fokus_kmu_hacking

Das Internet bietet Chancen und Gefahren für Unternehmen.

Absichern gegen die Gefahren aus dem Web

Technologie Das Internet ist eine Quelle unendlicher Möglichkeiten – aber auch grosser Gefahren und Risiken. Wir haben mit Oliver Delvos vom Versicherer AIG Europe über Möglichkeiten gesprochen, wie sich Unternehmen vor Hackerangriffen schützen können.

Miriam Dibsdale

Oliver Delvos, der Bereich IT-Sicherheit ist im stetigen Wandel. Wie ist die aktuelle Bedrohungslage einzuschätzen?Oliver Delvos

Wir sehen zwei signifikante Entwicklungen. Einerseits beobachten wir eine Professionalisierung der Angriffe. Es handelt sich schon lange nicht mehr nur um «Hacktivisten» und «Script Kiddies», sondern um professionell organisierte Gruppen, welche ein präzises Ziel für ihre Aktivitäten haben. Andererseits hat die zunehmende Vernetzung der Unternehmen – Schlagwort «Internet of Things» – dazu geführt, dass Angriffe schwerer zu isolieren sind und einem Unternehmen in mehreren Bereichen Schäden zuführen können.

 

Hackerangriffe zeigen, wie verwundbar wir sind. Welchen Schutz gibt es vor Gefahren aus dem Web?

Insgesamt müssen Datensicherheit und Datenschutz im Unternehmen als wesentlicher Bestandteil des Risikomanagements angesehen werden. Dies beginnt – ganz banal – bei der Überlegung, inwieweit Daten für den täglichen Geschäftsprozess wichtig sind. Das Unternehmen sollte sich im Rahmen eines strukturierten Prozesses überlegen, was die eigenen «Kronjuwelen» sind. Was könnten Hacker stehlen wollen? Welche Daten sind wertvoll und könnten anderen von Nutzen sein? Ist das Unternehmen aufgrund bestimmter Daten besonders exponiert?

Zum Beispiel sind uns mehrere Erpressungsversuche gegen Schweizer Banken bekannt. Dabei wurden Kundendaten gestohlen und damit gedroht, die Kundendaten zu veröffentlichen. In einem zweiten Schritt ist zu prüfen, wie die Risiken bewältigt und minimiert werden können. Eine Zertifizierung nach ISO Standard 27001 wäre eine mögliche Massnahme, um einem globalen strukturierten Risikomanagementansatz zu folgen, um sich gegen Hackerangriffe zu schützen. Versicherungslösungen sind in diesem Zusammenhang wichtig, um Teilbereiche des Risikos zu transferieren und – vor allem – das finanzielle Risiko einzugrenzen.

 

Welche technischen Möglichkeiten gibt es für Firmen, Hackerangriffen zu begegnen?

Insgesamt gibt es keine 100-prozentige Sicherheit gegen Hackerangriffe. Leider ist es ein Irrglauben, dass technische Vorrichtungen absolute Sicherheit gewährleisten. Das bewirkt eine falsche Einschätzung der Bedrohungslage. Auch ist es falsch anzunehmen, dass eine totale Überwachung der Netzwerke die Lösung ist oder dass möglichst viele IT-Experten im Unternehmen einen Angriff oder einen Schaden verhindern können. Immerhin sind fahrlässig oder sogar mutwillig handelnde eigene Mitarbeiter die zweithäufigste Ursache für Datenverlust oder Datendiebstahl.

Auf der technischen Seite würden wir jedoch Firewalls, ein regelmässiges Datenback-up sowie die Verschlüsselung von kritischen Daten als absolutes Minimum ansehen. Darüber hinaus können «vulnerabilty scans» oder «penetration tests» die IP-Adressen eines Unternehmens überprüfen um festzustellen, wie gut die Datenzugänge eines Unternehmens  nach aussen geschützt sind. In diesem Zusammenhang sollte man auch unbedingt prüfen, ob USB-Ports gesichert sind, damit nicht jeder per USB-Stick entweder Schadsoftware einschleusen oder Daten abziehen kann. Last but not least sind natürlich regelmässige Updates bzw. «Patches» für die Systeme unerlässlich. Insgesamt kommt es darauf an, die Basics zu verinnerlichen und als Teil des täglichen Geschäftsbetriebs anzusehen.

