Cyber-Attacken nehmen zu, werden raffinierter und kosten Unternehmen inzwischen Milliarden. Die Bandbreite an Risiken ist groß und erstreckt sich von Cybercrime über Cyberwar bis zum Cyber-Terrorismus und Hackern. Gleichermaßen ist die Motivation dies zu tun ebenfalls vielfältig – sei es Geld, Spaß, Ideologie oder Politik. Herkömmliche Sicherheitskonzepte sind zunehmend machtlos. Wir sprachen mit Martin Kreuzer, Cyber-Risk-Experte im Bereich Corporate Underwriting von Munich Re, dem global tätigen Rückversicherer und Marktführer für Cyberversicherungen und damit verbundene Service- und Sicherheitsleistungen.
Basierend auf den Ergebnissen des vor wenigen Tagen im Rahmen des Weltwirtschaftsforums in Davos veröffentlichten Global Risk Reports 2019 gehen 82 Prozent der befragten Experten von einer Zunahme der Cyberrisiko-Szenarien aus, die zu einem Diebstahl von Geld und Daten (82 Prozent) und zu einer Betriebsunterbrechung (80 Prozent) führen. Welche Entwicklung sehen und erwarten Sie auf der Cyberrisikolandkarte?
Martin Kreuzer: Diese Erwartungen stimmen weitgehend mit unseren Einschätzungen überein. Im Übrigen sind die Sorgen vor Betriebsunterbrechung und Datenverlust die Hauptargumente für Unternehmer Cyberversicherungen abzuschließen. Generell sehen wir auf der Risikolandkarte eine zunehmende Professionalisierung von Cyberkriminellen, einen immer größer werdenden Vernetzungsgrad von Geräten und damit einhergehend immer größer werdende Cyber-Risiken aus der Zulieferkette. Gerade der neue Kommunikationsstandard 5G, der eine zehn Mal höhere Datengeschwindigkeit ermöglicht, wird diese Entwicklung noch einmal immens steigern.
Die Untersuchung im Global Risk Report 2019 zeigt auf, dass die neuen Instabilitäten vor allem durch die zunehmende Integration digitaler Technologien in alle Lebensbereiche verursacht werden. Hört sich nach der Wahl zwischen Pest und Cholera an. Umfragen zeigen immer wieder, dass Unternehmen sich darin einig sind, dass die digitale Transformation für ihren zukünftigen Erfolg von entscheidender Bedeutung ist. Kann dieser Konflikt irgendwie gelöst werden?
Martin Kreuzer: Ein solches Spannungsfeld geht in meinen Augen mit nahezu jedem grundlegenden technischen Fortschritt einher. Die Digitalisierung hat auf alle Bereiche der Gesellschaft Einfluss, vom Berufsleben in allen Branchen über Erziehung, Bildung und Sozialleben bis hin zur politischen und wirtschaftlichen Ordnung eines Landes. Neben den Risiken bringt sie aber auch zahlreiche Chancen und Potenziale, die wir ebenfalls in den Blick nehmen sollten. Gerade in Deutschland überwiegt der kritische Blick, die Metapher von Pest und Cholera ist mir also nicht gänzlich unbekannt. (lacht)
Umso mehr stellt sich die Frage nach Lösungen …
Martin Kreuzer: Auch für diese Frage eignet sich die erwähnte Metapher von "Pest und Cholera": Es sollte Mut machen, dass der Cholera-Erreger vom Infektionsweg bis zur Verbreitung bereits gut erforscht ist und so Impfstoffe und Medikamente entwickeln werden konnten, die eine Infektion ganz verhindern oder zumindest deren Symptome lindern. In gewisser Weise kann das auf digitale Risiken übertragen werden: Auch hier sind konkrete Maßnahmen mit großer Wirkung möglich! Und eine Krankenversicherung gibt es ja zumindest bei uns in Deutschland auch, die im Falle einer Infektion die Kosten übernimmt. Somit gibt es auch in dieser Hinsicht eine Analogie.
Cyber-Schwachstellen können aus völlig unerwarteten Ursachen resultieren, wie die Prozessor-Schwachstellen Spectre und Meltdown im Jahr 2018 zeigten. Betroffen sind nahezu alle Geräte, die über einen Prozessorchip der betroffenen Hersteller verfügen. Dazu zählen unter anderem Computer, Smartphones und Tablets aller gängigen Betriebssysteme. Wie kann man mit solchen Kumulrisiken umgehen?
