Von Thorsten Mairhofer
Underwriter Cyber
Da deutsche Unternehmen Mühe haben, eine Cyber-Versicherung abzuschließen, verrät Ihnen Thorsten Mairhofer, Cyber-Spezialist von QBE Deutschland seine besten Tipps, wie Unternehmen ihr Sicherheitsprofil verbessern können.
Es gibt fünf Schlüsselbereiche, auf die Sie sich konzentrieren sollten:
Generelle IT-Sicherheit
- Sind Sie sicher, dass alle Ihre Systeme immer mit den erforderlichen Sicherheitsupdates auf dem neuesten Stand gehalten werden? Das bedeutet nicht, dass Sie sich lediglich darauf verlassen, dass Ihr Virenschutz auf dem neuesten Stand ist. Vielmehr ist es entscheidend, dass Sie den Prozess für das Management von Software-Schwachstellen und -Updates verstehen, selbst wenn ein externer IT-Anbieter diesen Service bereitstellt.
- Verfügen Sie über eine Multifaktor-Authentifizierung (MFA) für alle Remote-Verbindungen und Administratorkonten? Dazu muss der Benutzer über mindestens zwei Authentifizierungsfaktoren verfügen, um auf das System zugreifen zu können, sodass im Falle einer Kompromittierung (z.B. wenn das Passwort erraten wird) ein zweiter Schritt erforderlich ist (z. B. ein an ein Mobiltelefon oder eine E-Mail-Adresse gesendeter Sicherheitscode, biometrische Erkennung), bevor der Zugriff gewährt wird.
- Stellen Sie sicher, dass Ihre Unternehmen oder Mitarbeiter keine Systeme verwenden, die nicht unterstützt werden? Und wenn diese unumgänglich sind, stellen Sie dann sicher, dass sie vom Internet und dem Rest Ihres Netzwerks isoliert sind?
- Kennen Sie den Unterschied zwischen Schwachstellen-Scans und Pentesting und wie oft führen Sie beides durch? Um es einfach auszudrücken: Beim Schwachstellen-Scanning werden Ihre IT-Systeme auf Schwachstellen hin untersucht und beurteilt, während beim Pentesting ein Cyber-Angriff auf diese Schwachstellen simuliert wird, um festzustellen, wie ernst die Situation sein könnte.
Mitarbeiter
- Ihre Mitarbeiter sind möglicherweise das schwächste Glied in der Kette, wenn es um Cybersicherheit geht. Deshalb ist es so entscheidend, dass Sie ein Schulungsprogramm einrichten, das Ihre Mitarbeiter über die Risiken aufklärt, ihnen zeigt, wie sie verdächtige Aktivitäten erkennen können und was sie tun und vor allem nicht tun sollten.
- Wir empfehlen außerdem sporadische Phishing-Simulationen, um die Bereiche Ihrer Belegschaft zu ermitteln, für die Sie mehr Zeit aufwenden müssen, um sie über die Risiken aufzuklären.
Geschäftskontinuität
Die Geschäftskontinuität sollte für alle Unternehmen von zentraler Bedeutung sein, mit klar definierten Prozessen und Prioritäten, die dazu beitragen, Ihre Daten, Ihre Reputation, Ihre Umsätze und letztlich Ihre Wiederherstellung zu sichern. Folgende wichtige Fragen sollten Sie sich stellen:
- Führen Sie regelmäßig Offline-Backups von unternehmenskritischen Daten durch?
- Trennen Sie Ihre IT (die Front-End-Technologie Ihres Unternehmens) von Ihrer OT (Back-End-Technologie, wie z. B. Maschinenanlagen), indem Sie beispielsweise Firewalls oder Air Gapping einsetzen?)
- Isolieren Sie die verschiedenen Standorte?
- Verfügen Sie über einen Plan für die Geschäftskontinuität und/oder die Notfallwiederherstellung im Falle eines Netzwerkausfalls? Haben Sie die Umsetzung dieser Pläne geübt?
Personenbezogene Daten
- Wie sorgfältig gehen Sie mit den Daten um, die sich in Ihrem Besitz befinden?
- Sind sensible Daten durch eine angemessene Verschlüsselung ausreichend gesichert?
- Bewahren Sie nur die Daten auf, die Sie benötigen, und vernichten Sie nicht benötigte Daten ordnungsgemäß?
- Begrenzen Sie die Anzahl der Mitarbeiter, die Zugang zu sensiblen Daten haben?
Regulierung
- Ist Ihr Unternehmen verpflichtet, PCI-DSS-konform zu arbeiten? Unternehmen, die Daten von Karteninhabern speichern, nutzen oder übertragen, müssen diese Akkreditierung besitzen.
Die Versicherungsunternehmen, die Cyber-Versicherungen anbieten, werden die oben genannten Faktoren berücksichtigen, wenn sie entscheiden, ob und zu welchem Preis sie einen Versicherungsschutz anbieten. Aber auch wenn Ihr Unternehmen derzeit nicht auf der Suche nach einer Cyber-Versicherung ist, macht es Sinn, diese Sicherheitsvorkehrungen zu treffen.