Exklusive Phishing-Daten, Expertenmeinungen und Strategien, mit denen Sie sicher durch die Cyber-Bedrohungslage kommen.
Keine Zeit zu lesen? Einfach anhören:
Die Komplexität der Bedrohungslage nimmt zu.
Technologien verändern sich immer schneller, jeden Tag kommen neue Tools auf den Markt – und mit ihnen entstehen neue Sicherheitsrisiken. Sicherheit im Cyberspace ist deshalb heute wohl genauso entscheidend wie unsere physische Sicherheit – zumal sich beide Bereiche gegenseitig beeinflussen. SoSafe hatte die Möglichkeit, mit Tobias Ludwichowski, Chief Information Security Officer bei Signal Iduna und Experte im Bereich von Cyberversicherungen, über dieses komplexe Themenfeld zu sprechen.
Die Signal Iduna Gruppe fokussiert sich seit Jahren auf innovative Ansätze für Versicherungslösungen, die den Herausforderungen unserer digital vernetzten Welt gerecht werden. Das Unternehmen setzt die Standards hoch: Kunden soll kontinuierliche Informationssicherheit geboten werden, ohne dass dabei die digitalen Möglichkeiten, die Unternehmen für ihren Erfolg benötigen, eingeschränkt werden.
In diesem spannenden Interview tauchen wir in die aktuelle Cyber-Bedrohungslandschaft ein und werfen einen Blick auf den transformativen Einfluss neuer KI-Tools sowie die zunehmende Beliebtheit von mobilen und hybriden Arbeitsmodellen. Außerdem sprechen wir natürlich über Signal Iduna’s Spezialgebiet: die Rolle von Cyberversicherungen für Unternehmen. Das Gespräch eröffnet eine neue Perspektive auf die sich ständig weiterentwickelnden Cyberrisiken und erläutert, welche Funktion Versicherungen bei der Minimierung dieser Risiken einnehmen.
Wird Informationssicherheit heute anders wahrgenommen als noch vor einigen Jahren – insbesondere im Top-Management und in Aufsichtsräten?
Das Aufsichtsrecht für Versicherungen im Bereich Informationssicherheit zieht extrem an – es entstehen immer mehr Gesetze und Regularien. Darüber hinaus prüft die BaFin das Thema seit ein paar Jahren sehr aktiv. Beides zusammen führt zu einem hohen Druck auf das Top-Management in Bezug auf dieses Thema. Hinzu kommt eine komplexer werdende Bedrohungslage, mit der wir konfrontiert sind. Deshalb ist die Aufmerksamkeit für Cybersicherheit im Top-Management inzwischen sehr hoch – da das Bewusstsein in den letzten Jahren massiv gestiegen ist. Erfreulicherweise sind entsprechend auch die verfügbaren Ressourcen gewachsen, die investiert werden können.
Wie bewerten Sie die aktuelle Cyber-Bedrohungslage? Welche Entwicklungen und Trends beobachten Sie?
Generell nimmt die Komplexität der Bedrohungslage zu. Supply-Chain-Angriffe sind sehr relevant: Unsere eigene Sicherheit hängt immer mehr von der Sicherheit unserer Dienstleister ab – wie sich solche Risiken auswirken können, haben wir zum Beispiel 2020 im SolarWinds-Case gesehen, bei dem ein gezielter Angriff für eine weltweite Betroffenheit gereicht hat. Bei diesen Angriffen haben wir es mit einer marktweiten Bedrohung zu tun – meist mit einer hohen Komplexität, vielen Betroffenen und damit immensen Auswirkungen. Daher erwarte ich, dass Supply-Chain-Angriffe deutlich zunehmen werden.
Weiterhin sehe ich aber auch die klassischen Cyberangriffe, zum Beispiel Ransomware – oftmals im Finanzsektor, weil dort viele sensible Kundendaten im Spiel sind. Das Risikopotenzial bei Ransomware-Angriffen ist meiner Meinung nach im direkten Vergleich aber etwas geringer, weil die Eingangskanäle besser zu überschauen sind.
Wie hat sich der Krieg in der Ukraine auf unsere Informationssicherheit ausgewirkt?
Bisher hat sich der Ukraine-Konflikt in der Informationssicherheit per se noch nicht ganz so dramatisch ausgewirkt, wie anfangs angenommen – das ist erstmal positiv.