Insgesamt gibt es keine 100-prozentige Sicherheit gegen Hackerangriffe.

Welche Auswirkungen könnte so ein Angriff auf ein Unternehmen haben?

Die Auswirkungen hängen ganz von der Art des Unternehmens und dessen individuellem Risikoprofil ab. Eine Hotelkette oder ein Online-Shop kann z. B. Kreditkartendaten seiner Kunden verlieren, was nicht nur Klagen der Kunden zur Folge haben, sondern auch den Ruf des Unternehmens schwer schädigen kann. In Zeiten von sozialen Netzwerken spricht sich dies weltweit schnell herum und kann somit im Extremfall – vor allem im Privatkundensegment – existenzbedrohend für das Unternehmen sein. Bei Banken und Vermögensverwaltern kann die Anzahl der gestohlenen Daten bzw. die besondere Vertraulichkeit der Daten zum Verhängnis werden. Nach Jahren der behördlichen Untersuchungen – vor allem durch das US Department of Justice – ist es für solche Finanzinstitute wichtig, negative Schlagzeilen in der Presse zu vermeiden. Als Drittes Fallbeispiel sind das produzierende Gewerbe und die Industrie betroffen, wenn es aufgrund von Hackerangriffen zu Netzwerk- und Betriebsunterbrüchen kommt und die Produktion lahmgelegt wird. In Zeiten von «just in time»-Produktion und Margendruck ist dies schon nach kurzer Zeit kritisch und kann eine Kette von Folgeschäden nach sich ziehen und sogar Klagen von Kunden zur Folge haben. Als allgemeiner Punkt bleibt festzuhalten, dass alle Angriffe – egal in welcher Branche – zu hohen Kosten durch den Beizug von IT-Forensikern führen, welche zunächst einmal feststellen müssen, was überhaupt passiert ist, welche Datensätze betroffen sind und was zur Datenwiederherstellung benötigt wird.

Alle Angriffe – egal in welcher Branche – führen zu hohen Kosten durch den Beizug von IT-Forensikern.

Das klingt nach ernsten Problemen. Welchen Bereichen sollte man bei der unternehmensbezogenen IT-Sicherheit heute besondere Beachtung schenken?

Wie erwähnt, ist eine strukturelle Risikoanalyse für Unternehmen ein Muss. Zu wissen wo man steht, ist ein wichtiger erster Schritt und nicht zu unterschätzen. Zu wissen wo Daten gespeichert sind, und inwieweit Cloud-Services genutzt werden, ist essenziell. Des Weiteren gehen viele Daten leicht verloren, wenn diese lediglich auf mobilen Geräten gespeichert werden. Wenn diese dann noch nicht einmal verschlüsselt sind, haben Diebe ein leichtes Spiel, die Daten sofort zu verwenden oder im «Dark Net» weiterzuverkaufen.

Im gesamten Prozess der Risikoprävention ist ein Plan zur Betriebsfortsetzung (Stichwort «Business Continuity Plan») eines der wichtigsten Aspekte. Einen – wenn möglich regelmässig getesteten – Plan zu haben, wie im Fall des Falles zu reagieren ist, kann wertvolle Zeit sparen und den Schaden enorm eingrenzen. Wenn es zu einem Angriff kommt, ist meistens die IT damit überfordert; Panik setzt ein und es kommt vor, dass übereilte Aktionen den Schaden verschlimmern statt ihn zu minimieren. Zu einem guten «Business Continuity Plan» gehört auch zu schauen, inwieweit intern die Ressourcen vorhanden sind, oder ob externe Experten hinzugezogen werden müssen. Hier wäre es ratsam, sich im Voraus mit Experten zusammenzusetzen, um deren Einsatz zu planen.

Wird es jemals hundertprozentige Sicherheit in der Cloud geben?

