• Umgang mit Cyberrisiken - ONLINE

Umgang mit Cyberrisiken - ONLINE

 

Rückblick
Am 24. November fand die zweite und letzte Fachveranstaltung des Netzwerks Risikomanagement im 2020 statt. Passend zum Thema wurde die Veranstaltung online durchgeführt. Das Interesse der 72 Teilnehmenden war gross. Kein Wunder, das Thema bleibt trotz (oder gerade wegen) Corona aktuell und brisant.

Die Referenten schauten aus unterschiedlichen Perspektiven auf das Thema:

Welche Rolle spielt der Staat? Pascal Lamia, Leiter Operative Cybersicherheit und Stellvertreter des Delegierten des Bundes für Cybersicherheit, stellt das «Triumvirat» zur Bekämpfung der Cyberrisiken auf Stufe Bund vor: Cyberdefence (zivile nachrichtendienstliche und militärischen Massnahmen), Cyberstrafverfolgung (Massnahmen der Polizei und der Staatsanwaltschaft von Bund und Kantonen) und schliesslich den neuen Bereich Cybersicherheit (National Cyber Security Centre NCSC; Massnahmen zur Prävention, Vorfallbewältigung und Resilienzaufbau). Letzterer existiert seit 1. Juli 2020 unter Leitung des Delegierten für Cyberrisiken, Florian Schütz. Die Herausforderungen sind beachtlich, vor allem wenn es um die interne und externe Koordination geht: Ein stark wachsendes Team mit neuen Verantwortlichkeiten und eine Vielzahl an nationalen und internationalen «Playern» müssen unter einen Hut gebracht werden, um eine Übersicht über die aktuelle Cyberlage zu erhalten, um noch wirksamer zu reagieren und um noch schneller und verständlicher – auch an die Öffentlichkeit – zu kommunizieren. Analysiert man Volumen und Art der Meldungen über Cyberdelikte, so setzt sich der Referenten inhaltlich vor allem das Ziel, die «beliebtesten» Opfer, die KMU, besser zu schützen bzw. zu unterstützen. Er macht jedoch auch klar: Trotz der flankierenden Massnahmen auf nationaler Ebene ist und bleibt das Management von Cyberrisiken Aufgabe der Geschäftsleitungen. Die Eigenverantwortung jedes Einzelnen ist gefragt.

Was kann man aus Schadensfällen lernen? Christian Peters, Bereichsleiter Special Risks beim Versicherungsbroker Kessler & Co AG, knüpft an dem Thema der Verantwortlichkeiten an: Die Aufsicht über das Risikomanagement und somit auch über den Umgang mit Cyberrisiken ist eine nichtübertragbare Pflicht des Verwaltungsrates. Zwangsläufig stellt sich somit bei jedem Versicherungsfall die Frage, was der Verwaltungsrat hätte wissen müssen und inwiefern er haftbar ist. Zu 90 % decken die Versicherungsleistungen übrigens den Eigenschaden der Unternehmen ab. Ansprüche Dritter nach Cybervorfällen sind finanziell betrachtet marginal. Ausserdem ist ein Trend zu kleineren Tranchen pro Schadensfall zu beobachten: mehrere «kleinere» Schäden statt wenigen sehr grossen Vorfällen. Immerhin jede vierte Police aus dem Kundportfolio des Referenten wird auch in Anspruch genommen. Das zeigt, dass die medienwirksamen Fälle wie bei Stadler Rail, Swatch oder Omya nur die Spitze des Eisberges sind. Am häufigsten werden Schadensfälle wegen Ransomware geltend gemacht: Sensible Daten werde verschlüsselt und die Erpresser drohen mit Veröffentlichung. Unabhängig von der Art der Attacke stellt der Experte fest: Cyberrisiken betreffen jeden, ein Schaden bedeutet immensen Zeit- und Kostenaufwand und eine gute Vorbereitung auf einen solchen Fall ist zentral. Und: Der Faktor Mensch, der Mitarbeitende, ist das schwächste Glied in der Kette und damit ein zentrales Erfolgselement. Apropos Cyber-Versicherungen: Ein wachsender Markt mit steigenden Prämien, allerdings nicht ohne Risiken für die Versicherer. Sie stehen vor der Aufgabe, ein Portfolio ohne ausreichende Erfahrungswerte auf Dauer profitabel zu bewirtschaften.

