Bei der Evaluierung von Cyberrisiken von Unternehmen spielt das individuelle inhärente Risiko eine große Rolle. Es beschreibt die Verletzbarkeit im Hinblick auf Cyberangriffe aufgrund ihrer Branchenherkunft, dem Standort ihres Headquarters und der Existenz von Niederlassungen sowie Tochterunternehmen in bestimmten Ländern.
Vor der Digitalisierung waren Industriesachversicherer vor allem damit befasst, Risiken gegen Brände, Extremwetterschäden und Erdbeben zu analysieren und zu versichern. Auch bei diesen klassischen Gefahren gibt es inhärente Risiken, die für jede Organisation individuell sind. Wenn sich ein Unternehmen zum Beispiel in einer bekannten Hochwasserzone befindet, dann hat es ein höheres inhärentes Hochwasserrisiko als eine Organisation, die nicht in einer solchen positioniert ist. Das inhärente Cyberrisiko ist dem von Bränden und anderen natürlichen Gefahren in gewisser Weise ähnlich. Beide sind von Faktoren bestimmt, die sich außerhalb des Einflussbereichs des Unternehmens befinden.
Auch im Hinblick auf die Versicherungssumme im Cyberumfeld gibt es, wie bei traditionellen Gefahren, eine Differenzierung des Risikos, die auf individueller Analyse beruht. Häufig werden auch für Cyberrisiken die Prinzipien der Schadenverhütung genutzt und ein Ingenieur- und forschungsbasierter Ansatz kommt zum Tragen. Dies ist notwendig, um das potenzielle Cyberrisiko der Kunden zu verstehen.
Bei der Analyse des Cyberrisikos ist es wichtig, die komplette Bandbreite des innewohnenden Risikos zu verstehen. Je ausgeprägter das inhärente Risiko ist, desto ausgefeilter müssen die Sicherheitsmaßnahmen des Unternehmens sein, um mögliche Folgen zu minimieren. Zu den Faktoren, die zur Bestimmung des inhärenten Risikos für Cyberangriffe verwendet werden, gehören die Industriezugehörigkeit, der Ort des Hauptsitzes des Unternehmens und auch die Frage, in welchen Geschäftsfeldern sich ein Kunde bewegt und wo er seine Geschäfte grundsätzlich ausübt. Diese Faktoren sollten stets gemeinsam und nicht isoliert betrachtet werden.
Die Branchenzugehörigkeit
Man könnte denken, dass aufgrund der immer stärker fortschreitenden Digitalisierung und Vernetzung viele Branchen etwa gleich anfällig für Cyberangriffe sind. Das ist nicht so, denn beispielsweise die Arten der Angreifer und deren Angriffsmethoden unterscheiden sich stark. Zudem rückt der technologische Fortschritt immer näher an den Menschen heran, so dass er auch im Bereich der Cybersicherheit stärker zum entscheidenden Faktor wird.
Darüber hinaus kommt es bei der Absicherung nicht mehr nur auf die Maßnahmen im eigenen Unternehmen an, sondern auch die immer stärkere Vernetzung mit Lieferanten und Partnern vergrößert die Angriffsfläche für Angreifer. Unterschiedliche Branchen und Unternehmensgrößen sind von diesen Faktoren verschieden stark betroffen.
Die Industriezugehörigkeit bezieht sich auf die Grundkategorie der Geschäftstätigkeit. Es geht also darum, wie ein Unternehmen hauptsächlich seinen Umsatz generiert. Die Branchenzugehörigkeit einer Organisation definiert, wo seine Hauptvermögenswerte liegen. Heutzutage sind das meist Daten und Produktionsanlagen. Bei einem Unternehmen wie Coca Cola geht es um ganz zentrale Assets - in diesem Fall Rezepte - die für den Erfolg von immenser Bedeutung sind. Dies sind Hauptwerte, die bei Verlust die Wettbewerbsfähigkeit stark negativ beeinflussen, Rechte an geistigem Eigentum betreffen sowie die Markenreputation schädigen.
