Im exklusiven Interview: Gisa Kimmerle, Head of Cyber bei Hiscox
Die Zahl der Cyberangriffe steigt – und das zum dritten Mal in Folge. All das ist in dem aktuellen Cyber Readiness Report 2023 nachzulesen. Unter den Opfern sind vor allem große Industrieunternehmen, aber auch vor KMU machen Angreifer nicht halt. Warum ist es vor allen Dingen für kleine Unternehmen so enorm wichtig, sich zu schützen?
Cyber-Angriffe stellen gemäß den Erkenntnissen des CRR 2023 nach wie vor das Unternehmensrisiko Nummer eins dar. Dies gilt über alle Branchen und Unternehmensgrößen hinweg. Dass Cyber-Attacken, insbesondere bei kleinen Unternehmen, existenzbedrohend sein können, ergibt sich vor allem aus der niedrigeren Finanzstärke sowie den vorhandenen finanziellen und personellen Ressourcen.
KMU sind oft nicht ausreichend auf Cyber-Angriffe vorbereitet. Es fehlt zum einen an Cyber-Resilienz, aber auch an Krisenplänen für den Ernstfall, Expertenunterstützung im Bereich der IT-Forensik, Know-how im Bereich der DSGVO-Anforderungen sowie Schutz vor Reputationsverlust durch geeignete Krisen-PR. Die Zahlen des Cyber Readiness Reports zeigen, dass zunehmend die ganz kleinen Unternehmen ins Fadenkreuz der Cyber-Kriminellen gerückt sind: Der Anteil der angegriffenen Unternehmen mit weniger als zehn Mitarbeitenden stieg um mehr als die Hälfte auf insgesamt 36 Prozent.
Es ist eigentlich kaum möglich – dennoch stelle ich die Frage für diejenigen, die von Hiscox Cyber Readiness Report noch nichts gehört haben mögen: Wie lange gibt es den Report? Und wer wird für die Erhebungen befragt?
Stimmt, das kann man schnell mal vergessen, da der Cyber Readiness Report jedes Jahr von der Nachrichtenagentur dpa, der FAZ, dem Handelsblatt und vielen weiteren Medien aufgegriffen wird. Aber auch bei so wichtigen Fachmedien wie der procontra genießt der Report eine große Bekanntheit.
Er liefert auch in diesem Jahr wieder ein aktuelles Bild der Cyber-Readiness von Organisationen und bietet eine Blaupause für Best Practices im Kampf gegen eine sich ständig weiterentwickelnde Bedrohung. Der Report basiert auf einer Umfrage unter 5.000 Führungskräften, Abteilungsleitern, IT-Managern und anderen wichtigen Entscheidern. Dabei handelt es sich dabei um eine repräsentative Auswahl von Unternehmen verschiedenster Größen und Branchen aus insgesamt acht Ländern: Belgien, Frankreich, Deutschland, die Niederlande, Spanien, Großbritannien, Irland und die USA. Das macht diesen Report zu einem der umfassendsten und meistbeachteten seiner Art.
Bereits seit sieben Jahren wird die Entwicklung der Gefahrenlage und der Readiness von Unternehmen verfolgt. Er ist keineswegs eine Befragung unserer Kunden, sondern eine repräsentative Erhebung, die belastbare Erkenntnisse zu den wichtigen Entwicklungen im Bereich Cyber-Kriminalität und Cyber-Resilienz bietet. Zusammen mit der Möglichkeit, diese im Laufe der Zeit zu vergleichen und Trends zu erkennen.
Der Report steckt voller Zahlen, Daten und Fakten, mit welchen wir den Markt unterstützen, indem wir unseren Kunden, Vermittlern und Partnern Einblick in diese Entwicklungen geben.
Die Arten von Cyberangriffen sind vielfältig – angefangen bei Ransomware-Attacken bis hin zu Zahlungsmittelbetrug. Welche Angriffsarten sind aus Ihrer Sicht am gefährlichsten?
Wir haben festgestellt, dass der Zahlungsmittelumleitungsbetrug, etwa durch Fingieren von Rechnungen, eine deutlich stärkere Rolle als im Vorjahr spielt. Auch Ransomware-Attacken sind nach wie vor sehr komplex und ernste Herausforderung für viele Unternehmen. Insbesondere wegen der sich schnell weiterentwickelnden Muster von Ransomware sind diese auch nicht leicht zu erkennen und zu stoppen.
Besonders gefährlich sind auch Supply-Chain-Angriffe, also Angriffe über Dienstleister auf deren Kunden. Dies sehen wir insbesondere bei IT- Dienstleistern, welche naturgemäß über Fernzugriffe auf die Systeme von Kunden verfügen. Diese Zugänge werden dann nach einem erfolgreichen Angriff auf den Dienstleister ausgenutzt, um auch dessen Kunden zu erreichen und zu attackieren. Vor allen Dingen aufgrund des Vertrauensverhältnisses, das Unternehmen mit ihren Dienstleistern besitzen, ist das oft sehr schwierig zu erkennen und zu verhindern.
Insgesamt eine gefährliche Entwicklung ist es, dass sich Cyber-Attacken immer mehr zum lukrativen Wirtschaftszweig entwickeln. Das führt dazu, dass sich einzelne Angreifer auf bestimmte Bereiche der kriminellen Wertschöpfungskette fokussieren und diese perfektionieren. Andere Teile können extern eingekauft werden, so ist beispielsweise Ransomware-as-a-Service ein weitverbreitetes Angebot im Darknet.
Deutschland hat einen Anstieg von Cyberangriffen zu verzeichnen – was heißt das genau für Unternehmen?
