Download: EY Forensics Datenklaustudie 2023
Cybercrime und Datenklau sind Bedrohungen, die deutsche Unternehmen zwar akzeptieren, aber nicht tatenlos hinnehmen müssen. Wer sich auf die Angriffe vorbereitet, kann Risiken minimieren und Schadenspotenzial reduzieren. Unser Team unterstützt Unternehmen bei der Einführung, Umsetzung und dauerhaften Integration von Cybersecurity- und Incident-Response-Maßnahmen gemäß dem aktuellen Stand der Technik.
Seit 2019 haben die Cyber Incidents und damit auch die Anfragen nach Cyberversicherungen zugenommen. Wie ist das profitabel zu managen?
Krickhahn: Teilweise kamen in dieser dynamischen Zeit tatsächlich mehr Schäden als Neuabschlüsse rein. Wir hatten daher keine Zeit, ein Portfolio aufzubauen, und konnten entsprechend aus keinem schöpfen. Reagieren mussten wir dennoch. Das war dann auch der Start für eine viel tiefere Risikoanalyse als zuvor, um eine bessere Qualifizierung vornehmen zu können. In Branchen mit schweren Risiken, den kritischen Infrastrukturen (KRITIS) zum Beispiel, fordern wir noch mehr Informationen, bevor wir dann sagen: damit können wir jetzt leben. Tatsächlich hat die Identifizierung der Schwachstellen seit 2019 dazu geführt, dass die Informationstiefe, aber auch die Risikoqualität bei heutigen Anfragen insgesamt besser ist. .
Meseke: Nicht nur die Technik, die Cybersecurity und die Cyberversicherungen entwickeln sich weiter, die Cyberkriminalität tut es leider auch. Wir sehen immer neue Bedrohungslagen, immer raffiniertere Angreifer und können darum immer nur wiederholen: Technische Sicherheit zu hinterfragen ist wichtig, aber mindestens ebenso wichtig ist es, auch die Prozesse zu üben, zu üben, zu üben. Wenn ein Krisenmanagementteam im Ernstfall zum allerersten Mal zusammenarbeitet, ist es eigentlich schon zum Scheitern verurteilt.
Wenn ein Krisenmanagementteam im Ernstfall zum allerersten Mal zusammenarbeitet, ist es eigentlich schon zum Scheitern verurteilt.
Welche sind die momentan größten Cyberbedrohungen?
Meseke: Der Platzhirsch ist weiterhin Ransomware, diese wird uns auch noch lange Zeit begleiten. Hier werden nicht nur die Methoden, sondern auch die Erpressungsmodelle perfider. Betroffene Unternehmen sollen nicht mehr nur ihre Daten zurückkaufen, sondern zusätzlich dafür zahlen, dass diese nicht veröffentlicht werden, und womöglich ein drittes Mal, um zu verhindern, dass ihre Kunden auch noch direkt erpresst werden.
Krickhahn: Ich kann Bodo Meseke nur zustimmen, da schon lange Ransomware as a Service im Darknet als Dienstleistung zu kaufen ist. Da werden dem Erpresser Tools zur Verfügung gestellt, und sollte er die nicht beherrschen, gibt es sogar eine Hotline zur Hilfestellung. Das ist ein Geschäftsmodell. Man findet heute aber im Netz auch schon Bewertungen, welche Hackergruppen zuverlässig den Schlüssel nach Lösegeldzahlungen liefern und welche nicht.
Meseke: Die zweite wesentliche Bedrohung – gerade im Kontext von Cyberversicherungen – ist der Business E-Mail Compromise (BEC), insbesondere der CEO Fraud. Ziel des BEC ist es, Zahlungen auszulösen oder umzuleiten, sodass die Angreifer finanziell profitieren. Dem geht gute Vorbereitung voraus: Die Hacker spionieren aus, wer im Unternehmen wofür verantwortlich ist, und basteln plausible Stories zusammen, damit eine Zahlung freigegeben wird.
Wird die Cyberversicherung für Unternehmen einmal so selbstverständlich wie die private Haftpflichtversicherung für Bürger?
Krickhahn: Bei vielen Unternehmen hat sie bereits einen hohen Stellenwert im Versicherungsportfolio, andere wollen den Preis nicht zahlen oder haben noch nicht den nötigen Reifegrad erzielt. Wiederum andere glauben: „Mir passiert schon nichts.“ Die Cyberversicherung ist noch nicht dort angekommen, wo sie sein sollte und könnte. Aber wir sind auf einem guten Weg.
Fazit
So wie eine Krankenversicherung nicht vor einem Beinbruch schützt, wehrt eine Cyberversicherung keine Hackerattacken ab. Aber: Im Ernstfall werden die akuten finanziellen Folgen gedeckt und Dienstleister zur Bewältigung der Krise bereitgestellt. Die oftmals mit dem Abschluss einer Cyberversicherung verbundene Reifegradprüfung in Sachen IT-Sicherheit sensibilisiert Unternehmen im Hinblick auf eine bessere Prävention vor Cyber Incidents.
