Thought Leadership
Im Interview mit it-daily erklärt Gisa Kimmerle, Head of Cyber beim Spezialversicherer Hiscox, wie Kleine und Mittlere Unternehmen (KMU) im Cyber-Notfall die Schotten dichtmachen können. In einem Rückblick beschreibt sie die wichtigsten Cyber-Entwicklungen des Jahres 2022 und leitet Empfehlungen für das kommende Jahr zur Steigerung der Cyber-Resilienz von KMU ab.
it-daily: Frau Kimmerle, 2022 neigt sich dem Ende zu. Auch dieses Jahr waren viele Unternehmen von Cyber-Angriffen betroffen. Wie würden Sie das vergangene Jahr für KMU in diesem Zusammenhang beschreiben und gab es besondere Entwicklungen für Unternehmen der IT-Branche?
Gisa Kimmerle: Mit Blick auf die Schadenentwicklung im Cyber-Bereich war 2022 für KMU ein relativ „normales“ Jahr. „Normal“ muss man hier jedoch in den Kontext setzen: Im Vergleich zu den Jahren 2018 oder 2019 gab es wieder eine deutliche Steigerung der Schadenentwicklung. Mit Blick auf das Jahr 2021, das von komplexen Kumul-Schäden gekennzeichnet war, ist 2022 zwar etwas ruhiger gewesen, was im Umkehrschluss aber nicht bedeutet, dass sich deswegen eine positive Entwicklung abgezeichnet hat.
Gerade IT-Dienstleister geraten zunehmend ins Fadenkreuz von Cyber-Angriffen, wie vergangenes Jahr bestätigt hat: Managed Service Provider sind ein attraktives Ziel für sogenannte Supply-Chain-Angriffe. Das sind gezielte Angriffe auf einen Dienstleister, über den viele andere Unternehmen erreicht werden können. Diese Dienstleister besitzen in vielen Fällen Fernzugriffe auf die IT-Systeme Dritter und sind mit entsprechend weitgehenden Rechten in deren Systemen ausgestattet, um kritische Dienstleistungen wie etwa die Verwaltung von Backups oder das Rechtemanagement von Kunden zu übernehmen. Mit nur einem Angriff können Hacker, vergleichbar mit einem Domino-Effekt, auf Daten verschiedenster Unternehmen zugreifen. Wenn solch ein Angriff stattfindet, sind viele Dienstleister im IT-Bereich nicht ausreichend abgesichert: Laut aktueller Zahlen der Hiscox IT-Umfrage haben lediglich 36 Prozent der befragten IT-Dienstleister eine Versicherung gegen Cyber- und Datenrisiken abgeschlossen. Gleichzeitig können knapp 50 Prozent der befragten IT-Unternehmen einen Anstieg der Aufträge aufgrund wachsender Cyber-Gefahren verzeichnen. Diese Diskrepanz zeigt, dass es essenziell ist, dass auch sie sich selbst entsprechend absichern.
it-daily: Konnten Sie denn auch spezielle Entwicklungen innerhalb der Cyber-Versicherungsbranche letztes Jahr feststellen?
Gisa Kimmerle: Als eine der wichtigsten Entwicklungen für KMU konnten wir als Versicherer eine wachsende Sensibilisierung und einen verstärkten Ausbau der IT-Sicherheit wahrnehmen. Wie im Hiscox Cyber Readiness Report 2022 nachgewiesen, ist fast jedes zweite der befragten Unternehmen bereits einem Cyber-Angriff zum Opfer gefallen. Angesichts der zunehmenden Anzahl an Cyber-Angriffen sehen sich auch KMU mit dem Risiko konfrontiert. Als Konsequenz sichern sie sich immer mehr ab und etablieren Mindeststandards an die eigene IT-Sicherheit. Diese Mindeststandards sind mittlerweile auch oft Voraussetzung für den Abschluss einer Versicherung und bieten KMU eine gute Orientierung und Hilfestellung. Wie auf dem gesamten Cyber-Versicherungsmarkt haben wir im vergangenen Jahr eine zunehmende Marktverhärtung beobachten können, d. h. Anforderungen für die Versicherbarkeit sowie die Prämien steigen. Dennoch ist es aber nach wie vor für KMU verhältnismäßig einfach, Cyber-Versicherungsschutz zu erhalten.