Martin Kreuzer: Die zunehmende Vernetzung sorgt tatsächlich auch für eine höhere Zahl von erkennbaren Schwachstellen. Diese betreffen den Bereich der Hardware, wie das von Ihnen genannte Beispiel zeigt. Hier sind vor allem die Hersteller von Hardware oder von smarten Produkten gefragt. Leider spielt gerade im Bereich Internet of Things oder Smart Devices das Thema Security eine zu geringe Rolle. Noch signifikanter sind für mich jedoch Software-Schwachstellen. Ein Beispiel: Über ein Software-Update wird Malware verbreitet. Beide Ereignisse können einen globalen Effekt haben, von dem hunderttausende Nutzer betroffen sind. Derartige Kumulszenarien bereiten der Assekuranz und insbesondere uns als Rückversicherer tatsächlich Kopfzerbrechen. Daher arbeiten bei uns Informatiker, Versicherungsfachleute, Juristen und Mathematiker an Modellen, welche auch Kumulrisiken abbilden.
Im Global Risk Report 2019 wird auch das Szenario diskutiert, dass ein erfolgreicher Cyberangriff auf das Stromnetz eines Landes verheerende Spill-over-Effekte auslösen kann. Wie kann man die kritische Infrastruktur eines Landes vor solchen Spill-over-Effekten schützen?
Martin Kreuzer: Sogenannte Spill-over-Effekte, also Ereignisse, die wiederum Auswirkungen auf andere Zustände beziehungsweise Ereignisse haben können, werden von den Regierungen, Betreiber kritischer Infrastrukturen, IT-Fachleuten und Forschern, aber auch von Versicherungsunternehmen sehr ernst genommen. Durch die Vernetzung derartiger fast aller kritischer Infrastrukturen – die Stromversorgung ist ja nur ein Beispiel – können negative Kaskadeneffekte heutzutage auch durch Cyberangriffe ausgelöst werden. Die notwendigen Schutzmaßnahmen sind zwar etwas komplexer, aber im Grundsatz vergleichbar mit den Maßnahmen, die auch einzelne Unternehmen für deren IT-Infrastruktur treffen müssen. Davon sind vor allem Prozesse und Organisation, IT und Technik sowie der Faktor Mensch betroffen.
Und was bedeutet das konkret?
Martin Kreuzer: Dass technische und organisatorische Maßnahmen in allen genannten Bereichen zu treffen sind – konkret etwa beim Faktor Mensch, Mitarbeiter zu schulen, das Bewusstsein für die Problematik zu schärfen und interne wie externe Spezialisten vorzuhalten. Bei Prozessen und Organisation sollte man auf Notfallpläne – sogenannte Incidence Response oder Business Continuity Pläne – Audit-Prozesse oder klare Verantwortlichkeiten setzen. Bei letzterem sollte diese immer beim Management liegen. Und: Es gibt es viele technische Lösungen und Anbieter, die von Netzwerksicherheit sowie Passwort- und Rechtemanagement über Monitoring bis hin zu Verschlüsselungstechnologien reichen. Wichtig ist, die Kritikalität von Prozessen, Unternehmensbereichen oder Daten im Blick zu haben. Sie sind in der Regel bei kritischen Infrastrukturen anders gelagert als etwa einem produzierenden Mittelständler oder einem Kleinunternehmer.
Im Jahr 2018 warnten die Vertreter der US-Strafverfolgungsbehörde FBI und der Geheimdienste CIA und NSA vor Smartphones und der Hardware des chinesischen Herstellers Huawei und ZTE. Wenn US-Bürger die Geräte dieser Hersteller verwenden, könnten Informationen modifiziert oder gestohlen stehlen, so der FBI-Direktor Christopher Wray. Wie bewerten Sie aus Risikosicht den Einsatz derartiger Hardware beispielsweise in einer kritischen Internet- und Kommunikationsinfrastruktur? Was ist Ihre Empfehlung?
Martin Kreuzer: Unabhängig von einem konkreten Fall gilt: Hardwarehersteller spielen in der heutigen Zeit eine entscheidende Rolle – egal ob beim privaten Smartphone oder einer landesweiten Kommunikations- oder IT-Infrastruktur. Wichtig ist es bei der Auswahl der Hersteller, sich intensiv mit der Qualität eines Produktes und mit der Einhaltung von Standards zu beschäftigen, die idealerweise durch Zertifikate belegt sind. Unterm Strich geht es vor allem um die Frage, ob Vertrauen in den jeweiligen Anbieter der Hardware vorhanden ist.