Höchstwahrscheinlich nicht, vor allem da die Cloud meist von externen Unternehmen zur Verfügung gestellt wird und man hier mit vielen anderen Unternehmen und deren Daten in einem Boot, beziehungsweise in einer Wolke, sitzt. Von daher muss bei der Risikoevaluierung auch die Abhängigkeit zu externen Dienstleistern beachtet werden. Um das Ganze noch etwas komplizierter zu machen: In welchem Rechtsgebiet befindet sich die Cloud? Manche Länder haben Vorschriften zur Meldung von Datenverlusten an den Kunden oder an die lokalen Aufsichtsbehörden. Obwohl dies in der Schweiz nicht der Fall ist, kann man aufgrund der Cloud unter den Geltungsbereich von ausländischem Recht geraten, wo womöglich eine Meldung an lokale Behörden notwendig sein könnte.

In diesem Zusammenhang sollte auch ein genaues Augenmerk auf die Entwicklung regionaler und lokaler Gesetze gelegt werden. Die EU wird aller Voraussicht nach dieses Jahr den Entwurf einer neuen Datenschutz-Grundverordnung billigen. Die Datenschutz-Grundverordnung soll nach einer Übergangsfrist von zwei Jahren ab 2018 allgemeine Gültigkeit in allen 28 EU-Ländern haben. Auch der Schweizerische Bundesrat hat im April dieses Jahres beschlossen, das Schweizer Datenschutzgesetz zu revidieren und in den nächsten Jahren zu prüfen, inwieweit das Schweizer Gesetz den neuen EU-Datenschutzreformen anzugleichen ist. Damit wird der Haftungsaspekt für Unternehmen immer wichtiger.

In welchem Rechtsgebiet befindet sich die Cloud?

Stichwort Mobile Device Security: Wie kann man den heutigen Mischbetrieb von stationären und mobilen Geräten in Unternehmen absichern? Ist das überhaupt machbar?

Wie bei der Cloud ist dies schwierig. Es sollte auf ausreichende Verschlüsselung geachtet werden. Hier muss man häufig schwierige Entscheidungen treffen: Setzt man den Schwerpunkt auf Datenverfügbarkeit oder lieber auf die Datensicherheit? Hier ist eine genaue Abwägung gefragt.

 

Mittlerweile häufen sich Mutmassungen über staatlich finanzierte Cyberangriffe. Muss man damit rechnen, dass es in naher Zukunft einen «kalten» oder sogar «heissen» Krieg zwischen verschiedenen Nationen oder Interessengruppen im Internet geben wird?

Von Krieg zu sprechen ist vielleicht auf kommerzieller Ebene zu viel gesagt, aber man muss das Internet und die digitale Welt neben der realen Welt als ernstzunehmenden Gefahrenherd wahrnehmen und sich mit diesem auseinandersetzen. Es ist menschlich, sich mit den visuell sichtbaren Bedrohungen – wie Naturkatastrophen – mehr auseinanderzusetzen, da man sich deren Auswirkungen besser vorstellen kann. Das macht es auch für Versicherer schwer, Kunden für «intangible risks» zu sensibilisieren. Vor allem in der Schweiz hören wir häufig: «Cyber-Risiken haben wir keine». In der digitalen Welt von heute ist dies eine sehr gewagte Einschätzung.

 

Wie kann eine Firma ihre Mitarbeiter für das Thema IT- Sicherheit sensibilisieren?

Leider scheinen die Verhaltensweisen der Mitarbeiter die zweithäufigste Ursache für Datenvorfälle zu sein. Die Gründe hierfür sind vielfältig. Zum einen sind unsichere Passwörter eine immer noch eine sehr häufige Ursache von Sicherheitslücken. «Spear-Phishing»-Attacken sind vor allem bei der Personal- und HR-Abteilung auf dem Vormarsch. Diese Attacken werden immer raffinierter. Fingierte Bewerbungen auf tatsächlich ausgeschriebene Stellen mit Viren im Anhang – als Anschreiben getarnt – können leider immer wieder die Virenscanner überwinden. Andererseits verursachen verärgerte ehemalige Mitarbeiter («Rogue Employees») enorme Schäden.

Von daher ist auch ein professionell strukturierter Offboarding-Prozess in den Unternehmen wichtig, wie zum Beispiel das sofortige Einziehen von Systemzugängen, die Deaktivierung von allen Zugriffsrechten sowie Überprüfung des Datenverkehrs vom Computer des Ex-Mitarbeiters um zu sehen, ob Datenpakete abgezogen wurden. Dies ist auch deshalb wichtig, da nicht jede Versicherungspolice solche Schäden deckt.