In anderen Branchen sind nicht unbedingt Assets die größte Herausforderung bei der Absicherung. Im Bereich der kritischen Infrastruktur (KRITIS) - einen der neuesten Risiko-Cluster im Bereich der Cybersicherheit - stehen nicht unbedingt Datendiebstahl und persönliche Bereicherung im Fokus. Die Motivation hinter Attacken beispielsweise auf Energieversorger ist eine ganz andere als beispielsweise im Bereich des Einzelhandels.
Auch die Art der Angreifer unterscheidet sich von Branche zu Branche stark. Es ist zu beobachten, dass zunehmend komplexe Attacken aus dem Bereich der organisierten Kriminalität oder von staatlichen Hackern durchgeführt werden. Diese Art von Aggressoren könnte beispielsweise auch auf Flugzeughersteller zielen. Sie haben ein hohes Risiko von einem Staat angegriffen zu werden aufgrund der Art ihrer Tätigkeit. Informationen aus dieser Industrie nutzen vor allem Nationalstaaten, die eine eigene Flugzeugindustrie aufbauen möchten. Gleichzeitig ist das Risiko von Hacktivisten - einer weiteren Kategorie von Angreifern - attackiert zu werden geringer, weil die Informationen für solche Angreifer weniger wertvoll sind.
Technische Innovationen wie Industrie 4.0 mit ihrem Vernetzungsgedanken und der Einsatz von künstlicher Intelligenz (KI) verbreitern die Angriffsfläche zusätzlich. Diese betrifft vor allem Unternehmen aus dem Manufacturing-Sektor, die sich durch den Einsatz von Sensoren zusätzliche Produktivität erhoffen. Oftmals wird jedoch beim Design dieser Lösungen das Thema Sicherheit, vor allem im Bereich der Steuerungsanlagen, nicht mit bedacht, sodass jeder Vernetzungspunkt ein zusätzliches Einfallstor für Attacken sein kann. Auf diese Weise treibt dieser Industriezweig seine ganz eigenen inhärenten Risiken parallel zum Fortschritt weiter voran.
Der Hauptsitz des Unternehmens
Unternehmen mit Hauptquartieren in entwickelten Industriestaaten profitieren zumeist von stark ausgebauter digitaler Infrastruktur. Diese trägt dazu bei, Innovationen voran zu treiben und die Produktivität zu erhöhen. Gleichzeitig erhöht dieses gut entwickelte Umfeld jedoch auch das inhärente Risiko für Cyberattacken. Im Hauptsitz eines Unternehmens sind meistens seine Führung, seine Finanzen und sein Know-how gebündelt. Es ist auch der Ort, an dem die Marke lebt und am stärksten sichtbar ist. Hauptsitze in Ländern mit hoher globaler Bekanntheit sind deshalb öfter das Ziel von Cyberangriffen.
Gleichzeitig verfügen entwickelte Staaten bereits über ausgeprägtere Gesetzgebung im Bezug auf Cybersicherheit Auch das allgemeine Niveau des Vorbereitungsgrads auf digitale Angriffe ist höher einzuschätzen als beispielsweise in einem Entwicklungsland. Am Beispiel Europas ist hier unter anderem die Datenschutzgrundverordnung (DSGVO) zu nennen, die den Datenschutz weltweit auf einen hohen Standard gesetzt hat. Auch spricht zumeist die Zugriffsmöglichkeit auf professionelle und weltweit tätige Serviceanbieter, zum Beispiel im Bereich des Rechenzentrumsbetriebs, für bessere Schutzmöglichkeiten.
Niederlassungen und Tochterunternehmen
Aus Sicht von deutschen und europäischen Unternehmen ist besonderes Augenmerk auf Niederlassungen und Tochtergesellschaften im nicht-europäischen Ausland zu richten. Die DSGVO hat viele Vorgaben und Verfahrensweisen für den europäischen Raum vereinheitlicht und sehr strikt geregelt. Dieses hohe Niveau des Datenschutzes ist auf anderen Erdteilen zumeist nicht gegeben, sodass kontinuierliches Tracking und Monitoring der Vorgänge und der Umsetzung von Gesetzen in solchen Ländern notwendig sind.
