Home » News » Security Management » Kommentar: Warum eine Cyberversicherung nicht von bestmöglichem Schutz entbindet

Kommentar: Warum eine Cyberversicherung nicht von bestmöglichem Schutz entbindet

Seit den Ursprüngen der Cybersicherheit besteht ein ständiger Henne- und Ei-Konflikt zwischen Compliance und Cybersicherheit. Es geht in dieser Auseinandersetzung wiederkehrend darum, wer zuerst und mehr Aufmerksamkeit erhält. Die meisten Unternehmen neigen dazu, erst dann zu handeln, wenn sie Opfer eines Sicherheitsverstoßes durch Cyberkriminelle wurden. Andere reagieren erst dann, wenn Geldstrafen aufgrund von Compliance-Verstößen ihre Geschäftsentwicklung bedrohen.

3 Min. Lesezeit
Foto: ©AdobeStock/pickup

Die Notwendigkeit einer automatischen Erkennung von Sicherheitsrisiken, welche die Reaktionszeit auf Infiltrationen und Cyber-Angriffe verkürzen würde, scheint weniger wichtig zu sein als der Abschluss einer Cyberversicherung. Schadensdeckung vor Schadensvermeidung – ein Kalkül, das in der Praxis nicht aufgehen kann.

Seit den Ursprüngen der Cybersicherheit besteht ein ständiger Henne- und Ei-Konflikt zwischen Compliance und Cybersicherheit. Es geht in dieser Auseinandersetzung wiederkehrend darum, wer zuerst und mehr Aufmerksamkeit erhält. Die meisten Unternehmen neigen dazu, erst dann zu handeln, wenn sie Opfer eines Sicherheitsverstoßes durch Cyberkriminelle wurden. Andere reagieren erst dann, wenn Geldstrafen aufgrund von Compliance-Verstößen ihre Geschäftsentwicklung bedrohen. In Wirklichkeit sind beide Bereiche miteinander verbunden und oft ist die Einhaltung von Vorschriften erforderlich, um die Bemühungen im Bereich der Cybersicherheit zu unterstützen. Gleichzeitig wird mehr Budget benötigt, um mit der sich ständig wandelnden Cyber-Bedrohungslandschaft und dem zunehmenden IT-Sprawl, also der unüberschaubaren Einführung von immer mehr IT-Geräten, -Komponenten, Software und Schnittstellen Schritt zu halten. Letztendlich ist es doch eine Mischung aus Menschen, Prozessen und Technologien (PPT), die Unternehmen vor Cyberangriffen schützt, nicht die bloße Einhaltung von Vorschriften. Noch schlimmer ist, dass die meisten Unternehmen im Bereich kritischer Infrastrukturen wie Transport, Gesundheitswesen, Lebensmittel und Energie nicht nur von Cyberkriminellen bedroht sind, sondern auch von nationalstaatlichen oder zumindest von ihnen unterstützten Akteuren.

Trotz des Risikos ständiger Cyberangriffe und der täglich zunehmenden Bedrohungen steuern viele IT- und OT-Sicherheitsexperten in DACH ihre Sicherheitstools bis zu einem gewissen Grad manuell. Die Ergebnisse einer aktuellen Umfrage des Marktforschungsunternehmens Censuswide unter 651 IT-Sicherheitsexperten in der DACH-Region zeigen, dass weniger als die Hälfte der Unternehmen über eine automatisierte IT-Sicherheitssoftware zur Erkennung von APTs verfügen, die als die gefährlichsten Gruppen identifiziert wurden und oft von staatlichen Akteuren unterstützt werden. Im Gegenteil, 43 Prozent dieser Unternehmen suchen manuell nach verdächtigem Verhalten durch vordefinierte Warnungen. Der Grund dafür könnte ein Mangel an finanziellen Mitteln sein, aber es mutet seltsam an, dass in der Befragung mehr als 66 Prozent der Befragten angaben, dass ihre Unternehmen über eine Cyber-Versicherung verfügen, von denen jedoch nur 51 Prozent eine Cyber-Versicherung gegen Sicherheitsvorfälle haben, die von Bedrohungsakteuren wie APT-Gruppen verursacht wurden oder aber als Cyber-Warfare betrachtet werden könnten.