Welches Umdenken benötigen wir in einer Welt einer durchgängigen Digitalisierung und Vernetzung im Kontext Sicherheitsdenken?
Martin Kreuzer: Wir müssen einen globalen, allumfassenden Ansatz verfolgen, der Hersteller von Hardware und Software, IT-Fachleute, IT-Security Service Anbieter, Anwender und Sicherheitsbehörden ebenso einbezieht wie den Gesetzgeber, Bildungsträger und Forschungseinrichtungen. Nur gemeinsam lässt sich in einem globalisierten und digitalisierten Kontext eine effektive Sicherheitsarchitektur etablieren. Eine einhundertprozentige Sicherheit kann es nicht geben – aber wir sollten unser Bestes geben, um größtmögliche Sicherheit zu erreichen.
Wie bewerten Sie den Risikofaktor Mensch sowie eine adäquate Risikokultur im Kontext der Cyberrisikolandkarte?
Martin Kreuzer: Der Faktor Mensch ist und bleibt eine der wichtigsten Säulen im Bereich der Informationssicherheit. Die Einschätzung, dass der Mensch dabei häufig das schwächste Glied in der Kette ist und auch bleiben wird, halte ich für plausibel. Deswegen bleibt es ein zentraler Schlüssel, das Bewusstsein der Mitarbeiter zu schärfen, etwa durch gezielte Kommunikation und Schulungen.
[vimeo:298127557]
Wo liegen die größten Cyber-Risiken – speziell für mittelständische Unternehmen und Großkonzerne?
Martin Kreuzer: Die größten Risiken liegen in den kritischen und neuralgischen Punkten, die von Unternehmen zu Unternehmen variieren – unabhängig von dessen Größe. Dies können kritische Daten wie etwa Gesundheits- oder Finanzdaten oder auch geistiges Eigentum sein. Neben Daten gibt es aber auch vermehrt neuralgische digitale Prozesse – etwa in der Produktion oder dem Vertrieb, die eine maximale Verfügbarkeit von Systemen erfordern. Aber auch die gesamte Zulieferkette oder die Anbieter von Services erweisen sich immer mehr als sogenannter Flaschenhals, von dem sehr viel abhängt – Cloudlösungen etwa drängen sich hier als gutes Beispiel auf.
Insbesondere kleinere und mittlere Unternehmen leiden im Falle eines erfolgten Cyberangriffes weitaus stärker unter dessen Folgen als Großkonzerne, da sie in der Regel nicht auf hausinterne Fachabteilungen wie IT-Forensik, juristische Beratung oder ein IT-Notfallmanagement zurückgreifen können. Die Versicherungswirtschaft kann hier – neben dem reinen finanziellen Risikotransfer – wertvolle passende Services anbieten.
Welche Branchen liegen insbesondere im Fokus der Cyberkriminellen?
Martin Kreuzer: Wir beobachten eine Nachfrage nach Versicherungsschutz gegen Cyberrisiken aus nahezu allen Wirtschaftszweigen und Industrien. An der Spitze liegen dabei Betriebe aus dem Gesundheitswesen und dem produzierenden Gewerbe, dicht gefolgt von der Finanzindustrie und dem Dienstleistungssektor sowie IT-Betrieben.
Hinken die Methoden zur Analyse und insbesondere Bewertung von IT- und Cyberrisiken der hochkomplexen IT-Risikolandkarte nicht massiv hinterher? Müssen wir nicht auch im IT-Risikomanagement Methoden anwenden, die geeignet sind, mit der Komplexität der Risikolandkarte adäquat umzugehen, beispielsweise mit Hilfe von stochastischen Simulationsmethoden oder System Dynamics?
Martin Kreuzer: Neue oder ergänzende Methoden und Standards sind zweifellos notwendig. Simulierte Vulnerabilitäts- und Impact-Analysen etwa müssen digitale Risiken und Abhängigkeiten mit einbeziehen – und das natürlich in der gesamten Wertschöpfungskette. Neben Simulationen bedarf es auch eines geänderten Monitorings; getroffene Maßnahmen müssen fortlaufend auf ihre Effizienz geprüft werden. Und: Richtig gewählte und ständig überwachte Leistungs- oder Risikokennzahlen – sogenannte Key Performance beziehungsweise Key Risk Indikatoren – sollten vermehrt auch digitalen Abhängigkeiten Rechnung tragen.