Die Zahl der Unternehmen, die mindestens einen Angriff erlitten haben, ist in den letzten Jahren stark gestiegen. Aktuell sind es in Deutschland 58 Prozent der Unternehmen, die angegriffen wurden – im Vorjahr waren das noch 46 Prozent. Hinzu kommt, dass auch die Anzahl der gesamten Angriffe von 6 auf 10 gestiegen ist.
Wichtig ist daher zu verstehen, dass es somit längst nicht mehr um die Frage geht, ob man als Unternehmen angegriffen wird, sondern nur noch wann. Dies bedingt eine grundsätzlich andere Herangehensweise für dieses Unternehmensrisiko. Es gilt daher – neben technischen und organisatorischen Maßnahmen zur Verhinderung einer Attacke – vor allem, den Angriff möglichst zeitnah zu erkennen, die Auswirkungen so klein wie möglich zu halten und auf den Ernstfall durch Expertenunterstützung, Krisenpläne und unveränderbare Datensicherungen bestmöglich vorbereitet zu sein.
Und was raten Sie jetzt Vermittlern, wie sie auf Ihre Kunden zugehen sollen? Welche konkreten Tipps haben Sie für die Beratung?
Das Risikobewusstsein auf der Seite des Kunden ist gestiegen, das bietet für Vermittler grade jetzt die Chance, um dieses so wichtige Thema anzusprechen. Wichtig ist aus unserer Erfahrung heraus, genau auf den Kunden einzugehen. Welchen Risiken ist er ausgesetzt? Was sind seine Bedürfnisse?
Für eine individuelle Absicherung bieten sich modular aufgebaute Cyber-Produkte der Versicherer an. Denn diese ermöglichen eine passgenaue Absicherung. Einwände von Kunden lassen sich in den meisten Fällen vor allem durch Fakten und Zahlen widerlegen, wie Sie beispielsweise sehr gut in Ihrem Artikel „6 gängige Missverständnisse und Fehleinschätzungen von KMU“ dargelegt haben.
Ich möchte noch einmal betonen: Vermittler sind extrem wichtige Berater, die ihre Unternehmens-Kunden über Cyber-Bedrohungen aufklären und sensibilisieren können. Das ist ein Grund, warum wir die Erkenntnisse unseres Cyber Readiness Reports auch mit den Vermittlern teilen und Ihnen darüber hinaus Infomaterialien zum Thema und vieles mehr erstellen.
Mehr Cyber-Resilienz bedeutet mehr Digital Trust… Was genau verbirgt sich hinter diesem Satz?
Digital Trust bedingt das Vertrauen auf Datensicherheit und die Verfügbarkeit von Dienstleistungen von Dritten. Ziel muss es sein, in einer Welt zu leben, in der man sich generell vertrauen kann. Eine digitale Welt, in der der Umgang mit unterschiedlichen Daten den Grundsätzen der Informationssicherheit entspricht. Das beinhaltet: Integrität, Vertraulichkeit und Verfügbarkeit.
Da Cybergefahren als Unternehmensrisiko Nr. 1 bewertet werden, sollte Digital Trust vor allem dieses Element umfassen. Denn Vertrauen kann nur da aufgebaut werden, wo Partner ein hohes Maß an Resilienz gegen Cyber-Angriffe aufbauen, um Daten, Prozesse und Wertschöpfungsketten möglichst vor Störungen durch Cyber-Kriminelle zu bewahren. Dies gilt umso mehr, wenn es sich um sensible Daten oder um kritische Wertschöpfungsketten handelt.
Der aktuelle Cyber Readiness Report zeigt jedoch, wie schlecht es derzeit um das Thema Digital Trust bestellt ist: Er bewertet ja jedes Jahr die Unternehmen und unterteilt diese in: Cyber-Experten, -Fortgeschrittene und -Anfänger. Das alles basiert auf der Selbstein-schätzung, für wie Cyber-resilient sich Unternehmen selbst halten, also auch aufgrund ihres Levels beim Patch-Management, Offline-Sicherung, Online-Zugangskontrollen etc.
Bis 2021 ist die Zahl der Cyber-Experten stetig gestiegen – um ab 2022 rapide zu sinken.
Der Hintergrund: Die Unternehmen sind angesichts der neuen Gefahren wie Kumulschäden, Hacks wegen geopolitischer Konflikte oder ganz neuer Bedrohungen, wie beispielsweise Spear Phishing, die Unternehmen stark verunsichert sind. Und wie sollen den Unternehmens seitens ihrer Kunden Vertrauen entgegengebracht werden, wenn sie nicht einmal selbst darauf vertrauen, wirklich cyber-resilient zu sein?
Wie wird sich die Lage in Zukunft bewegen – auf was müssen sich Unternehmen, und somit auch Vermittler – einstellen?
Es ist wichtig zu verstehen – und auch zu akzeptieren, dass Cyberangriffe als Unternehmensrisiko kein vorübergehendes Phänomen sind, sondern eine neue Realität darstellen. Je schneller sich Unternehmen an diese neue Realität anpasst und je stärker deren Cyber-Resilienz ausgebaut wird, desto besser werden sie in der Lage sein, sich in dieser neuen Realität zu behaupten.
Aus unserer Sicht wird Cybersicherheit auch zu einem entscheidenden Faktor für Unternehmen werden, um sich gegen Wettbewerber durchzusetzen. Für Vermittler gilt es, Unternehmen in diesem Prozess zu begleiten und hinsichtlich eines geeigneten Versicherungsschutzes zu beraten und zu unterstützen. Denn wir erwarten auch in Zukunft eine hohe Dynamik in der weiteren Entwicklung der Gefahrenlage und der Risikosituation für Kunden. Und das wiederum erfordert auch ein weiterhin hohes Maß an Flexibilität und Anpassungsfähigkeit von Versicherern, Vermittlern und Kunden.