Leider sind die Verhaltensweisen der Mitarbeiter die zweithäufigste Ursache für Datenvorfälle.

Web Welche Mitarbeiter haben Zugriff auf welche Daten? Und was können Sie damit anstellen? Diese Fragen bleiben in vielen Firmen unbeantwortet.

 

Beim Internet der Dinge und Industrie 4.0 sind sich IT-Security-Fachleute einig und attestieren einen massiven Investitionsbedarf. Warum braucht es besondere Sicherheitsmechanismen?

Dieses Thema ist derzeit in der Tat in aller Munde. Für AIG sind das Internet der Dinge – oder Industrie 4.0 – zentrale Themen, wenn es um Risiken der Zukunft geht. Während vor zehn Jahren ungefähr 500 Millionen Geräte miteinander vernetzt waren, so sind es heute schon zehn bis 20 Milliarden und in fünf Jahren werden es wahrscheinlich 40 bis 50 Milliarden sein. Diese Vernetzung betrifft alle Bereiche des privaten und kommerziellen Lebens. Da mittlerweile jedes Smartphone nicht nur Geräte steuern kann , wie zum Beispiel die HiFi-Anlage oder die Heizung unserer Wohnung, so sind diese Geräte gleichzeitig auch Sensoren, welche Bewegungsdaten aufzeichnen, Fingerabdrücke und Bewegungsdaten speichern und ständig Daten über uns als individuelle Person sammeln und potentiell versenden können. Im kommerziellen Bereich bedeutet dies, dass Unternehmen immer mehr personenbezogene Daten von Kunden speichern können und auch für diese verantwortlich sind. Es ergibt sich also eine erhöhte Problematik im Bereich Datenschutz und Haftung.

Des Weiteren muss auch kritisch hinterfragt werden, wie zum Beispiel der Effizienzgewinn durch «remote control» von Maschinen und Produktionsstätten im Verhältnis zur Datensicherheit steht. Während Tablet-Computer Turbinen überwachen und sogar steuern und den Gang des Ingenieurs zur Anlage ersetzen können, so eröffnen diese Möglichkeiten natürlich auch neue Schwachstellen in der Sicherheit. Abschliessend bleibt festzuhalten, dass das Thema Internet of Things alle wesentlichen Wirtschaftssektoren betrifft: Automobilbranche, Finanzindustrie, Luftfahrt- und Transportindustrie, Gesundheitswesen, Lebensmittelindustrie sowie den Energiesektor. Jeder Sektor wird auf unterschiedlichste Weise exponiert sein. Versicherungslösungen müssen daher individuell angepasst sein.

 

Evolution oder Revolution?

Bildschirmfoto 2015-10-28 um 16.34.26
Klicken Sie auf das Bild, um die Broschüre «Internet der Dinge» als PDF zu öffnen.


Inwieweit können Versicherungslösungen die angesprochenen Risiken mindern?

Versicherungspolicen können die finanziellen Folgen für ein Unternehmen kalkulierbarer machen. Die Höhe der Schäden kann stark schwanken: im günstigsten Fall kann er ein paar Hunderttausend Franken betragen – wie zum Beispiel bei kleineren Systembeschädigungen oder Erpressungsvorfällen – im schlimmsten Fall kann er zu Millionenschäden führen, vor allem wenn nicht nur Kosten für IT-Forensiker anfallen, sondern auch Anwälte beratend zur Seite stehen müssen, um bei internationalen Fällen mit verschiedenen Aufsichtsbehörden zu kommunizieren und Kunden umfassend zu benachrichtigen. Im produzierenden Gewerbe ist die Deckung für Netzwerk- und Betriebsunterbrüche besonders wichtig. Bei grossen Schäden ist es möglich, eine Versicherungsdeckung abzuschliessen, bei welcher die Versicherung auch Vorauszahlungen ermöglicht, um Liquiditätsengpässe beim Versicherten zu vermeiden. Somit können kurzfristige Cash flow-Probleme im Notfall vermieden werden.