Wie bewerten Sie die Entwicklung des Marktes für Cyberversicherungen?
Martin Kreuzer: Wir sind mit der Entwicklung zufrieden; allerdings gehen wir davon aus, dass noch großes Marktpotenzial vorherrscht. Vor allem die Versicherungsdurchdringung zu Cyberrisiken ist bei kleineren und mittleren Betrieben in unseren Augen ausbaufähig. Wir wollen dazu unseren Teil beitragen – mit einfach verständlichen und vergleichbaren Lösungen, transparenten Risikobewertungsschemen und einfachen Prozessen für kleinere Unternehmen. Gleichzeitig bieten wir Industriekunden oder Großkonzernen maßgeschneiderte Deckungskonzepte.
Die Absicherung gegen finanzielle Einbußen ist allerdings nur ein Teil eines Gesamtkonzepts. Dafür entwickeln wir mit unseren Technologiepartnern für die Kunden hochwirksame und automatisierte Präventionsservices. Sie sollen permanent die Infrastruktur der Kunden überwachen und so zeitnah Risiken erkennen und Schäden verhindern.
Und ganz wichtig: Im Schadenfall muss ein Unternehmen schnell reagieren, um den Schaden zu begrenzen und den Normalbetrieb rasch wieder aufnehmen zu können. Dabei stehen wir unseren Kunden mit einem Netzwerk von Experten – von juristischer Beratung bis zur IT-Forensik – zur Seite.
Wie lassen sich Betriebsunterbrechungen infolge eines Cyberangriffs durch eine Cyberversicherung abdecken? Wie lange sind üblicherweise die zeitlichen Selbstbehalte?
Martin Kreuzer: Eine Betriebsunterbrechung als Eigenschaden nach einem Cyberangriff ist mittlerweile der wichtigste Grund, warum Unternehmen Cyberpolicen kaufen. Versichert werden können der entgangene Betriebsgewinn und fortlaufende Kosten. Neben einem finanziellen Selbstbehalt gibt es häufig den zeitlichen Selbstbehalt, ab dem die Police greift. Üblicherweise liegt dieser bei zwölf Stunden.
Sie setzten sich täglich mit den negativen Auswirkungen des Cyberraum auseinander. Herr Kreuzer, wie gehen Sie privat mit Cyberrisiken um?
Martin Kreuzer: Auch bei mir gibt es hier Verbesserungsbedarf – bei Passwörtern etwa vertraue ich immer noch auf mein Gedächtnis, das aber leider nachlässt. Und die Passwörter werden mehr und komplexer! Womöglich werde ich also bald auf einen Passwort-Manager zurückgreifen. Zudem habe ich noch kein probates Mittel gefunden, meine Frau von weniger Online-Käufen zu überzeugen. (lacht)
Die Fragen stellte Frank Romeike, geschäftsführender Gesellschafter des Kompetenzportals RiskNET sowie Mitglied des Vorstands der Gesellschaft für Risikomanagement und Regulierung e.V.
Martin Kreuzer ist Experte im Bereich der Informationssicherheit. Nach dem Studium der Rechtswissenschaften arbeitete Martin Kreuzer fast ein Jahrzehnt in der operativen Informationsbeschaffung beim Bundesnachrichtendienst (BND) in Pullach bei München, ehe er für drei Jahre zum Bayerischen Landesamt für Verfassungsschutz, Abteilung für den Schutz der Wirtschaft vor Spionage und Cyberwarfare wechselte.
Als eines der wenigen Beispiele in Deutschland, die es wagen, eine sichere Beamtenkarriere aufzugeben, startete Martin Kreuzer Anfang 2016 bei Munich Re. In der Zentraleinheit Corporate Underwriting Cyber Risks ist Martin Kreuzer schwerpunktmäßig für die Weiterentwicklung von Cyber-Insurance-Produkten, das Assessment von Cyber-Risiken, Cyber-Risk-Consulting sowie dem Monitoring von Cyberrisiken und deren Urhebern zuständig, um so die führende Rolle der Munich RE im boomenden Marktsegment der Cyberdeckungen weiter auszubauen.