Cyberrisiken bedarfsgerecht begegnen – mit GGW Cyber Secure 4.0

GGW sorgt in Zusammenarbeit mit IT-Forensikern für Transparenz in den IT-gesteuerten Kernprozessen des Unternehmens. Neben Schwachstellen und Angriffspunkten im IT-System werden auch die wirtschaftlichen Auswirkungen eines Cyber-Vorfalls ermittelt.

Hamburg, 02.07.2018 – Haben Sie schon mal versucht, Ihre eigene Unternehmens-IT zu hacken? Ihre firmenintern übertragenen Datenströme „abzuhören“ oder eine Virus behafte E-Mail an Ihre Kollegen zu schicken, um zu schauen, ob Ihre Systeme einem solchen Angriff standhalten? „Um Gottes Willen!“ werden Sie jetzt ausrufen, „Natürlich nicht!“ Sollten Sie aber – selbstverständlich nur in Zusammenarbeit mit IT-Forensik-Profis. Denn dann wissen Sie genau, wo die Schwachstellen Ihrer IT liegen – und welche Auswirkungen es auf Ihr Unternehmen hätte, würde jemand diese Schwachstellen ausnutzen.

Mit Sicherheit unsicher

Durch den technischen Fortschritt bieten sich Unternehmen und Gesellschaft heute viele Möglichkeiten der Digitalisierung, Automatisierung und Vernetzung. Begriffe wie „Industrie 4.0“, „Internet of Things“ oder „Internet of Everything“ sind längst in aller Munde. Aber es entstehen auch neue Risiken. Nie hat man sich so große Gedanken um die Sicherheit von IT-Systemen und digitalen Anwendungen gemacht. Und doch gab es noch nie so viele Sicherheitsvorfälle wie in letzter Zeit. "Es gibt zwei Arten von Unternehmen“, sagte schon James Comey, Ex-Direktor des FBI. „Die einen sind gehackt worden. Die anderen wissen es nur noch nicht.“

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) berichtet allein für das Programm „Adobe Reader“ im Zeitraum April 2016 bis März 2017 von rund 230 bekannt gewordenen, behobenen Schwachstellen. Bei Microsoft Windows waren es rund 120 und in MS Office immerhin noch über 50, so das Institut in seinem „Bericht zur Lage der IT-Sicherheit in Deutschland 2017“. Die Zahl der unentdeckten Schwachstellen liegt vermutlich um ein Vielfaches höher.
 

Cyber-Versicherung? Ja! – aber gegen was genau?

Viele Unternehmen beruhigt es heute, sich für den Notfall im Rahmen einer Cyber-Versicherung mehr oder weniger „pauschal“ gegen Hackerangriffe und Online-Betrug absichern zu können. Doch das tatsächliche, individuelle Risiko wird nur von wenigen ermittelt. Dabei kann ein solcher Prozess helfen, den Versicherungsschutz optimal auf den tatsächlichen Bedarf zuzuschneiden und dabei Prämie zu sparen. Doch nicht nur ein Blick auf das IT-System selbst und mögliche Schwachstellen ist wichtig, sondern auch die Frage, welche wirtschaftlichen Auswirkungen sich im Ernstfall ergeben würden und wie das Unternehmen diesen begegnen könnte. 

Die GGW Gruppe hat in Zusammenarbeit mit forensischen Dienstleistern einen IT-Sicherheits-Check entwickelt, der sowohl das IT-System selbst als auch die Wertschöpfungskette des Unternehmens unter die Lupe nimmt. Der Check „GGW Cyber Secure 4.0“ lässt sich in verschiedenem Umfang durchführen und kann an den Bedarf des jeweiligen Unternehmens in jeder Stufe individuell angepasst werden.
 

Variante Basis: Quick-Check „klein“

Der Basis-Check dient einer ersten „Bestandsaufnahme“, der mit geringem Aufwand schnelle, erste Ergebnisse über mögliche Risiken der IT-Infrastruktur liefert. Er erfolgt zum einen über Interviews und Gespräche mit IT-Administratoren und anderen Verantwortlichen. Ziel der Interviews ist die Feststellung der tatsächlich vollzogenen IT-gestützten Prozesse und die Identifikation der beteiligten IT-Infrastruktur-Komponenten. Darüber hinaus werden die Systeme, die wesentliche IT-gestützte Prozesse im Hause bereitstellen oder eine Speicherung kritischer Datenbestände leisten, als Produktivumgebung in Augenschein genommen und verschiedene Tests durchgeführt. Das kann entweder vor Ort durch einen Gutachter erfolgen oder in Form eines Notebooks, das als Netzwerksonde von außen und durch einen IT-Sicherheits-Experten gesteuert, die IT-Infrastruktur und -Systeme untersucht.
  