Darüber hinaus haben wir, mit Blick auf die Versicherer bzw. den Versicherungsmarkt, vergangenes Jahr eine zunehmende Homogenisierung des Versicherungsmarkts festgestellt, was ein natürlicher Ablauf eines Produkt-Lebenszyklus‘ ist: Versicherungsprodukte werden passgenauer auf die Bedürfnisse der Versicherungsnehmer zugeschnitten. Das Ergebnis ist neben einer Angleichung der auf dem Markt verfügbaren Angebote auch die Weiterentwicklung innovativer Versicherungslösungen. Beispielsweise haben wir bei Hiscox eine innovative Tagespauschale in der Deckung von Cyber-Betriebsunterbrechungsschäden eingeführt. Diese garantiert eine kurzfristige Auszahlung einer pauschalen Entschädigungsleistung und bietet damit schnellen, einfachen und verlässlichen Versicherungsschutz vor allem für KMU. Und auch das Angebot an Prävention wird immer weiter ausgebaut. Hier schließt sich der Kreis, da sich dieses Angebot wiederum an dem verändernden Bedarf der KMU orientiert.
it-daily: Das letzte Jahr war natürlich auch vom Ukraine-Krieg überschattet. Hat sich dieser auf die Cyber-Bedrohungslage ausgewirkt?
Gisa Kimmerle: Grundsätzlich kann man sagen, dass sich geopolitische Spannungen mittlerweile mehr und mehr in den Cyber-Raum verlagern. Diese Cyber-Angriffe richten sich häufig gegen große Unternehmen, die in systemrelevanten Bereichen tätig sind. Mit zunehmender Vernetzung von IT-Infrastrukturen erleiden aber auch KMU, die über 99 Prozent aller Unternehmen in Deutschland ausmachen, zunehmend Kollateralschäden von Cyber-Attacken. Deshalb ist es umso wichtiger, dass KMU entsprechende Vorkehrungen treffen, um im Falle eines Angriffs gerüstet zu sein.
it-daily: Ableitend aus den Entwicklungen aus dem letzten Jahr: Was sind Ihre Top-Empfehlungen für das Jahr 2023? Wie können sich KMU wirksam gegen Cyber-Angriffe schützen?
Gisa Kimmerle: Essenziell für KMU sind nach wie vor Maßnahmen zur Absicherung der IT-Infrastruktur. Eine der wichtigsten Maßnahmen stellt dabei das zeitnahe Einspielen von Sicherheitspatches dar. So wird es den Angreifern erschwert, auf das System zuzugreifen. Im Fall von Attacken mit Ransomware, bei welchen Daten verschlüsselt und daraufhin ein Lösegeld gefordert wird, wird das Risiko einer potenziellen Erpressung durch geeignete Backups gesenkt. Wie die Ergebnisse des Hiscox Cyber Readiness Reports zeigen, stellt die Bezahlung von Lösegeld keineswegs immer einen geeigneten Weg zur Wiederherstellung der Daten dar: Nur etwas mehr als die Hälfte der Unternehmen weltweit, die Lösegeld gezahlt haben, haben ihre Daten vollständig wiederherstellen können.
Unternehmen müssen dennoch im Hinterkopf behalten, dass selbst die beste IT-Sicherheit einen Schadenfall nicht zu 100% verhindern kann. In solchen Momenten gilt es, den Schaden möglichst gering zu halten, zum Beispiel wie bereits angesprochen durch Backupmanagement. KMU sollten ihre Backups so gestaltet haben, dass im Fall einer Cyber-Attacke der Angreifer keinen Zugriff auf diese Backups erlangen kann. Das kann zum Beispiel in Form einer offline Sicherungskopie auf einem Band und Tape geschehen. Aber auch Online-Backup-Verfahren können Ransomware-sicher gestaltet werden. Die Netzwerksegmentierung und Zwei-Faktor-Authentifizierung kann weiterhin dabei helfen, ungewollte Fernzugriffe einzuschränken sowie die Ausbreitung einer Schadsoftware im System zu begrenzen.
Eine geeignete Netzwerksegmentierung kann man sich am Beispiel eines Schiffes vorstellen: Dort gibt es bei einem Unfall verschiedene Sicherungsbereiche. Wenn das Schiff mit einem Eisberg kollidiert und Wasser in das Schiff läuft, sollten möglichst viele Schotten geschlossen sein, damit nicht das ganze Schiff sinkt, sondern nur ein kleiner Teil mit Wasser vollläuft. Mithilfe des offline Backups werden die Daten innerhalb einer separaten Kammer gesichert und gegen das eindringende Wasser geschützt.
Zum jetzigen Stand gehen wir davon aus, dass sich 2023 ähnlich entwickeln wird wie 2022. Wir hoffen natürlich, dass auch 2023 größere Kumul-Schadenfälle ausbleiben. Dennoch sollten massenhafte Schadenfälle weiterhin ein Thema auf der Agenda der Versicherer wie auch der Unternehmen sein.
it-daily: Vielen Dank, Frau Kimmerle!
