N

IT-Sicherheit muss umfassend gedacht werden

IT-Sicherheit muss umfassend gedacht werden


Anders als etwa das Gesundheitswesen sind die Versicherer in der jüngeren Vergangenheit von größeren Cyberattacken verschont geblieben. Das sollte allerdings nicht zu einem trügerischen Gefühl der Sicherheit führen.

Allein in Deutschland hat sich der gesamtwirtschaftliche Schaden durch Cyberkriminalität in den vergangenen Jahren auf mehr als 100 Milliarden Euro verdoppelt, schätzt der Branchenverband Bitkom. Fast täglich führen Kriminelle Attacken gegen Versicherer und die Finanzindustrie aus. Bisher blieben sie aber von spektakulären Folgen verschont, wie sie etwa durch den Trojaner Emotet Ende des Jahres 2019 im Gesundheitswesen zu erkennen waren. Im Rahmen eines großen Angriffs wurden hier ganze Klinikverbünde vollständig lahmgelegt.

Angriffe gegen die Versicherungswirtschaft verliefen eher harmlos. Das darf aber nicht darüber hinwegtäuschen, dass die Bedrohungslage ernst ist. Und sie wird ernster, denn die Angreifer bedienen sich immer ausgefeilterer Strategien und raffinierter Technik. Zu diesem Schluss kommt auch die Europäische Aufsichtsbehörde für das Versicherungswesen und die betriebliche Altersversorgung (European Insurance and Occupational Pensions Authority – EIOPA) in ihrem Report „Cyber Risk for Insurers – Challenges and Opportunities“ aus dem Jahr 2019. Demgemäß macht der verstärkte Einsatz von Big Data und Cloud Computing die Versicherungswirtschaft anfälliger gegen Cyberattacken.

Compliance ist nur die Basis

Bei der Erstellung einer Sicherheitsstrategie konzentrieren sich viele Gesellschaften auf die Einhaltung der Regularien zur IT- und Datensicherheit, wie sie etwa die Bafin für die Finanz- und Versicherungswirtschaft definiert hat. Die europäische Harmonisierung beim Datenschutz (DSGVO) hat die Komplexität der Anforderungen erhöht.

Doch die Konzentration auf die Einhaltung der Compliance deckt längst nicht alle Aspekte von Cybersecurity ab. Denn die zunehmende Vernetzung und Digitalisierung in Wirtschaft und Gesellschaft schaffen neue Risiken, die vom Management berücksichtigt werden müssen.

Stichwort Haftung und Policen: Ein Unternehmen hat die eigene Infrastruktur nur unzureichend abgesichert. Kriminelle sind in die IT-Systeme eingedrungen und haben auf der Suche nach weiteren Informationen die Steuerung einer Produktionseinheit so verändert, dass es auf dem Firmengelände zu einer Explosion und einem Brand gekommen ist. Gegen den Schadensfall hat sich das Unternehmen versichert. Aber hat das Risikomanagement des Versicherers bereits eine Antwort auf den Schaden „Explosion als Folge einer Cyberattacke“?

Sich technisch auf Einfallstore wie Netzwerkanschlüsse, Firewalls oder Data-Loss-Prevention zu konzentrieren, genügt für eine moderne Sicherheitsstrategie nicht mehr. Durch die Digitalisierung von Serviceangeboten, die stärkere Vernetzung mit externen Partnern wie Fintechs oder die Anbindung von IoT-Sensoren oder Cloud-Diensten muss sich der Fokus vom eigenen Netzwerk in Richtung API, Daten- und Identitätsmanagement verschieben.

Resilienz – Management von Attacken, bevor sie geschehen

Zwischen Kriminellen und Unternehmen tobt ein regelrechter Wettkampf. Die Angreifer professionalisieren sich und nutzen inzwischen sogar KI-Systeme, um Schwachstellen in der Infrastruktur eines potenziellen Opfers zu ermitteln. Darauf antworten die Unternehmen durch den Einsatz von Security-Lösungen, die gleichfalls KI nutzen, um Anomalien im Netzwerkverkehr oder beim Einsatz eigener Systeme frühzeitig zu entdecken und zu reagieren.

Technische Maßnahmen und die Sensibilisierung von Mitarbeitern für Risiken bleiben unverzichtbar. Auf die Dauer schließen sie aber erfolgreiche Angriffsversuche nicht aus. Irgendwann hat ein Mitarbeiter doch ausversehen auf einen unbekannten Link geklickt. Oder plötzlich hält ein Trojaner, der von einer Sicherheitssoftware nicht erkannt wurde, Einzug in das Netzwerk.

Ein ganzheitlicher Sicherheitsansatz im Versicherungsunternehmen muss demzufolge auch die Cyber-Resilienz umfassen – die Widerstandsfähigkeit eines Betriebs gegenüber Cyberangriffen. Eine vorausschauende Security-Strategie und Architektur müssen im Falle einer akuten Attacke den möglichen Schaden so gut wie möglich begrenzen. Ein Angriff ist frühzeitig zu erkennen, die Verbreitung von Schadprogrammen zu stoppen und die Wiederherstellung der Systeme zu beginnen. Entscheidend dabei ist es, Prozesse und Systeme so auszurichten, dass die Organisation auch in einem solchen Krisenfall gut gesteuert wird und ihre Handlungsfähigkeit (sofern überhaupt) nur minimal einbüßt. Eine rein punktuelle Betrachtung einzelner Systeme oder Compliance genügt für die Schaffung von Resilienz nicht.

Security by Design und KI

Die Berücksichtigung der Regularien zur IT- und Datensicherheit sowie die Verabschiedung einer einheitlichen Sicherheitsstrategie sind für Versicherer essenziell. Die Vermeidung von Cyberrisiken ist aber auch eine Aufgabe für das Management und erfordert Umdenken und Weitsicht. Der Abwehr- und Sicherheitsgedanke muss in jedem neuen (IT-)Projekt und jeder App-Entwicklung Einzug halten. Das gilt gerade auch bei KI- und Cloud-Projekten, deren Basis ein ungehinderter Datenaustausch zwischen verschiedenen Systemen ist. Je mehr Schnittstellen und externe Datentöpfe zum Einsatz kommen, umso mehr potenzielle Angriffsvektoren ergeben sich.

Die Lösung heißt „Security by Design“. Bei diesem Ansatz werden Sicherheitsrisiken schon während der Konzeptions- und Entwicklungsphase berücksichtigt. Für unsere Berater gehört das zur täglichen Arbeit, damit Sicherheit und Compliance unserer Kunden gewahrt bleiben.

Alle Artikel