Variante Komfort: Quick-Check „mittel“

Bei komplexerer IT oder vernetzten Standorten mit jeweils eigenständiger IT bietet sich ein Check mittleren Umfangs an. Um den genauen Bedarf des Unternehmens zu ermitteln, werden in der Regel weitere Einzelheiten zu Unternehmen und IT benötigt. Generell werden auch in diesem Check Gespräche mit wichtigen IT-Ansprechpartnern und anderen Verantwortlichen geführt und wichtige Prozesse der Informations- bzw. IT-Sicherheit betrachtet. Dazu gehören beispielsweise die Hardwarebeschaffung und -entsorgung, das Passwort- und Benutzerkontenmanagement, die räumliche Situation des RZ-Bereiches und das Sicherheitsmanagement von Mobilgeräten. Darüber hinaus wird die Netzwerk-Infrastruktur ausführlich und Anwendungen wie ERP, CRM oder Fileserver stichprobenartig auf mögliche IT-Sicherheitslücken und Konfigurationsfehler untersucht. Bei Penetrationsversuchen in Form von Black-, Grey- und/oder Whitebox-Tests wird das Netzwerk mit den IT-Geräten und Anwendungen enumeriert und fortgeschrittenen Angriffen, etwa auf die Windows-AD-Umgebung, ausgesetzt. Zu den Maßnahmen des Penetrationstests zählen beispielsweise Netzwerk- und Portscans, das Abhören von Datenströmen, gegebenenfalls mit zusätzlichem Anstoßen von Kommunikation durch die Verwendung bereitgestellter oder verfügbarer Apps sowie eine passive Auswertung der SSL- / TLS-Einstellungen und der Sicherheit hinsichtlich verschiedener Crypto-Aspekte. Durch die systematische Überprüfung erhält das Unternehmen in der Regel einen fundierten IT-Status Quo und einen umfassenden Überblick über konkrete IT-Sicherheitsprobleme.

Variante Komfort: Quick-Check „groß“

Der große Quick-Check bietet gegenüber der mittleren Variante die Möglichkeit, darüber hinaus weitere Systeme und Anwendungen zu untersuchen. Rahmenbedingungen und mögliche Schwerpunkte der zusätzlich zu prüfenden Systeme werden ebenfalls in einem Gespräch oder per Fragebogen vorab geklärt. In der Regel handelt es sich hier um die externe Webseite des Unternehmens, das System der Finanzbuchhaltung oder die Zeiterfassung. Auch die WLAN-Infrastruktur und nach außen sichtbare WLAN-Netzwerke werden ermittelt und von außen analysiert und geprüft. In der Regel können im großen Check einzelne Anwendungen im Rahmen des Penetrationstest gründlich oder sogar sehr gründlich auf mögliche Sicherheitslücken überprüft werden. So werden mit hoher Wahrscheinlichkeit auch individuelle oder komplexe IT-Sicherheitslücken identifiziert. 

In dieser Variante werden zusätzlich auch die Räumlichkeiten in Bezug auf den IT-Schutz überprüft. Welche Zutrittskontrollen in die Serverräume und das Rechenzentrum gibt es? Wie ist das Unternehmen generell, die Besprechungsräume oder die Produktionsstätten im Einzelnen vor fremdem Zutritt gesichert? Wie könnte ein Angreifer physisch vor Ort in das IT-System gelangen?
 

