AssCompact - Facebook AssCompact - Google+ AssCompact - Twitter AssCompact - Xing AssCompact - Whats App AssCompact - Whats App

„Versicherungsfachleute müssen verstärkt IT-Know-how aufbauen“
24. März 2016

„Versicherungsfachleute müssen verstärkt IT-Know-how aufbauen“

Der Markt für Cyberversicherungen wird definitiv anwachsen, sagt Torsten Wilhelm Töllner, Geschäftsführer der SEC Consult, einem Beratungsunternehmen im Bereich Cyber- und Applikationssicherheit. Für Makler sei zunächst ein Eintauchen in diese neue Welt angesagt. Ein gewisses Grundverständnis für spezifische Cyberbedrohungen sei dabei unabdingbar.


Welchen Cybergefahren sehen wir derzeit vermehrt entgegen? Wie werden diese Attacken meistens durchgeführt?

Der klassische Phishing-Angriff führt heute immer noch über E-Mails mit bösartigem Anhang. Bestehende E-Mail-Filter und Anti-Malware-Lösungen versprechen zwar ein gutes Schutzlevel, können jedoch oft über mannigfaltige Wege übergangen werden. Weitere Angriffswege führen etwa über Schwachstellen in ungepatchter bzw. unsicherer Software. Der Betrieb einer ungepatchten Standardsoftware mit öffentlich bekannten Schwachstellen gleicht dabei einer goldenen Eintrittskarte für Angreifer. Dieser muss dann lediglich das Ticket am Eingang vorzeigen und wird sofort vom VIP-Service zu den Kronjuwelen des Unternehmens geleitet. Bei einem erfolgreichen Angriff werden in der Regel mehrere Angriffsmethoden sequenziell kombiniert.

Neben Phishing (Massenphänomen) oder Spear-Phishing (gezielte Phishing-E-Mail an ausgewählte Personen) zeichnet sich ein weiterer Trend ab: Business E-Mail Compromise oder CEO Fraud. Bei dieser Betrugsmasche geben sich Hochstapler zum Beispiel als Geschäftsführer aus und versuchen, in der Buchhaltung einen Geldtransfer zu initiieren. Dabei wird meist um höchste Diskretion gebeten, handle es sich doch um eine geheime Geschäftsübernahme, die sofort abgewickelt werden müsse. Erst kürzlich konnten Cyberkriminelle auf diese Weise rund 50 Mio. Euro bei einem internationalen Flugzeugzulieferer erbeuten.

Welche Folgen haben solche Attacken und wie kann sich ein Unternehmen davor schützen?

Die Folgen können sehr weitläufig sein: Reputationsverluste, monetäre Schäden, Wettbewerbsnachteile. Vor allem Wirtschaftsspionage wird oft erst sehr spät entdeckt. Cyberkriminelle können sich monate- oder sogar jahrelang unbemerkt im internen Netzwerk aufhalten, kontinuierlich Informationen abziehen oder auf den richtigen Moment für einen Angriff warten. Besonders fatale Folgen ziehen demnach Sabotageakte auf Industrieanlagen oder kritische Infrastrukturen (Energie, Telekommunikation etc.) nach sich. Gegen Cyberkriminalität gibt es jedoch keine „Silver Bullet“ als Generalmaßnahme. Unternehmen sollten daher in puncto Sicherheit auf ein holistisches Konzept setzen, bei dem Technik, Organisation und Mensch eine gemeinsame Einheit gegen Cyberangriffe bilden:

  • Technik: Entwicklung nach dem Stand der Technik, Patch-Management, starke Passwörter, Authentifizierung, Backups, präventive und reaktive Sicherheitsvorkehrungen etc.
  • Organisation: Sicherheits- und Risikomanagement (Was sind meine kritischen Assets? Wer ist verantwortlich? Wie sehen meine Infrastruktur und der dazugehörige Schutz aus? Wie gewährleiste ich eine kontinuierliche Verbesserung des Sicherheitsniveaus?)
  • Mensch: Awareness-Schulungen aller Art
Was bedeutet die zunehmende Anzahl an Cyberangriffen für Gewerbeversicherer?