Ich glaube aber, dass wir uns auf eine weitere Angriffswelle vorbereiten müssen: Wir wissen, dass der Krieg hybrid geführt wird. Dafür haben sich auch eine Reihe von Menschen, zur Unterstützung einer der Seiten Know-how im Bereich der Cyberkriminalität angeeignet. Wenn der Konflikt irgendwann vorbei ist, haben wir es potenziell mit einer hohen „Arbeitslosenquote“ unter den Angreifern zu tun. Diese „Cyber-Arbeitslosen“ werden dann auf der Suche nach einer neuen Herausforderung sein – und diese auch finden.
Welchen Einfluss hat das Thema Künstliche Intelligenz Ihrer Meinung nach auf unsere Informationssicherheit?
Künstliche Intelligenz – aber auch andere Technologien – führen dazu, dass Angriffsvektoren in Phishing- oder auch Spear-Phishing-Angriffen zunehmend komplexer werden. Früher konnten wir einen versuchten Angriff unter anderem direkt durch zahlreiche Rechtschreibfehler identifizieren. KI-Tools lassen die Angriffe heute aber deutlich professioneller erscheinen, sodass sie eben nicht mehr auf den ersten Blick erkennbar sind. Und damit führt KI natürlich auch zu einer Skalierung der Cyberangriffe.
Künstliche Intelligenz führt dazu, dass Angriffsvektoren in Phishing- oder auch Spear-Phishing-Angriffen zunehmend komplexer werden.
Wie hat sich der großflächige Wechsel auf neue Arbeitsmodelle wie Homeoffice oder Remote-Modelle auf die Informationssicherheit ausgewirkt?
Diese neuen Arbeitsmodelle müssen unbedingt durch eine entsprechende Sicherheitsarchitektur abgedeckt werden. Den Mitarbeitenden muss vermittelt werden, wie sie ihren mobilen oder stationären Heimarbeitsplatz entsprechend absichern.
Auch hierbei ist der persönliche Kontakt wichtig und fehlt im Homeoffice. Der Austausch über den Schreibtisch ist auch für die Sicherheit ein wichtiger Aspekt. Angenommen ein Mitarbeiter bekommt eine Spam-Mail – dann kann er diese als solche viel schneller identifizieren, in dem er sich kurz mit Teammitgliedern über den Schreibtisch persönlich dazu austauscht.
Hinzu kommt, dass Mitarbeitende im Homeoffice durchaus ein anderes Verhalten zeigen, als im Büro – da werden im Zweifel vielleicht doch mal andere Webseiten geöffnet. Wir sehen bei uns zwar bisher keinen erkennbaren Unterschied seit dem Wechsel in ein hybrides Arbeitsmodell. Ich glaube aber, dass es für eine starke Sicherheitskultur wichtig ist, die menschliche Interaktion wieder zu stärken.
Schauen wir uns das Versicherungswesen im Cyberbereich genauer an: Was sind Trends, die Sie dort als Vertreter der Branche am Markt sehen können?
Wir sehen aktuell eine Tendenz, dass sich Cyberversicherungen auf wenige Anbieter zentralisieren, die bereit sind, Cyberrisiken im größeren Umfang zu versichern. Das liegt an der Schwierigkeit, das Cyberrisiko in einem Unternehmen messbar und greifbar zu machen, während wir dem gegenüber eine hohe Dynamik am Bedrohungsmarkt haben. Es ist extrem schwierig objektiv zu bewerten, wie gut ein Unternehmen aktuell und in Zukunft tatsächlich gegen Cyberrisiken abgesichert ist.
Darüber hinaus muss die Versicherung auch immer noch attraktiv für den Kunden bleiben. Es bringt beispielsweise keinem größeren Mittelständler etwas, wenn die Deckungssumme auf 200.000 Euro begrenzt ist. Außerdem müssen wir es schaffen, dass Unternehmen auch trotz Cyberversicherung weiter aktiv gegen das Risiko vorgehen und sich kein Rücklehneffekt einstellt. Daher sind Cyberversicherungen aktuell ein herausforderndes Produkt.
Wie schafft man es, das Thema Informationssicherheit aus seinem Nischen-Dasein herauszuholen und es zu einem Gemeinschaftsprojekt zu machen, an dem – im besten Fall – jeder aktiv mitwirken möchte?
