Ein Interview mit Gerrit Knichwitz, Geschäftsführer, und mit Thomas J. Ackermann, Head of Cyber Strategy, beim Cyber-/IT-Dienstleister Perseus Technologies GmbH
Herr Knichwitz, Perseus Technologies GmbH versteht sich als Unternehmen für Cybersicherheit. Nun ist es aktuell um etwaige Cyberattacken wieder etwas ruhiger geworden. Beobachten Sie denn nun in der Zeit seit Kriegsbeginn überhaupt mehr Cyberattacken?
GK: Man muss eine Differenzierung zwischen medialer Berichterstattung und tatsächlichem Cybergeschehen vornehmen. Zu Beginn des Krieges waren die Cyberberichterstattungen hoch im Kurs, da erstmalig ein Krieg auch im Cyberspace ausgefochten wird – nun klingen die Berichte vermeintlich etwas ab. Das kann verschiedene Gründe haben. Die Handlungen der zuständigen Institutionen lassen allerdings keineswegs auf ein geringeres Aufkommen von Cyberattacken schließen. So meldeten Montenegro, Estland und Finnland jüngst massive Hackerangriffe auf verschiedene Ministerien und auf kritische Infrastrukturen. Ebenso gab es Hackerangriffe auf deutsche Ziele, insbesondere Flughäfen, Websites der Bundesregierung sowie die Bundeswehr. Experten sehen demnach einen deutlichen Anstieg in der Quantität der Angriffe. Laut eigenen Angaben machen alle Regierungen russische Cyberkriminelle für diese Angriffe verantwortlich.
Wie schätzen Sie die aktuelle Situation hinsichtlich Cybergefahren ein?
GK: Die gegenwärtige Situation bleibt angespannt. Auch wenn die große Angriffswelle noch ausbleibt, kann sich das jederzeit ändern. Nach wie vor warnen wir vor Phishing-Angriffen und Distributed Denial-of-Service-Angriffen (DDoS). Auch muss man weiterhin wachsam sein für Propaganda und Falschmeldungen. Wir haben ein Zeitalter erreicht, in dem der Cyberraum auch zum Kriegsschauplatz wird. Politische und wirtschaftliche Unruhen werden von Cyberkriminellen grundsätzlich ausgenutzt und für ihre Zwecke instrumentalisiert. Cyberkriminelle agieren dabei sehr flexibel und äußerst schnell, daher ist von einer Entspannung der Lage nicht zu sprechen.
Cyberattacken unterliegen fortwährenden Veränderungen, Cyberkriminelle passen sich schnell an. Was bedeutet das für die Implementierung eines effektiven Cyberschutzes?
GK: Sie sprechen die Herausforderung direkt an. Cyberkriminelle agieren extrem dynamisch und variabel. Tagtäglich bekommen wir es mit neuen Schadprogrammen zu tun. Um das eigene Unternehmen nachhaltig schützen zu können, muss man stets wachsam sein und seine Schutzmaßnahmen kontinuierlich aktualisieren. Es reicht eben nicht, seine Belegschaft einmalig für Bedrohungen aus dem Internet zu sensibilisieren.
Es müssen nachhaltige Strukturen geschaffen werden, die Cybersicherheit dauerhaft in die Organisation integrieren. Die gute Nachricht ist, dass Soft- und Hardwarebetreiber in der Regel schnell auf identifizierte Sicherheitslücken reagieren, daher ist es besonders wichtig, aktuelle Sicherheitsupdates direkt zu installieren und dies nicht auf die lange Bank zu schieben. Nur so werden bestehende Schwachstellen geschlossen und der Zugang für Cyberkriminelle verwehrt oder zumindest erschwert.
Wir bei Perseus versuchen unsere Kundinnen und Kunden dahingehend zu unterstützen, indem wir aktuelle Gefahrenwarnungen versenden. Diese beinhalten konkrete Schritt-für-Schritt Handlungsanweisungen, wie bei bestehenden Bedrohungen vorzugehen ist und wie diese geschlossen werden können.
Wie gut sind denn Unternehmen wie Versicherer gegen Cyberattacken gewappnet?
