„Im Mittelstand ist eine pragmatische Denkweise wichtig“
Von Sabine Reifenberger,Frankfurt
Wenn sich in diesen Tagen Sicherheitspolitiker aus aller Welt zur Münchner Sicherheitskonferenz treffen, dann geht es neben sicherheitspolitischen Herausforderungen und Verteidigungsfragen auch um Technik und Cybersicherheit. Die Konferenz versteht sich als Plattform für den Austausch gerade auch auf informeller Ebene, um gemeinsam Lösungen für die drängendsten Sicherheitsrisiken der Welt zu entwickeln.
Auch bei den Sicherheitsrisiken auf Unternehmensebene sind zunehmend gemeinsame Ansätze gefragt. Kaum ein Unternehmen wird von sich behaupten können, noch nie mit Ransomware, kompromittierten E-Mails oder gezielten Angriffen auf Lieferketten und Infrastruktur betroffen oder in Kontakt gekommen zu sein. Über solche Cyberangriffe zu sprechen ist allerdings oft noch ein Tabu. Dabei können Unternehmen ganz unterschiedlicher Größe und Branche bei diesem Thema viel voneinander lernen, ist Andreas Rohr, Geschäftsführer und CTO der Deutschen Cyber-Sicherheitsorganisation (DCSO), überzeugt. Der IT-Dienstleister DCSO wurde Ende 2015 von Allianz, BASF, Bayer und Volkswagen gegründet, um als Kompetenzzentrum für die deutsche Wirtschaft sowie als Schnittstelle zu den Behörden zu fungieren. Die DCSO ist als GmbH organisiert. Sie bietet zum einen Cybersicherheitsdienstleistungen, will für ihre Kunden aber auch einen geschützten, herstellerneutralen Raum zum Austausch und zur Zusammenarbeit in Fragen der Cybersicherheit bereitstellen.
An den Diskussionen nehmen Unternehmen ab 250 Mitarbeitern bis hin zum Dax-Konzern teil. Die DCSO sieht sich bei den Diskussionen als Moderator. An oberster Stelle müsse der Gedanke stehen, die Informationen zu den sensiblen Sicherheitsthemen offen zu teilen, ohne Scheu davor, dass dies von Wettbewerbern ausgenutzt werden könnte: „Die Diskussionsforen arbeiten vorwettbewerblich. Das Teilen von Problemen, Lösungen und von Informationen zu Cybergefahren ist ein Geben und Nehmen“, erklärt Rohr die Spielregeln. Der Vorteil aus seiner Sicht: „Man kann bewährte Vorgehensweisen teilen und muss nicht sämtliche Informationsströme selbst auswerten.“ So habe es nach den Angriffen über die Log4j-Schwachstelle Ende 2021, von der zahlreiche Unternehmen betroffen waren, binnen kürzester Zeit ein erstes Papier sowie Tools mit Reaktionsmöglichkeiten gegeben, die in der DCSO-Community geteilt wurden. „Oft hilft es den Sicherheitsverantwortlichen schon, dass sie ihrem Management als zusätzliche Einschätzung mitgeben können, wie Kolleginnen und Kollegen aus anderen Unternehmen eine Lage beurteilen“, sagt Rohr.
Auch wenn sich die Herausforderungen ähneln, ist die Lösungskompetenz in einem Konzern mit eigener Cybersicherheitsabteilung eine andere als bei einem Mittelständler. „Im Mittelstand ist es wichtig, in jedem Fall die Mindeststandards an IT-Hygiene einzuhalten und darüber hinaus eine pragmatische Denkweise an den Tag zu legen“, sagt Rohr. Das sei auch entscheidend für die Frage, wie gut sich Cybervorfälle versichern lassen. „Versicherer schauen darauf, ob die Systeme dem Stand der Technik entsprechen und ob das Unternehmen auch für den Fall vorgesorgt hat, dass ein Angriff erfolgreich ist“, erklärt Rohr. Gerade die Handlungsfähigkeit im Schadensfall sei entscheidend. „Von ihr hängt ab, wie gut sich ein Angriff und der dadurch entstehende Schaden eindämmen lassen.“ Bei begrenzten Ressourcen sollten Mittelständler sich daher auf diese kritischen Punkte fokussieren, rät er.
In den DCSO-Diskussionen steht zurzeit insbesondere die Sicherheit entlang von Lieferketten im Fokus. „Viele große Unternehmen sind besorgt, dass ihre Zulieferer Opfer von Attacken werden und die Lieferfähigkeit dadurch in Gefahr gerät“, beobachtet Rohr. „Wir hören auch oft, dass Großkonzerne gezielt für ihre Zulieferer den Austausch suchen, um Erfahrungen weitergeben zu können.“ Von Angriffen berichteten Diskussionsteilnehmer regelmäßig.
Diese Wahrnehmung bestätigen Daten des Versicherers Allianz Global Corporate Specialty (AGCS). Seinem aktuellen Cyberrisikobericht zufolge nehmen Angreifer gezielt die seit der Pandemie ohnehin schon unter Druck geratenen Lieferketten ins Visier, gerade kleine Zulieferer seien bedroht. Wird ein Zulieferer etwa durch eine Ransomware-Attacke lahmgelegt, kann dies weitreichende Folgen haben. Für den Versicherungsmarkt sei dies eine schwierige Entwicklung, räumt AGCS ein. Denn eine erfolgreiche Attacke auf einen Zulieferer könne Verluste bei einer Vielzahl von Unternehmen weltweit zur Folge haben.
Cyberversicherungen abzuschließen, die im Schadensfall einspringen, ist inzwischen ohnehin nicht mehr so leicht wie noch vor einigen Jahren. AGCS sagt dazu, als Reaktion auf „das komplexere Risikoumfeld und die zunehmende Zahl von Cyberschadensfällen“ arbeite die Versicherungsbranche daran, das Cyberrisikoprofil ihrer Kunden „besser einschätzen zu können und Anreize für Unternehmen zu schaffen, ihre Sicherheits- und Risikomanagementkontrollen zu verbessern“.
Rohr beobachtet, dass sich viele Versicherungen mit der Risikoeinschätzung schwertun und daher auf geteilte Lasten setzen: „Es gibt immer mehr Versicherer, die solche Risiken nur noch in Konsortien mittragen.“ Die Versicherer seien in der Vergangenheit sehr optimistisch gewesen, nun werde die Risikoaffinität neu ausjustiert.
Er hält es auch für möglich, dass manche Anbieter sich aus Cyberversicherungen ganz zurückziehen. Denn im Gegensatz zu anderen Versicherungsbereichen stoße man mit Kohortenstudien und statistischen Erhebungen bei der Bewertung von Cybervorfällen an Grenzen. „Die Schadensvolumina und die Rahmenbedingungen sind sehr individuell“, sagt Rohr. „Die Versicherungsbranche legt sich gerade selbst die Karten, wer was noch zu welchen Konditionen anbieten will.“