Hier muss man zwei Richtungen einschlagen: Der erste Punkt ist kontinuierliche Kommunikation und Schulung, um Transparenz darüber zu schaffen, welche Auswirkungen Sicherheitsvorfälle haben können. Es hilft beispielsweise schon, aktiv über die Bedrohungslage und bestimmte Verhaltensweisen zu informieren. Dabei können auch private Auswirkungen mit einfließen, um das Thema greifbarer zu machen – „schütze auch deine eigenen Kontodaten“.
Der andere Punkt ist, dass wir die Themen so in Prozesse einbetten, dass den Mitarbeitenden gar nicht unbedingt bewusst ist, dass sie damit einen Sicherheitsmehrwert schaffen. Prozesse müssen so gestaltet werden, dass Mitarbeitende automatisch compliant sind. Das fühlt sich im Ergebnis dann weniger aufwändig für Mitarbeitende an. Denn Richtlinien rauszuschicken und zu erwarten, dass diese gelesen, verstanden und in richtiges Verhalten umgesetzt werden, wird nicht funktionieren.
Als Ausblick, was raten Sie anderen Sicherheitsverantwortlichen?
Wir kommen aus einer Zeit der Tool-Versessenheit. Inzwischen muss man sich stärker darauf konzentrieren, wie Mitarbeitende geschult sind und wie unsere Prozesse funktionieren. Die besten Tools bringen nichts, wenn es keine passenden Prozesse dazu gibt und wenn Mitarbeitende nicht in der Lage sind, Gefahren zu erkennen. Das ist auch das Thema „Threat Intelligence“: Es sind Menschen die in unsere Systeme eindringen. Und menschliches Verhalten wird am Ende immer noch am besten von einem Menschen erkannt. Wenn wir uns zu 100 % auf die Technik verlassen und annehmen, dass diese alles abfangen wird, dann machen wir einen grundsätzlichen Fehler. Deshalb ist es wichtig, Cyber- und Informationssicherheitsstrategien immer im Dreiklang und in einer Ganzheitlichkeit zu betrachten: Mensch, Technik und Prozess.
Die wichtigsten Erkenntnisse und Take-Aways aus dem Gespräch mit Signal Iduna
Das Gespräch mit Signal Iduna ermöglicht einen Blick in die immer komplexere Welt der Cybersicherheit. Ein alarmierender Trend, der diese Entwicklung vorantreibt, ist die Zunahme von Supply-Chain-Angriffen. Wie Tobias Ludwichowski bestätigt, macht diese Entwicklung es immer notwendiger, vertrauenswürdige Partner und Dienstleister zur Absicherung der Systeme auszuwählen. Geopolitische Instabilität, die sich etwa in dem hybriden Krieg in der Ukraine zeigt, und die Tatsache, dass Cyberkriminelle innovative KI-Tools zur Skalierung ihrer Angriffe nutzen, tragen weiter zur wachsenden Komplexität bei. Ein derart unvorhersehbares Bedrohungsumfeld stellt Cyber-Versicherungsunternehmen wie die Signal Iduna zwangsläufig vor Herausforderungen, wenn sie versuchen, Cyberrisiken zu quantifizieren.
In Anbetracht dieser Umstände ist es für Unternehmen unumgänglich, sich im Bereich Security klar und stark zu positionieren. Ludwichowski betont, dass eine solche Sicherheitsstrategie nicht mehr ausschließlich technologieorientiert sein kann. Stattdessen ist ein vielseitiger Ansatz erforderlich, bei dem menschliche Risikofaktoren miteinbezogen und durch eine verbesserte Security Awareness der Mitarbeitenden sowie die Förderung einer Sicherheitskultur reduziert werden. Denn der Mensch spielt heute eine entscheidende Rolle in der Sicherheitsinfrastruktur jedes Unternehmens.
Menschliches Verhalten wird immer noch am besten von einem Menschen erkannt. Wenn man sich zu 100 % auf die Technik verlässt und annimmt, dass die Technik alles abfangen wird, dann macht man einen grundsätzlichen Fehler.
Mehr über die wichtigsten Strategien zur Minimierung menschlicher Security-Risiken und weitere spannende Interviews mit CISOs renommierter Unternehmen lesen Sie in unserem Human Risk Review.