierungsgraden. Dabei geht es nicht nur um das eigene System, sondern um Themen wie Supply Chain Interruption. Früher war es egal, ob in China ein Sack Reis umfällt – das ist heute nicht mehr der Fall.

Und da hilft eine Cyber-Versicherung?
Zunächst mal geht es um eine gute Analyse. Unsere erste Aufgabe ist es herauszufinden, worin die Sensibilität Ihres Unternehmens besteht. Inwieweit ist Ihr Geschäftsmodell von der IT abhängig? Was sind die Kronjuwelen Ihrer Supply Chain? Gibt es einen Zulieferer, dessen IT-Verfügbarkeit für Sie systemrelevant ist? Unsere Experten analysieren gemeinsam mit Ihren Administratoren die IT-Technologie und die IT-Strukturen. Eine gute Übersicht über Ihr Risiko ergibt sich aus einem Quickcheck, den wir aus unseren eigenen Erfahrungen in Zusammenarbeit mit dem Verband der Sachversicherer entwickelt haben. Dieser Quickcheck ist die Grundlage für unseren Cyber-Workshop, in dessen Rahmen wir tiefer einsteigen. Wir haben hier einfach eine Reihe von sehr wirksamen Instrumenten – etwa einen Penetrationstest, der die Anfälligkeit Ihres Systems erkennbar werden lässt. Anschließend geben wir Handlungsempfehlungen, die wir auf Wunsch des Kunden umsetzen. Zum Beispiel gibt es im Rahmen der Cyber-Versicherung eine Schaden-Hotline. Da rufen dann IT-Leute im Notfall an und sagen, irgendwas passiert hier, mein System wackelt. Unsere Experten reagieren dann sofort und können so nicht selten Schlimmeres verhindern. Auch das ist wie beim Feuer: Wenn man es früh entdeckt, springt es nicht über. Im zweiten Schritt geht es natürlich um eine Absicherung der Risiken. Was kostet es, wenn dieses oder jenes passiert? Das lässt sich sehr genau beziffern. Auf Wunsch des Kunden entsteht dann daraus ein passgenaues Cyber-Versicherungskonzept, das wir bei hochspezialisierten Versicherern optimal platzieren können.

Werden Sie von den IT-Experten des jeweiligen Unternehmens nicht als Kontrolleure gesehen, die kommen, um ihre Fehler aufzudecken?
Es geschieht etwas anderes: Oft sind die IT-Verantwortlichen eines Unternehmens damit überfordert, sich neben dem Alltagsgeschäft mit Sicherheitsthemen zu befassen. Der Chef sagt aber, na, das könnt ihr doch wohl nebenbei erledigen? Unser Ziel ist es, auf der Führungsebene das Bewusstsein zu schaffen, dass für IT-Sicherheit Arbeitszeit zur Verfügung stehen muss, weil davon die IT-Systemverfügbarkeit abhängt und damit die Handlungsfähigkeit des gesamten Unternehmens gewährleistet wird. Dann erleben uns die Administratoren nicht als Kontrolleure, sondern als Hilfe, die endlich mal sagt, wie es ist.

Sehen Sie in Zukunft größere Probleme auf uns zukommen – etwa durch neue Technologien?
Immer größere Probleme bereiten die "Man-in-the-Middle"- und "CFO-Fraud"-Vorfälle. So sorgt eine gezielte Manipulation von Zahlungsinformation auf ein- oder ausgehenden Rechnungen dafür, dass Geldbeträge an falsche Konten übermittelt werden (Man-in-the-Middle). Auch eine gefakte E-Mail vom Vorstand an die Buchhaltung mit der Bitte, vor dem Wochenende noch schnell eine größere Überweisung zu tätigen, sorgt für schwerwiegende Folgen. Vielleicht bekommt die oder der Mitarbeitende sogar einen Anruf mit derselben Anweisung – und denkt, sie bzw. er redet mit dem Chef, hört aber einer digitalen Sprachsimulation zu (CFO-Fraud).
Leider ist dies keine Science-Fiction mehr. Es wird mehr und mehr darum gehen, die Mitarbeitenden eines Unternehmens zu sensibilisieren – für immer besser gefälschte Mails, für vermeintlich harmlose Klicks und für noch perfidere Angriffe. Unsere Beobachtung ist, dass 60 Prozent der erfolgreichen Cyberangriffe auf die Unachtsamkeit von Mitarbeitenden eines Unternehmens zurückgehen. Das passiert auf allen Ebenen. Deshalb bieten wir Awareness-Seminare an, in denen wir Belegschaften schulen, um die Aufmerksamkeit zu schärfen. Gut aufpassen ist eine sehr gute Abwehrstrategie.

Vielen Dank für das Gespräch, Herr Fischer-Erdsiek!

 

Sie wollen tiefer in das Thema Cyber-Sicherheit einsteigen? Dann nehmen Sie an unserem digitalen Cyber-Breakfast teil! Weitere Informationen & Anmeldung: Cyber-Breakfast | Der Expertendialog von NW Assekuranz