Bedrohung vernetzte Welt

Martin Wundram

Der AMC im Gespräch mit dem Sicherheitsexperten Martin Wundram, Geschäftsführer der DigiTrace GmbH sowie TronicGuard. Er ruft die Versicherer auf, aus ihrem Dornröschenschlaf zu erwachen und aktiver als bislang in einer veränderten Risikowelt zu agieren.

(fw/rm) Über 100 Teilnehmer aus der Assekuranz und den AMC-Partnerunternehmen trafen sich in Düsseldorf zum AMC-Frühjahrsmeeting. Fachvorträge, Diskussionsrunden, Best-Practices und reges Netzwerken standen auf dem Programm. Am zweiten Meetingtag ließ ein Vortrag über die vernetzte Welt die Teilnehmer auf die innewohnenden Bedrohungen blicken – und regte zu intensiven Diskussionen an. Unter der Moderation von Prof. Dr. Heinrich Schradin startete der zweite Tag, der ein Potpourri interessanter Vorträge aus der Praxis für die Praxis bereithalten sollte. Ein Vortrag animierte die Teilnehmer besonders zu Diskussionen: “Benzin im Blut – Daten im Netz. Vernetzte Welt – Vernetzte Bedrohungen”, von Martin Wundram, Geschäftsführer der DigiTrace GmbH sowie TronicGuard GmbH. Er ruft die Versicherer auf, aus ihrem Dornröschenschlaf zu erwachen und aktiver als bislang in einer veränderten Risikowelt zu agieren. Wir haben einmal genauer nachgefragt. AMC: Herr Wundram, wir leben ja längst in einer vernetzten Welt. Wo wird dies insbesondere für Versicherer spürbar? Martin Wundram: Überall. Versicherer kommunizieren mit Kunden und Interessenten über etliche digitale Kanäle. Dabei werden auch zunehmend mehr vertrauliche sowie sehr vertrauliche Daten übertragen. Versicherer tauschen auch mit ihren Mitarbeitern und Vertriebspartnern mehr und mehr Daten über digitale Kommunikationswege und Portale. Dabei werden an immer mehr Orten immer mehr Daten mit hohem Schutzbedürfnis gespeichert und manchmal regelrecht „angehäuft“. AMC: Der Titel Ihres Vortrags besagt, dass die vernetzte Welt mit vernetzten Bedrohungen einhergeht. Wovor sollten sich Versicherer fürchten? MW: Furcht ist natürlich keine gute Gemütslage. Versicherer und deren Mitarbeiter stehen vor der konkreter werdenden Bedrohung, dass sie möglicherweise die Kontrolle verlieren und Versichertendaten (Stichwort PKV und Arztrechnungen inkl. Diagnosen) in falsche Hände geraten. Jeder Versicherer und jeder Mitarbeiter / Vertriebspartner muss sich fragen: Welche Daten habe ich wo gespeichert? Welches Schutzbedürfnis bringen meine Daten mit und was habe ich zu deren Schutz umgesetzt? Die Erfahrung zeigt uns, professionelle Cyber-Täter kommen fast überall rein. Maximal peinlich wäre es aber, wenn in der heutigen Zeit ein unverschlüsseltes Notebook oder eine USB-Festplatte mit vertraulichen Versicherungsdaten im Zug liegen bleibt, oder einem Vertriebspartner aus dem Auto gestohlen wird. Katastrophal wäre auch, wenn massenhaft Daten aus einem löchrigen Web-Portal abgegriffen werden. AMC: Welche zentralen Fragen müssen sich Versicherer aus Ihrer Sicht stellen? MW: Zuerst müssen sie sich fragen, welchen Schutzbedarf sie für ihre Systeme und Daten festlegen müssen. Wie hoch sind die Anforderungen an Verfügbarkeit, Integrität und Vertraulichkeit? Daran müssen sich dann die umgesetzten Maßnahmen und Prozesse orientieren. Jeder muss sich fragen, ob er er die Notwendigkeit zur IT-Sicherheit erkannt hat und dies entsprechend umsetzt – Stichwort Awareness. Denn nur wenn alle Kräfte in einem Unternehmen um die Wichtigkeit wissen und sich entsprechend verhalten, kann auf die Gefahr von Datenlecks und Cyber-Tätern angemessen reagiert werden. Und jeder Versicherer sollte sich fragen, wann zuletzt und mit welchen Ergebnissen die IT-Systeme und Netzwerke professionell und umfassend auf IT-Sicherheitslücken untersucht wurden (Stichwort Penetrationstests). AMC: In Ihrem Vortrag betonen Sie, dass Regulierungen zu Informationssicherheit und Datenschutz bisher abstrakt und unspezifisch sind? Können Sie das kurz erläutern? MW: Eigentlich sollte ein ausreichendes Maß an IT-Sicherheit eine Selbstverständlichkeit sein und bereits intuitiv im Fokus der Geschäftsleitung und sonstigen Entscheidern liegen. Und doch zeigt uns die Praxis Tag für Tag aufs Neue, dass in vielen Unternehmen oft desaströse IT-Sicherheitslücken als Folge unzureichender Systempflege und Systemkonfiguration große Angriffsflächen bieten. Und Täter wissen dies zunehmend auszunutzen. Es darf nicht passieren, dass Unternehmen Alles mit Jedem vernetzen und dann ein simpler Crypto-Trojaner massenhaft Systeme befällt und wichtige Daten verschlüsselt. In der Praxis ist dies aber leider noch zu oft Realität. Daher sind offenkundig spezifischere Regulierungen notwendig, die konkrete Anforderungen stellen (etwa Netzwerktrennungen und Pflicht zur Durchführung professioneller Penetrationstests und sonstiger Sicherheitsüberprüfungen). AMC: Was sind aus Ihrer Sicht die positiven Seiten der vernetzten Welt für Versicherer? MW: Die positiven Seiten sind natürlich riesengroß. Das Internet und digitale Kommunikationswege ermöglichen immer neue Formen und Möglichkeiten der Kundeninformation und -interaktion. Und wenn Daten wirklich sicher in elektronischer Form verarbeitet und gespeichert werden – inkl. sicherer Verschlüsselung – kann dies im geeigneten Rahmen sogar sicherer sein, als viel Papier zu produzieren und in die Hände Dritter zu geben. AMC: Was empfehlen Sie Versicherern aktuell? MW: Versicherer sollten IT-Sicherheit in ihrer Agenda nach ganz oben setzen. Es müssen nicht immer externe Berater sein, aber die internen Kräfte brauchen dafür genügend Zeit und Ressourcen. IT-Sicherheit betrifft absolut jeden – vom Vorstand bis zur untersten Ebene – denn heute verwenden wir alle und alltäglich Systeme der vernetzten Welt. Ich empfehle jedem Versicherer und jedem Dienstleister in der Branche seine IT-Systeme und Netzwerke professionell auf Sicherheitslücken untersuchen zu lassen. Denn viel zu oft sind die eingesetzten Systeme nicht so sicher, wie angenommen. Hier hilft nur die konkrete technische Überprüfung. www.amc-forum.de