Der Markt für Cyberversicherungen wird definitiv wachsen. Die zunehmende Zahl an Cyberattacken hat natürlich auch direkten Einfluss auf die interne Risikobewertung und folglich auf den Endpreis für den Versicherungsnehmer. Um das Risiko für den Gewerbeversicherer dennoch in einem akzeptablen Rahmen zu halten, muss der potenzielle Versicherungsnehmer im Vorhinein einen initialen Bewertungsprozess durchlaufen. So können die Ist-Situation und das vorhandene Risiko zu einem gewissen Grad erfasst werden. Ohne diesen Bewertungsprozess würden ansonsten unkalkulierbare Risiken eingegangen werden. Abhängig von den Ergebnissen erfolgt anschließend die Einstufung des Versicherungsnehmers.

Für Gewerbeversicherer eröffnet die neue Sparte nicht nur enorme Marktchancen, sondern bedeutet gleichzeitig neue Herausforderungen. So werden Versicherungsfachleute verstärkt IT-Know-how aufbauen müssen. Abhilfe kann hier auch die enge Zusammenarbeit mit Cybersicherheitsexperten schaffen.

Welche Chancen und Risiken birgt das Thema Cyberinsurance für Makler in ihrem Berufsalltag?

Das Thema ist noch relativ neu und der Erfahrungsschatz im Vergleich zu klassischen Branchen sehr begrenzt. Daher bedeutet es für Makler erstmal ein Eintauchen in eine neue Welt. Ein gewisses Grundverständnis für spezifische Cyberbedrohungen wird dabei unabdingbar sein. Ansonsten werden im schlimmsten Fall Policen verkauft, die für den Kunden keinen optimalen Mehrwert schaffen. In Summe ergibt es aber ein spannendes neues Produktumfeld, mit dem reale Risiken der Versicherungsnehmer nun einfach versicherbar werden.

Was sollte das Versicherungsportfolio in Ihren Augen unbedingt beinhalten?

Um Clusterrisiken weitgehend zu vermeiden, sollte das Versicherungsportfolio gut durchmischt sein. Grundsätzlich gilt es hier zwischen Portfolios aus kleinen, mittleren und größeren Unternehmen zu unterscheiden. Am Markt sind zusätzlich sogar Privatversicherungen im Gespräch. Bei mittleren und größeren Unternehmen ist eine rudimentäre Risikoanalyse essenziell. Zentrale Fragestellung dabei ist: Was sind die schützenswerten Bereiche und welche sind gegebenenfalls vernachlässigbar? Abhängig von diesen Ergebnissen kann ein individuelles Paket aus Standard-Modulen für den Kunden geschnürt werden. Ziel ist es, ein zweckmäßiges Gesamtpaket zusammenzustellen, das optimal auf die Kundenbedürfnisse zugeschnitten ist.

Über SEC Consult

SEC Consult, Berater im Bereich Cyber- und Applikationssicherheit im deutschsprachigen Raum, ist Spezialist für den Aufbau von Informationssicherheits-Management und Zertifizierungsbegleitung ISO 27001, Cyber-Defence, DDoS-Tests, externe und interne Sicherheitstests, sichere Software(-Entwicklung) und die schrittweise, nachhaltige Verbesserung des Sicherheitsniveaus.





AssCompact Abonement

Sie wollen das AssComapct Magazin und/oder den AssCompact Newsletter abonnieren? Klicken Sie hier

Sie sind bereits Leser des AssCompact Magazins und möchten Ihre Daten ändern? Klicken Sie hier

Empfohlener Artikel

Verschiedene Treiber bedingen, dass Tätigkeiten des Außendienstes heute gezielt an den Innendienst verlagert werden. Der Umsetzung eines professionellen Innendienstmanagements, kombiniert mit einem automatisierten Informationsaustausch der Beteiligten, kommt damit eine hohe Bedeutung zu.