Cybersecurity: Wie auf neue Bedrohungen reagieren?
(kunid) Ziel müsse es sein, das Geschäftsmodell der Kriminellen zu zerstören. Bis dahin müssten Unternehmen aber nicht nur auf Prävention achten, sondern auch auf ihre Verteidigungsfähigkeit. Und eine Cyberversicherung schützt nicht vor Schaden, sondern nur die Bilanz.
Beim Insurance Forum Austria Mitte April durfte das Thema Cyber-Security nicht fehlen. Immerhin sei es derzeit das höchstbewertete Risiko, wie Moderator Sebastian Böhme-Schwarzfeld, Senior Manager beim Beratungsunternehmen EY, betonte.
Unter dem Titel „Cyber: aktuelle Bedrohungsszenarien“ diskutierten mit ihm Ulrich Fleck, CEO des Cyber-Security-Beraters Certainity, Stefan Schubert, Chief Information Security Officer der VBV-Gruppe, sowie Vera Steiner, Head of Product Management Security bei A1 Digital.
Geldströme unterbinden
Steiner verwies eingangs darauf, dass im letzten Jahr jedes Unternehmen in Österreich einen Cyberangriff erlebt habe. Und bis 2025 werde ein weiterer Anstieg der Cyberkriminalität um 30 Prozent erwartet, wobei es mehr und mehr auch um Cloudsicherheit gehe.
Cyberkriminalität habe sich inzwischen zu einem Business entwickelt, so Schubert. So könnten Angreifer sowohl Zugangsdaten als auch Ransomware von spezialisierten Anbietern erwerben und müssten nichts mehr selbst erfinden.
Steiner erwartet in diesem Zusammenhang, dass künstliche Intelligenz (AI) den Angreifern mehr bringen werde als den Verteidigern. Und Fleck rechnet damit, dass AI die Technologie schneller machen werde.
Es sei deshalb wichtig, das Geschäftsmodell der Kriminellen zu zerstören. Dafür müsse man die Geldströme unterbinden, was aber nur supernational funktioniere. Denn, so Schubert: „Wo viel Geld ist, wird immer eine technische Lösung gefunden werden.“
Es geht auch um die Verteidigungsfähigkeit
Es gehe mittlerweile aber nicht mehr nur um Prävention, erklärt Fleck. Wichtig sei es, auf die Verteidigungsfähigkeit zu schauen. Man müsse sich die Frage stellen: „Welche Werkzeuge habe ich, um mich zu wehren?“ Zu diesen Werkzeugen würden auch Backups gehören.
Problem sei, dass Verteidigungsfähigkeit und Backups in vielen Unternehmen zwar existieren, aber nie getestet werden, ergänzt Schubert.
Häufig seien Unternehmen auch mit anderen Anforderungen überfordert, so Fleck. Es sei daher notwendig, Incentives für Cyber-Security zu schaffen, sonst „passiert nichts“. Und man müsse auch die Softwarehersteller in die Pflicht nehmen.
Auch wenn Firmen mittlerweile gut vorbereitet sind, werde immer etwas durchkommen, fürchtet Schubert. Man solle sich deshalb auf „Detection und Response“ (Erkennen einer Bedrohung und Reaktion darauf) konzentrieren.
Cyberversicherung schützt nicht vor Schaden
Cyber-Versicherungsprodukte seien noch nicht so weit verbreitet wie Haftpflicht- oder D&O-Versicherungen, sagt Fleck. Die Komplexität der Produkte steige und mit ihr die Prämienhöhen. Und er warnt: Eine Cyberversicherung schützt nicht vor Schaden, sondern nur die Bilanz.
So würden in zwei Dritteln aller Fälle Unternehmen nach einem Ransomware-Angriff IT-Mitarbeiter verlieren. Auch dauere es meist lang, bis Versicherer zahlen. Und das, obwohl Unternehmen in dieser Situation schnell Geld brauchen.
Schließlich verweist Fleck auch noch auf den Cyber Resilience Act der EU, der Käufer und Verwender von Produkten mit einer digitalen Komponente schützt. Für Produkthersteller und In-Verkehr-Bringer besteht demnach eine Produkthaftung, beispielsweise auch für Updates.