Niederlassungen verfügen oft über eine starke Aggregation von wichtigen Unternehmenstätigkeiten oder -infrastrukturen. Hierzu gehören beispielsweise Rechenzentren, Produktionsstätten, Forschung und Entwicklung sowie eine große Zahl von Mitarbeitern. Einige Charakteristika der Standorte können das inhärente Cyberrisiko beeinflussen. So setzen manche Staaten Cybergesetze oder Compliance-Vorgaben nicht durch oder verfügen über keine. Andere haben nicht die wirtschaftlichen Voraussetzungen, um Ressourcen zur Einführung und Durchsetzung von Cyberpraktiken und -gesetzen aufzubringen.
Auch das politische Umfeld hat einen großen Einfluss. So sind manche Staaten politisch instabil und von Störfaktoren wie Unruhen und Terrorismus betroffen. Dies gilt auch für das Vorhandensein einer ausgeprägten "Hacking Culture" im Land oder belastete Beziehungen zu anderen Staaten, deren Aggressionen sich auch im digitalen Umfeld widerspiegeln können.
Prävention
Im Hinblick auf das Thema Prävention ist es zunächst einmal wichtig, sein individuelles inhärentes Risiko zu kennen und Sensibilität dafür zu entwickeln. Hierzu gehört auch das notwendige Know-how im Bezug auf Angreifer und Angriffsarten aufzubauen. Die eigene Exponiertheit gegenüber Cybergefahren zu analysieren sollte zu Präventivmaßnahmen und zusätzlicher Absicherung führen. Da Cybersicherheit meist nicht zu den Kernkompetenzen der Unternehmen gehört, kann es sich anbieten, Partner mit ins Boot zu holen und Kooperationen zu schließen. Dies kann letztlich zu einer aktiven Resilienz-Kultur führen, die neue Risken permanent im Auge behält und Strategien zum Schutz fortlaufend anpasst. Hierzu gehört beispielsweise auch der Bereich des Supply-Chain-Managements.
Viele Unternehmen arbeiten mit hunderten oder gar tausenden Lieferanten zusammen. Durch die starke Vernetzung entstehen neue Risikofelder, die Unternehmen bewältigen müssen. Laut der von BitSight und dem Center for Financial Professionals (CeFPro) gemeinsam durchgeführte Studie (PDF) "Third-Party Cyber Risk for Financial Services: Blind Spots, Emerging Issues & Best Practices" nutzen zahlreiche Organisationen nicht die für den Schutz entscheidenden Werkzeuge. Teilnehmer der Befragung gaben an, dass sie ausschließlich auf Maßnahmen wie jährliche Überprüfungen vor Ort, Fragebögen und Betriebsbesuche setzen, um die IT-Sicherheit von Lieferanten zu analysieren. Auf diese Weise bekommen sie aber nur eingeschränkte Sicht auf deren Cyberrisiken. Auch IT-Sicherheitsratings werden nur von 22 Prozent der Organisationen eingesetzt, um die Sicherheit fortwährend zu überwachen. Positiv zu vermerken ist jedoch, dass 30 Prozent der Organisationen derzeit Anbieter von IT-Sicherheitsratings evaluieren. Dies ist ein erster Schritt, um mit dem eigenen inhärenten Risiko umzugehen.
Gibt es unterschiedliche Risikoklassen?
Da das Cyberrisiko für jedes Unternehmen individuell definiert ist, gibt es keine starre Einordnung für niedriges, mittleres oder hohes Risiko. So werden bestimmte Schwachstellen von bestimmten Malware-Stämmen ausgenutzt. Dies wurde uns 2017 von Petya und 2019 von Ryuk anschaulich demonstriert. Die Cyber-Kill-Kette kann Unternehmen helfen, den typischen Verlauf dieser Ereignisse zu verstehen und maßgeschneiderte Elemente eines Cybersicherheitsprogramms zu implementieren. Dies kann die Widerstandsfähigkeit einer Organisation erhöhen und bei der Verteidigung gegen einen Cyberangriff helfen.
Sicherheitskontrollen wie Defense-in-Depth, Multifaktor-Authentifizierung, Sensibilisierung der Nutzer und robuste Netzwerkarchitektur stellen unter anderem notwendige Basismaßnahmen dar, die bei der Minimierung von Cyberrisiken helfen. Es geht nicht um die bloße Anzahl der Kontrollen, sondern darum, wie wirksam jede einzelne dieser Kontrollen ist. (jd)