GK: Weltweit sind derzeit rund 22% aller Cyberattacken gegen die Finanz- und Versicherungsbranche gerichtet, so der jüngste Threat Intelligence Index von IBM. Dieses enorme Risiko ist der Branche sehr bewusst und das erleben wir auch regelmäßig in Gesprächen mit unseren Kooperationspartnern aus der Finanzdienstleistungsbranche. Es gestaltet sich jedoch schwierig, von außen objektiv einzuschätzen, inwiefern Versicherer gegen Cyberattacken tatsächlich gewappnet sind. Auf der einen Seite ist es zwar seit jeher die Aufgabe von Versicherern, Risiken zu erkennen, zu managen und zu mitigieren. Auf der anderen Seite stehen Versicherer ohne Zweifel vor großen Herausforderungen, sich dauerhaft gegen das sehr dynamische Cyberrisiko-Umfeld geeignet zu schützen.
Herr Ackermann, wo bestehen Ihrer Meinung nach noch die größten Sicherheitslücken und wie können diese behoben werden?
TA: Ganz allgemein gesprochen besteht die größte Lücke darin, Cyberrisiken überhaupt zu erkennen und diese dann zu bewerten. Das stellt Versicherungsunternehmen, aber vor allem auch Versicherungsnehmer vor Herausforderungen. Aus Unternehmenssicht werden Lücken oftmals nicht erkannt oder nicht als solche identifiziert. Das geschieht gar nicht bös- oder mutwillig. Häufig mangelt es einfach an dem nötigen Wissen und Verständnis, um Cyberrisiken zu erkennen. Darüber hinaus fehlt es im Cybernotfall auch am Bewusstsein, ob die bestehende Lücke überhaupt relevant für das eigene Unternehmen ist. Das führt dazu, dass im Ernstfall falsch, verzögert oder auch gar nicht reagiert wird.
Für Versicherungsunternehmen stellt die Bewertung von Cyberrisiken ebenfalls ein großes Problem dar. Auch hier kann – aufgrund fehlender Informationen und Daten – das Risikopotenzial nicht vollständig eingeschätzt werden, was eine Bestimmung der Prämie erschwert. In einem Cybernotfall, wie beispielsweise der Log4j-Lücke Ende 2021, ist dadurch eine Analyse, wie viele und welche Unternehmen von dieser Schwachstelle betroffen sind, nicht möglich.
Perseus bietet präventive Mitarbeiter-Schulungen gegen Cyberangriffe für Firmen an. Ist der Mensch beim Thema Cybersicherheit also das größte Risiko?
GK: Ja und nein. Es stimmt, dass viele Cyberangriffe aufgrund von menschlichen Fehlern passieren. Doch sehen wir die Mitarbeiterinnen und Mitarbeiter eines Unternehmens eher als den besten Schutzschild gegen potenzielle Angriffe. Und diesen Schild gilt es zu stärken – zum Beispiel mit unserem Präventionsangebot. Nur durch kontinuierliche Sensibilisierung sind Mitarbeiterinnen und Mitarbeiter in der Lage, die Angriffsmethoden von Cyberkriminellen zu durchschauen und Cyberangriffe abzuwehren. So sollten Unternehmen das ebenfalls sehen. Mit diesen von Ihnen angesprochenen präventiven Maßnahmen, investieren Unternehmen in eine starke Abwehr und somit in den Erfolg des Unternehmens. Eine gelebtes Cyberbewusstsein im Unternehmen ist ein echter Erfolgsfaktor.
Der Aufbau eines effektiven Cybersicherheitssystems erfordert umfangreiche IT-Kenntnisse. Wie steht es denn um das Fachkräfteangebot in diesem Berufszweig?
TA: Wie in so vielen Bereichen besteht auch im IT-Sicherheitsbereich ein Fachkräftemangel. Umso wichtiger ist es, dass Unternehmen auch einen Teil der Verantwortung übernehmen, IT-Sicherheit priorisieren und somit die Arbeit der IT-Dienstleister erleichtern. Sprich: den Anweisungen und Empfehlungen der Experten folgen und diese strikt umsetzen. Updates umgehend installieren, Passwort-Manager einsetzen, Admin-Zugänge beschränken und Berechtigungen nur dort ermöglichen, wo sie auch gebraucht werden.
