Interview mit Ole Sieverding, Underwriting Manager Cyber bei Hiscox

Ole Sieverding

Herr Sieverding, Sie sind Experte für Cyber-Versicherungen beim Spezialversicherer Hiscox. Dieses Jahr ist bisher wahrscheinlich völlig anders verlaufen, als Sie es in Ihrem Fachbereich prognostiziert hatten. Was waren 2020 bislang die größten Herausforderungen in Bezug auf die Cyber-Sicherheit Ihrer Kunden?

Das stimmt, ein Jahr wie dieses habe ich so noch nicht erlebt. An unserem Versprechen für Geschäftskunden ändert das natürlich nichts. Wir haben uns auf die Fahne geschrieben, digitale Risiken in einer vernetzten Welt für Unternehmen beherrschbar zu machen. Absolute IT-Sicherheit gibt es nicht, deshalb muss es IT-Entscheidern darum gehen, mögliche Gefahren und Schadenpotentiale früh zu erkennen, um aktiv damit umzugehen. Die größte Herausforderung ist es, eine abstrakte Gefahr greifbar und verständlich zu erklären. Die Verantwortung für IT-Sicherheit und Datenschutz lässt sich nicht auslagern. Beispielsweise Ärzte, Selbstständige und Mittelständler müssen die Dringlichkeit von Cyber-Gefahren für sich verstehen und sich fortlaufend mit dem Thema Abwehr und Sicherheit auseinandersetzen. Das geht auch ohne hausinterne IT-Abteilung oder eigene spezialisierte Krisenmanager. Die eigene Überforderung mit einer Cyber-Attacke wird leider noch zu oft erst dann festgestellt, wenn der Schaden bereits eingetreten ist. Unser Ziel ist es daher, Unternehmen dabei zu unterstützen, bereits vorher aktiv zu werden, um vorbereitet zu sein – die Prävention spielt eine Schlüsselrolle.

Hat denn die Corona-Krise konkret etwas an den IT-Gefahren für Unternehmen geändert?

Zunächst hat die aktuelle Situation für jeden von uns direkt erlebbar gemacht, was „Krise“ bedeutet. Darauf lässt sich gut aufbauen, insbesondere was die Notfallplanung und Geschäftsfortführung in Krisenzeiten angeht. Positiv ist auch, dass das Thema Cyber-Security jetzt mehr Aufmerksamkeit bekommen hat. Bisher mussten wir hier viel mehr Überzeugungsarbeit leisten. Nun ist allen Unternehmen klar: Die Digitalisierung lässt sich nicht aufhalten und kommt in immer größeren Schritten. Das hat viele Vorteile, wie die gesicherte Erreichbarkeit per Online-Shop oder im Home Office, birgt allerdings auch neue Gefahren. Die Abhängigkeit vom Funktionieren des eigenen IT-Systems steigt rapide an.

Die fast flächendeckende Nutzung von Home Office vergrößert die Angriffsfläche des Unternehmensnetzwerks für Hacker und gerade in den aktuellen Zeiten der Unsicherheit und des gewachsenen Informations-Bedarfs haben Cyber-Kriminelle z.B. mit Phishing-Attacken ein umso leichteres Spiel. Leider beobachten wir weiterhin, dass viele Entscheider nicht wahr haben wollen, dass ihr Unternehmen dem typischen Suchprofil der Hacker entspricht. Dem liegt derDenkfehler zugrunde, Hacker suchten nicht nur nach großen Fischen, sondern nach leichter Beute. Dabei gehen sie gerade auch bei kleinen und mittelgroßen Unternehmen immer professioneller und zielgerichteter vor.

Was wäre ein typisches Beispiel, wie Hacker heute vorgehen?

Den größten Anteil in unserer Schadenpraxis machen Attacken mit Verschlüsselungstrojanern aus. Dabei verschaffen sich die Angreifer zunächst – meist über ein normales Mitarbeiterkonto – aus der Ferne Zugriff zum IT-System. Allerdings legen sie dann immer häufiger nicht mehr direkt mit der Datenverschlüsselung los, sondern kundschaften über einen längeren Zeitraum unbemerkt das IT-System aus und erarbeiten sich möglichst viele Rechte und Zugänge. Meist bewegen sie sich am Ende wie ein Systemadministrator im Netzwerk. Das ist vergleichbar mit einem Hausmeister, der über seinen Schlüsselbund Zugang zu allen Räumen bzw. Servern hat. So kann der perfekte Zeitpunkt abgewartet werden, um den größtmöglichen Schaden anzurichten, also um die meisten Daten und Systeme – oft inklusive laufender Datensicherung – zu verschlüsseln. Schwarze Bildschirme und der unmögliche Zugriff auf das eigene IT-System verbunden mit einer Lösegeldforderung lässt die Unternehmen den Angriff meist erst dann bemerken, wenn es bereits zu spät ist. Neben massiven Einschränkungen des Geschäftsprozesses sind durch den fremden Zugriff vor allem auch datenschutzrechtliche Aspekte zu beachten, die solche Fälle zunehmend komplexer machen je länger die Angreifer im System sind. Deshalb sollten sich Unternehmen vorab Gedanken machen und Maßnahmen ergreifen, um mit solchen Szenarien umzugehen.