Was bedeutet Cyber-Resilienz für Unternehmen? Adrian Marti, Head of Cyber Security & Privacy bei der AWK Group AG, erklärt, dass Cyber-Resilienz Unternehmen im Gegensatz zu reinen Cyber Security Konzepten auch auf unvorhersehbare Ereignisse vorbereitet. Eine Studie bei mehr als 100 Entscheidungsträgern bringt Fakten: Für über 70 % der Befragten ist Cyber Security zumindest teilweise ein Differenzierungsmerkmal am Markt. Nur 20 % der befragten Unternehmen beurteilen hingegen ihre Cyber-Resilienz als ausreichend. Ein krasser Gegensatz, dem die Studie auf den Grund geht: Das Thema IT Architektur ist mit Abstand die grösste Hürde, die es zu bewältigen gilt. Doch die Herausforderungen liegen bei Weitem nicht nur im Unternehmen selbst: Cyber-Resilienz ohne Betrachtung der gesamten Wertschöpfungskette von Lieferanten bis zu den Kunden ist nicht mehr möglich. Das Bewusstsein ist da, die Umsetzung hinkt noch hinterher: Bei rund 40 % der Befragten liegt das «Third Party Risk Mangement» noch brach. Der Ausbau der Cloud Services verschärft die Lage weiter. Wer sich bisher noch keine Gedanken gemacht hat über das «wer darf was wo mit welchen Daten und wie schütze ich sie», muss sich beeilen – Technik, Anwender und Lieferanten bewegen sich schneller, als es so manchem Sicherheitsbeauftragten lieb sein sollte. Kein Wunder also, dass auch die Studie zum Schluss kommt, dass vor allem die IT und das Supply Chain Management den kurzfristigen Handlungsbedarf der Unternehmen bestimmen. Was aber, wenn es nun zu einem Angriff kommt? Die gute Nachricht ist, dass deutlich mehr als die Hälfte der Befragten Pläne in den Schubladen hat, wie der Betrieb wiederhergestellt werden kann. Geübt wird die Wiederherstellung hingegen nur selten. Das Business Continuity Management ist somit das dritte prioritäre Handlungsfeld für Cyber Resilience in unsicheren Zeiten.

In den Diskussionen kristallisierten sich vor allem drei Themen heraus: Der Einfluss der Corona Pandemie auf die Cyber-Lage, der Umgang mit Ransom-Attacken und die Bedeutung des Faktors Mensch im Umgang mit Cyber-Risiken. Zum ersten Thema belegen die Zahlen, dass es zum Höhepunkt der ersten Welle tatsächlich zu deutlich mehr Meldungen über Cybervorfällen kam. Home-Office zwang viele Unternehmen, kurzfristig neue technologische Möglichkeiten zur Verfügung zu stellen, die den «normalen» Sicherheitsanforderungen nicht mehr genügen konnten und die den Anwendern weitgehend unbekannt waren. Die Unternehmen müssen jetzt auch in diesem «neuen Normal» für ein ausreichendes Sicherheitslevel sorgen. Spannende Frage: Soll bzw. darf man Cybererpressern nachgeben? Was wiegt schwerer: Der Grundsatz, sich nicht erpressen zu lassen, oder rein wirtschaftliche Überlegungen, die möglicherweise zum Ergebnis kommen, dass die Lösegeldzahlung kostengünstiger ist? Bei einem waren sich die Referenten aber einig: Nach einem solchen Angriff einfach weiterzumachen wie bisher, ohne das Sicherheitsdispositiv ernsthaft zu überarbeiten, ist eine Einladung für die nächste Erpressung. Allen technischen Bedrohungen und Vorkehrungen zum Trotz: Die Wirksamkeit der Massnahmen gegen die Cyber-Risiken steht und fällt mit den beteiligten Menschen, den Mitarbeitenden. Nur, wenn das Bewusstsein für Sicherheitsbedürfnisse und Bedrohungen in den Köpfen verankert ist, können Risiken bewusst und qualifiziert in Kauf genommen werden.

Eigentlich eine beruhigende Tatsache, dass es noch nicht ohne uns Menschen geht!

Die Folien finden Sie nachfolgend im PDF zum Herunterladen:

Download-iconVortrag P. Lamia

Download-iconVortrag Ch. Peters

Download-iconVortrag A. Marti