Transparenz und Automatisierung als wesentliche Schutzstrategien

Die Notwendigkeit einer automatischen Erkennung von Sicherheitsrisiken, die die Reaktionszeit auf Infiltrationen und Cyber-Angriffe verkürzen würde, scheint weniger wichtig zu sein als der Abschluss einer Cyber-Versicherung. Dieses Ergebnis deutet darauf hin, dass die Deckung potenzieller Schäden wichtiger zu sein scheint als die Schadensvermeidung zuvor. Diese Schlussfolgerung passt auch zu dem eingangs erwähnten Bild des Konflikts zwischen Cybersicherheit und Compliance. Die Mehrheit der befragten Experten gab an, dass sie derzeit dabei sind, zusätzliche technische und organisatorische Maßnahmen zu ergreifen, um im Falle von KRITIS-Betreibern mit den neuesten Vorschriften wie dem IT-Sicherheitsgesetz 2.0 oder im Falle von Krankenhäusern für B3S konform zu sein.

Das Problem bleibt jedoch bestehen: Man kann nur das schützen, was man auch sehen kann. Solange es darum geht, ein potenzielles Chaos zu bereinigen und den Strafverfolgungsbehörden zu zeigen, dass das Unternehmen die Vorschriften eingehalten hat, werden diese Themen nicht angegangen werden. Führungskräfte müssen verstehen, dass die Einhaltung von Vorschriften und der Abschluss von Cyberversicherungen nicht vor einem Sicherheitsvorfall schützen, sondern dass es der Fähigkeiten von Menschen, funktionierenden Prozessen und innovativen Technologien bedarf, um das Unternehmen vor Cyberangriffen zu bewahren. Transparenz ist der Schlüssel zum Schutz der verschiedenen IT-, OT-, IoT- und IomT-Umgebungen. Zu wissen – um welche Assets es sich handelt, wie viele es sind, wo sie sich befinden, wie sie sich verhalten, wie wichtig sie sind und ob sie in irgendeiner Weise verwundbar sind – das alles sind Fragen, auf die letztlich alle Organisationen Antworten finden müssen.

 

 

Foto: Armis

Mirko Bulles, Director Technical Account Management EMEA/APAC bei Armis

 

Andere interessante News

BSI aktualisiert Handbuch „Management von Cyber-Risiken“

Cyber-Sicherheit für das Management: Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat das Handbuch „Management von Cyber-Risiken" umfassend aktualisiert. Cyber-Angriffe auf Unternehmen sind an der Tagesordnung, die Bedrohungslage ist so hoch wie nie zuvor. Unternehmensleitungen müssen sich dessen bewusst sein und Cyber-Sicherheit zu einem festen Bestandteil des Risikomanagements machen.

Totgeglaubte leben länger: USB-Wurm ist wieder da

Die altbekannte Methode, einen USB-Stick mit Schadsoftware auf Parkplätzen auszulegen, ist zurück. Die neue Version verbreitet sich also wie ehemals über USB-Laufwerke, nutzt jetzt aber eine legitime ausführbare Datei, die sie nach dem Einstecken in einen USB-Port sofort in das Zielnetzwerk einschleust. Der Wurm trat jetzt erstmals im August 2022 in Papua-Neuguinea auf und breitet sich seitdem immer weiter aus.

Bitkom: Data Act braucht dringend Nachbesserungen

Das europäische Parlament hat das Datengesetz (Data Act) verabschiedet. Mit dem Data Act soll unter anderem der Datenaustausch zwischen Unternehmen und von Unternehmen an die öffentliche Hand vorangebracht werden. Er soll die Innovation fördern, indem Barrieren, die den Zugang zu industriellen Daten versperren, entfernt werden. Der Bitkom-Verband hält das neue Gesetz für zu schwammig und an vielen Stellen nicht zielführend.