Der Mangel an qualifizierten IT-Fachkräften kann in Zukunft zu Problemen führen und uns vor massive Herausforderungen stellen. Um dieser Entwicklung entgegenzuwirken, sollte der Nachwuchs gefördert werden, zum Beispiel durch Unterstützungsprogramme und Investitionen in die Aus- und Weiterbildung in den entsprechenden Branchen und Bereichen. So wird langfristig sichergestellt, dass auch die Cyberrisiken von morgen bekämpft werden. Hier steht unter anderem auch die Politik in der Verantwortung.
Umgekehrt erschwert die Komplexität von Cyberrisiken auch ihre Versicherbarkeit. Daher ist nicht nur mit steigenden Deckungssummen, sondern auch mit höheren Prämien zu rechnen. Wie gehen die Versicherer damit gegenwärtig um?
GK: Die Nachfrage nach einer Cyberversicherung ist in den letzten Jahren deutlich gestiegen – laut GDV um mehr als das Dreifache seit 2018. Jedoch nehmen auf der anderen Seite Schadenereignisse im Cyberumfeld zu. Der Bitkom hat erhoben, dass Cyberattacken 2020/2021 einen Schaden in Höhe von 223 Mrd. Euro in Deutschland verursacht haben. Damit hat sich die Summe seit dem letzten Betrachtungszeitraum 2018/2019 mehr als verdoppelt. Die deutschen Cyberversicherer haben 2021 daher erstmals Verluste gemacht. Es standen jedem eingenommenen Euro in der Sparte Ausgaben für Schäden und Verwaltung von 1,24 Euro gegenüber.
Nun stehen wir teilweise vor dem Problem, dass Cyberversicherer vorsichtiger werden und die Nachfrage das Angebot übersteigt. Wie Sie eingehend erwähnt haben, bleibt für Versicherungsunternehmen vermeintlich nichts anderes übrig, als entweder Prämien zu heben oder Anträge abzulehnen und Unternehmen nicht zu versichern. Beides sind für alle Beteiligten nicht zufriedenstellende Lösungen.
Und wie geht Perseus mit dieser Situation um?
GK: Wir sehen hier Lösungsansätze sowohl in der zuvor genannten Prävention aber auch in der Risikoanalyse und Risikobewertung von Cybergefahren. Eine eingehende Prüfung vor Versicherungsbeginn gibt Versicherungsunternehmen einen Einblick in die aktuelle IT-Sicherheitslage eines Unternehmens. Nur bei der Erreichung eines bestimmten Standards sollte eine Deckung gewährleistet werden. Für Unternehmen ermöglicht solch eine Untersuchung ebenfalls eine neutrale Analyse des Status-Quo mit konkreten Empfehlungen zur Steigerung des Sicherheitsniveaus.
Perseus bietet beispielsweise zwei unterschiedliche Arten des Risk Assessments an. Eine grundlegende Untersuchung – den Security Baseline Check – und eine tiefgehende Analyse – den Cyber Risiko Dialog. Beide geben Unternehmen Auskünfte über bestehende Lücken und gleichzeitig Handlungsempfehlungen, wie diese zu schließen sind. Geschieht dies, wird der Abschluss einer Cyberversicherung möglich bzw. wahrscheinlicher. Also eine Win-win-Situation für Unternehmen und Versicherer.
Inwiefern werden die gegenwärtigen Geschehnisse wie der Russland-Ukraine-Krieg den Markt für Cybersicherheit und Cyberdienstleistungen verändern?
TA: Die jüngsten Krisen haben gezeigt, dass der Cyberraum immer mehr zum Austragungsort von Konflikten wird. Cyberkriminelle bedienen sich der Krisensituationen und nutzen die Unsicherheit, die Ängste und die Sorgen von Menschen für ihre Zwecke aus. Es wird nur noch dynamischer. Bei dem bestehenden Konflikt zwischen Russland und der Ukraine stehen momentan eher große, internationale Unternehmen und Konzerne im Blickpunkt. Vor allem diese, die systemrelevante Produkte und Dienstleistungen erbringen. Trotzdem können natürlich auch kleinere und mittlere Unternehmen in den Fokus geraten – entweder durch Angriffe auf die Wertschöpfungskette oder durch großflächig angelegte Angriffe, wie zum Beispiel eine Welle von Phishing-Angriffen.
Bild: © Alex – stock.adobe.com
- Anmelden, um Kommentare verfassen zu können