Woran erkennt ein Unternehmen eine solide Versicherungspolice? Worauf sollte man achten?

Im Moment unterscheiden sich die Produkte am Markt noch sehr stark. Ein allgemeiner Standard hat sich, vor allem hier in der Schweiz, noch nicht durchgesetzt. Die Problematik besteht darin, dass bei der Absicherung von Cyber-Risiken noch auf wenige Erfahrungswerte zurückgegriffen werden kann. Insbesondere sollte man als Unternehmer aber darauf achten, was genau unter die Deckung fällt. Sind Schäden nur gedeckt, wenn diese von Dritten verursacht wurden oder sind auch Vorfälle gedeckt, welche durch die Handlungen der eigenen Mitarbeiter entstanden sind? Häufig erscheint die Deckung auf den ersten Blick sehr breit und wird womöglich aber durch Ausschlüsse stark eingrenzt, so dass von der erhofften Deckung im Ernstfall wenig übrig bleibt. Wird zum Beispiel die Deckung für den Verlust von Kreditkartendaten ausgeschlossen? Werden US-Risiken ausgeschlossen? Wie verhält es sich mit der Deckung, wenn das Unternehmen Opfer von Cyber-Terrorismus wird?

Häufig erscheint die Deckung auf den ersten Blick sehr breit und wird womöglich aber durch Ausschlüsse stark eingrenzt.

Cyber-Versicherungen sind noch sehr teuer. Woran liegt das und warum unterscheiden sich die Preise so stark voneinander?

Eine Police kann sowohl vollumfänglich die Eigenschäden eines Unternehmens abdecken als auch sämtliche Ansprüche Dritter aus der Haftpflicht. Kurz: Wenn IT und Rechtsdienstleistungen voll und umfangreich versichert sind – und das ist empfehlenswert – schlägt sich das im Preis der Police nieder. Ausserdem können Deckungserweiterungen, wie zum Beispiel Deckung für Cyber-Erpressung, entgangener Gewinn aufgrund Netzwerkunterbrüchen sowie Deckung der Kosten für die Benachrichtigung von Kunden und Behörden Einfluss auf den Preis haben. Professionell zusammengestellte Produkte sollten auch die Möglichkeit bieten, ausgegliederte Teile der IT mitzuversichern. Das Outsourcing von IT-Dienstleistungen ist heute häufig anzutreffen und die Deckung kann gegebenenfalls solche Dienstleister umfassen. All dies führt zu den grossen Preisunterschieden. Des Weiteren schlägt sich eine umfangreiche Deckung für Daten in „Cloud“-Speicherlösungen meist auch im Preis nieder, da solche Lösungen höhere Risiken bergen. Günstigere Angebote schränken vermutlich die Deckung stark ein, was in Zeiten von „Industrie 4.0“ genau überlegt werden sollte. Viele Versicherer gewähren bei ihren Produkten pro-aktive Krisenmanagementleistungen wie zum Beispiel den direkten Zugang zu IT-Beratern und Anwaltskanzleien. Bei günstigeren Anbietern kann es sein, dass diese Zusatzkomponente fehlt und die Kunden sich die professionelle Unterstützung im Notfall selber suchen müssen.

Über AIG

AIG Europe Limited ist in der Schweiz ein etablierter Anbieter innovativer  Versicherungslösungen und zuverlässiger Partner für Makler und Kunden. AIG bietet neben langjähriger Erfahrung und Kompetenz Deckung durch attraktive Versicherungsprodukte und Dienstleistungen für Unternehmen überall auf der Welt – von großen, multinationalen Unternehmen, mittelständischen Firmen bis zu kleinen Unternehmen oder Privatkunden. Das Angebot umfasst maßgeschneiderte Lösungen für die klassischen Versicherungsleistungen wie allgemeine Haftpflicht, Property, Energy & Engineering Risks, Financial Lines, Kreditversicherungen, Sach- und Transportversicherung, aber auch hochspezielle Bereiche wie Lösungen für Cyber Risks, die Luft- und Raumfahrt sowie Produktrückruf und Krisenmanagement.

Weitere Informationen unter: www.aig.ch  und www.aig.com