Gibt es typische Opfer von Hackern? Sind zahlungskräftige Großkonzerne nicht am interessantesten, wenn es um professionelle Cyber-Attackengeht?

Jeder, der elektronisch Daten verarbeitet und über einen Internetanschluss verfügt, kann schnell ein potenzielles Opfer werden. Schadprogramme oder Phishing-Mails unterscheiden nicht nach dem Jahresumsatz des Unternehmens. Die Angreifer schauen eher nach niedrigen Einstiegshürden, weswegen schlecht geschützte Unternehmen besonders gefährdet sind.

Um ein typisches Schadenbeispiel zu nennen: Relativ zu Beginn der aktuellen Corona-Krise hatten wir einen Schadenfall bei einem mittelständischen Lagerbetrieb mit ca. 80 Mitarbeitern. An einem Samstag ging plötzlich nichts mehr, keine Mails, kein Zugriff auf Bestellung oder Rechnungen. Alles verschlüsselt. Der Angreifer war über den kompromittierten Rechner eines Mitarbeiters ins System gelangt, der aus dem Home Office gearbeitet hatte. Neben der erhöhten Angriffsfläche des Unternehmensnetzwerks durch die Arbeit von Zuhause stellt vor allem Credential-Phishing, also der Versuch, durch täuschend echte simulierte Geschäftsvorfälle Anmeldedaten von Mitarbeitern zu bekommen, momentan eine erhöhte Gefahr dar.

Warum stellt das Arbeiten aus dem Home Office Unternehmen vor so große Sicherheits-Herausforderungen?

Es besteht die Gefahr, dass im Zeitdruck der Krise zunächst der volle Fokus auf einen einfacheren und schnellen Zugang auf das Unternehmensnetzwerk bzw. auf eine gute Verfügbarkeit und Performance der IT-Systeme bei erhöhten Zugriffsraten gelegt wird. Dabei ist es genauso wichtig, auch auf die Integrität und Vertraulichkeit zu achten. Dass eben nur echte Mitarbeiter mit einem berechtigen Interesse auf bestimmte Anwendungen und Dateien zugreifen können.

Welche Schritte sollten Entscheider ergreifen, um ihr Unternehmen rundum sturmfest zu machen für die drohenden Cyber-Gefahren?

Die Corona-Krise ist auch ein Stresstest für die IT-Abteilungen, denn binnen kurzer Zeit öffneten sich neue Einfallstore. Es gibt drei Punkte, auf die Unternehmen in puncto Cyber-Sicherheitbesonderes Augenmerk legen sollten:

Für ein sicheres Arbeiten ist es wichtig, nur von der eigenen IT freigegebene Anwendungen zuzulassen und alle ergriffenen Sicherheitsmaßen regelmäßig auf Aktualität und Vollständigkeit zu prüfen. Der Zugang zu Unternehmensdaten insbesondere per Fernzugriff aus dem Home Office sollte immer mit einer geeigneten Verschlüsselung und einer Multifaktorauthentifizierung abgesichert sein. Die dazu verwendete Software insbesondere auch das Betriebssystem, der Virenschutz ebenso wie die Firewall sollten auf jedem Gerät durch Sicherheitspatches auf dem aktuellen Stand gehalten werden. Ebenso ist auch eine  durchdachte Datensicherungsstrategie von größter Wichtigkeit. Wie wird sichergestellt, dass diese im Ernstfall auch wirklich funktioniert? Für solche Szenarien ist es unerlässlich, einen Notfallplan inkl. eines Plans zur temporären analogen Geschäftsfortführung parat zu haben.  Ebenso sollte der Wiederanlauf des gesamten eigenen IT-Systems durchdacht und bestenfalls schon mal erprobt sein.

Außerdem kommt der Sensibilisierung der Mitarbeiter eine besondere Wichtigkeit zu. Da Angreifer vermehrt den Menschen als schwächstes Glied identifiziert haben, ist es entscheidend, alle Nutzer auf den Umgang mit gängigen Hacker-Methoden vorzubereiten. Hier empfehlen sich vor allem regelmäßige Web-basierte Trainings zur Erkennung und Abwehr von Phishing-Angriffen, Social Engineering sowie zum Festlegen sicherer Passwörter. Um hier auch selbst einen Beitrag zur Aufklärung zu leisten, bieten wir zu diesen Themen noch bis Ende Mai für jeden Interessierten kostenlos Trainingsvideos auf der Seite unserer Hiscox Business Academy www.hiscox.de/hba an.

Cyber-Risiken lassen sich trotz alledem nie vollständig ausschließen. Daher kann sich nach allen umgesetzten Sicherheitsvorkehrungen der Blick auf eine Cyber-Versicherung zur Absicherung des Restrisikos lohnen. Diese kann insbesondere auch durch passgenaue Assistance-Leistungen Unternehmen bei Ihrer ganzheitlichen IT-Sicherheitsstrategie unterstützen. Dabei sollte insbesondere Wert auf die angebotenen Präventionsleistungen wie ein individueller Krisenplan und Sicherheits-Trainings zur Sensibilisierung der Mitarbeiter sowie bei der Reaktion ein ständig verfügbares Expertennetzwerk aus erfahrenen IT-, Datenschutz- und PR-Spezialisten gelegt werden.