Die finanziellen Auswirkungen im Blick – der Workshop Cyber-Risiken

Allen Varianten des Quick-Checks geht der Workshop „Cyber-Risiken“ voraus. Im Gegensatz zur IT an sich wird hier die Wertschöpfungskette des Unternehmens betrachtet und auf die Kernprozesse sowie mögliche Auswirkungen eines Cyber-Angriffs geschaut. Dabei werden wirtschaftliche Risiken in Schadenszenarien mit ihren finanziellen Auswirkungen analysiert, Schadenhöhen und Unterbrechungszeiträume ermittelt und eine individuelle Risikobewertung erstellt. Dem entgegen gestellt und bewertet werden die derzeit vom Unternehmen ergriffenen Maßnahmen zur Risikosteuerung. Daraus ergibt sich ebenfalls ein Status Quo, der gegebenenfalls die Optimierung der vorhandenen oder die Umsetzung weiterer Schutzmaßnahmen empfiehlt.

Die Risikoanalyse im Rahmen von GGW Cyber Secure 4.0 stellt auch die Grundlage für eine mögliche Cyberversicherung (oder ihre Überprüfung) dar. Durch die ermittelten Schaden- und Ausfallkosten macht sie zum einen die tatsächlich benötigen Versicherungssummen oder gesondert benötigte Deckungselemente transparent und vermeidet eine Über- oder Unterversicherung. Zum anderen lässt sich die Eintrittswahrscheinlichkeit bestimmter Risiken durch Umsetzung zusätzlicher Schutzmaßnahmen vielleicht verringern. Hier lassen sich höhere Selbstbehalte für den Schadenfall mit dem Versicherer vereinbaren, was entsprechend zu günstigeren Versicherungsprämien führt.

 

Sie haben Fragen zum Quick-Check oder möchten sich zum Thema Cyber-Risiken beraten lassen? Sprechen Sie uns an!

Markus Hoffmann, Kundenbetreuer

Über die GGW Gruppe

Die Gossler, Gobert & Wolters Gruppe (GGW Gruppe) ist einer der großen unabhängigen und inhabergeführten Industrieversicherungsmakler in Deutschland. Als Experte für integriertes Risiko- und Versicherungsmanagement betreuen die rund 290 Mitarbeiter der GGW Gruppe mittelständische Unternehmen aus Industrie, Handel, Gewerbe sowie den rechts- und wirtschaftsberatenden Berufen. Deutschlandweit ist das Beratungshaus an neun Standorten vertreten und berät in Zusammenarbeit mit internationalen Netzwerken Kunden in über 60 Ländern.

Autor: Anika Wist
Veröffentlicht: 02.07.2018
Share:

Ihre Ansprechpartner

Sie möchten eine Publikation oder Pressematerial zugeschickt bekommen? Dann lassen Sie uns gern eine Nachricht zukommen.

Mehr zum Thema

Über GGW

GGW Service

Das könnte auch von Interesse sein

GGW Blog

Aktuelles aus unserem Haus

Hamburg, 18.09.2018
Positives Feedback bei Kundenumfrage 2018

Vor wenigen Wochen haben wir eine allgemeine Kundenumfrage durchgeführt. Wir freuen uns sehr, dass...

…lesen

Hamburg, 07.09.2018
Afrikanische Schweinepest – finanziellen Einbußen zuvorkommen

Die Afrikanische Schweinepest (ASP) ist eine in der Regel tödlich endende Seuche für Wild- und...

…lesen

Hamburg, 30.08.2018
Eine Hakenlast-Versicherung reicht oft nicht aus

Zunehmend übernehmen Arbeitsbühnenvermieter Hebeleistungen für ihre Kunden. Wie sieht es aber mit...

…lesen

Hamburg, 13.07.2018
SMR Risikomonitor® neu aufgelegt

Der neue Risikomonitor der GGW Tochter SMR vereint modernes Design mit intuitiver Menüführung und...

…lesen

Hamburg, 13.03.2018
Einheitliche kaufrechtliche Mängelhaftung

Bisher gab es unterschiedliche Regelungen, wer beim Ausbau einer mangelhaft gelieferten Sache und...

…lesen

Hamburg, 13.03.2018
EU-Datenschutzgrundverordnung

Hat Ihr Unternehmen bereits ausreichende Maßnahmen im Sinne der neuen EU-Datenschutzgrundverordnung...

…lesen

GGW Blog

GGW Newsletter

Immer Bestens informiert

Melden Sie sich jetzt hier an und bleiben Sie immer besten informiert.

Newsletter abonnieren
×

Newsletter abonnieren

GGW informiert zielgruppen- und interessen­spezifisch über Trends und Neuig­keiten aus dem Versicherungs­markt.

Jetzt anmelden