Kriegszustand

04.03.2022

Foto: © k_e_n - stock.adobe.com

Die IT schreitet ohne Pause mit Riesenschritten voran. Unternehmen – ob kleine oder große – profitieren davon enorm. Dies zeigt sich nicht zuletzt in der Corona-Pandemie. Doch hat auch diese Medaille zwei Seiten. Es profitieren nämlich auch Cyber-Kriminelle. Fast scheint es, als handele es sich um einen permanenten Kriegszustand zwischen Gut und Böse. Makler sollten ihre Gewerbekunden jedenfalls immer wieder aufs Neue sensibilisieren.

Die deutschen Versicherer prüfen gemeinsam die Sicherheit großer Cloud-Anbieter. In einem ersten Schritt haben 38 Unternehmen die Daten- und IT-Sicherheit von Microsoft 365 unter die Lupe genommen. Der Grund ist einfach: Aufsichtsbehörden erwarten von Versicherungen, sich nicht allein auf Sicherheitszertifikate zu verlassen, sondern selbst aktiv zu werden. „Speziell für kleine Unternehmen sind die von der Aufsicht geforderten eigenen Prüfungen der Cloud-Anbieter allein kaum zu stemmen. Deshalb haben wir gemeinsam geprüft“, sagt GDV-Hauptgeschäftsführer Jörg Asmussen. Kooperation bündelt Ressourcen und Know-how. Konkret wurden für die erste Kooperation das Identitäts- und Berechtigungsmanagement, die Verschlüsselungstechnik und die Kommunikationssicherheit von Microsoft 365 untersucht. Die Deutsche Cyber-Sicherheitsorganisation (DCSO) prüfte im Auftrag der Versicherer anhand des C5-Kriterienkatalogs des Bundesamts für Sicherheit in der Informationstechnik. Ergebnis: Alle geprüften Kriterien wurden von Microsoft berücksichtigt.

Großer Nachholbedarf bei KMU

Die Nervosität ist also hoch. Doch in welchen Bereichen müsste die Wirtschaft nachrüsten? Gisa Kimmerle, Head of Cyber von Hiscox Deutschland, sagt dazu: „Gemäß dem Cyber Readiness Report, sehen wir insgesamt die Tendenz, dass die Anzahl der so genannten ‚Cyber-Anfänger‘ im Jahr 2020 rückläufig ist. In Kombination mit einem Anstieg der durchschnittlichen Investitionen in die IT-Sicherheit zeichnet dies ein positives Bild. Wir sehen allerdings insbesondere im deutschen Mittelstand und bei kleinen Unternehmen noch Nachholbedarf, was den Stand der IT-Sicherheit anbelangt.“ Während sich die Angreifer immer weiterentwickelten und Hacker-Gruppierungen immer professioneller arbeiteten,

bedürfe es auch auf Seiten der Unternehmen immer mehr Anstrengungen. Kimmerle: „Wir verweisen hier immer wieder auf die Themen Back-up-Konzept, Patch-Management, Rechtekonzept und den Umgang mit nicht mehr patchbaren Altsystemen.“ Sören Brokamp, Leiter Produktmanagement Cyber der HDI Versicherung, ergänzt: „Das Jahr 2021 hat gezeigt, welche Dynamik das Cyber-Risiko an den Tag legen kann. Letztlich ist es nicht verwunderlich. Wir reden seit mindestens zehn Jahren über ein sehr hohes Digitalisierungstempo und gerade die Corona-Pandemie war diesbezüglich nochmal ein Turbo.“ Geschäftsmodelle, die bisher wenig oder keine Onlineabhängigkeit besessen hätten, verlagerten immer mehr Prozesse in die digitale Welt. Das prägnanteste Beispiel seien im Zuge der Pandemie Restaurants gewesen, die auf Lieferdienste umgestellt hätten. Jeder Wirtschaftsbereich sei betroffen. Dieser Entwicklung wolle man Rechnung tragen und aufzeigen, wo Unternehmen nachrüsten könnten. Brokamp: „Mit Perseus, unserem Kooperationspartner im Bereich Prävention, haben wir den Security Baseline Check (SBC) entwickelt. Dieser Check ist ideal für Unternehmen bis zehn Mio. Euro Jahresumsatz und schließt eine Lücke, da gerade für dieses Kundensegment keine passgenauen Alternativen zur Risikoermittlung vorhanden waren, die sich an den Risikofragebögen der Versicherer orientiert haben.“ Mehr als 100 Kunden hätten den SBC bereits während der Pilotphase 2021 in ihren Unternehmen eingesetzt. Es habe sich gezeigt, dass in allen relevanten Bereichen, wie Berechtigungskonzepte, Schutz vor Schadsoftware und Firewalls, Patchmanagement und Back-up-Konzepte noch Potenzial bestehe. Eine ähniche Sprache spricht auch die aktuelle GDV Veröffentlichung „Cyber-Risiken im Mittelstand 2021“. Nur jedes fünfte Unternehmen erfüllt nach Angaben des GDV die Basisanforderungen für Versicherungsschutz. Brokamp: „Als Versicherer wollen wir dabei helfen, dass mehr Unternehmen das Schutzniveau erhöhen und sich damit selbst besser schützen. Der SBC zeigt daher transparent mittels Empfehlungen Maßnahmenverbesserungen auf, wie sich ein Unternehmen besser schützen kann.“ Aus eigener Schadenerfahrung wisse man, dass funktionierende Back-ups, ein geregeltes Patchmanagement, aber vor allem auch Mitarbeiterschulungen und -sensibilisierungen essenziell seien.

weiter auf Seite 2