Cyberrisiken bedarfsgerecht begegnen – mit GGW Cyber Secure 4.0

GGW sorgt in Zusammenarbeit mit IT-Forensikern für Transparenz in den IT-gesteuerten Kernprozessen des Unternehmens. Neben Schwachstellen und Angriffspunkten im IT-System werden auch die wirtschaftlichen Auswirkungen eines Cyber-Vorfalls ermittelt.

Hamburg, 02.07.2018 – Haben Sie schon mal versucht, Ihre eigene Unternehmens-IT zu hacken? Ihre firmenintern übertragenen Datenströme „abzuhören“ oder eine Virus behafte E-Mail an Ihre Kollegen zu schicken, um zu schauen, ob Ihre Systeme einem solchen Angriff standhalten? „Um Gottes Willen!“ werden Sie jetzt ausrufen, „Natürlich nicht!“ Sollten Sie aber – selbstverständlich nur in Zusammenarbeit mit IT-Forensik-Profis. Denn dann wissen Sie genau, wo die Schwachstellen Ihrer IT liegen – und welche Auswirkungen es auf Ihr Unternehmen hätte, würde jemand diese Schwachstellen ausnutzen.

Mit Sicherheit unsicher

Durch den technischen Fortschritt bieten sich Unternehmen und Gesellschaft heute viele Möglichkeiten der Digitalisierung, Automatisierung und Vernetzung. Begriffe wie „Industrie 4.0“, „Internet of Things“ oder „Internet of Everything“ sind längst in aller Munde. Aber es entstehen auch neue Risiken. Nie hat man sich so große Gedanken um die Sicherheit von IT-Systemen und digitalen Anwendungen gemacht. Und doch gab es noch nie so viele Sicherheitsvorfälle wie in letzter Zeit. "Es gibt zwei Arten von Unternehmen“, sagte schon James Comey, Ex-Direktor des FBI. „Die einen sind gehackt worden. Die anderen wissen es nur noch nicht.“ Das Bundesamt für Sicherheit in der Informationstechnik (BSI) berichtet allein für das Programm „Adobe Reader“ im Zeitraum April 2016 bis März 2017 von rund 230 bekannt gewordenen, behobenen Schwachstellen. Bei Microsoft Windows waren es rund 120 und in MS Office immerhin noch über 50, so das Institut in seinem „Bericht zur Lage der IT-Sicherheit in Deutschland 2017“. Die Zahl der unentdeckten Schwachstellen liegt vermutlich um ein Vielfaches höher.
 

Cyber-Versicherung? Ja! – aber gegen was genau?

Viele Unternehmen beruhigt es heute, sich für den Notfall im Rahmen einer Cyber-Versicherung mehr oder weniger „pauschal“ gegen Hackerangriffe und Online-Betrug absichern zu können. Doch das tatsächliche, individuelle Risiko wird nur von wenigen ermittelt. Dabei kann ein solcher Prozess helfen, den Versicherungsschutz optimal auf den tatsächlichen Bedarf zuzuschneiden und dabei Prämie zu sparen. Doch nicht nur ein Blick auf das IT-System selbst und mögliche Schwachstellen ist wichtig, sondern auch die Frage, welche wirtschaftlichen Auswirkungen sich im Ernstfall ergeben würden und wie das Unternehmen diesen begegnen könnte.  Die GGW Gruppe hat in Zusammenarbeit mit forensischen Dienstleistern einen IT-Sicherheits-Check entwickelt, der sowohl das IT-System selbst als auch die Wertschöpfungskette des Unternehmens unter die Lupe nimmt. Der Check „GGW Cyber Secure 4.0“ lässt sich in verschiedenem Umfang durchführen und kann an den Bedarf des jeweiligen Unternehmens in jeder Stufe individuell angepasst werden.
 

Variante Basis: Quick-Check „klein“

Der Basis-Check dient einer ersten „Bestandsaufnahme“, der mit geringem Aufwand schnelle, erste Ergebnisse über mögliche Risiken der IT-Infrastruktur liefert. Er erfolgt zum einen über Interviews und Gespräche mit IT-Administratoren und anderen Verantwortlichen. Ziel der Interviews ist die Feststellung der tatsächlich vollzogenen IT-gestützten Prozesse und die Identifikation der beteiligten IT-Infrastruktur-Komponenten. Darüber hinaus werden die Systeme, die wesentliche IT-gestützte Prozesse im Hause bereitstellen oder eine Speicherung kritischer Datenbestände leisten, als Produktivumgebung in Augenschein genommen und verschiedene Tests durchgeführt. Das kann entweder vor Ort durch einen Gutachter erfolgen oder in Form eines Notebooks, das als Netzwerksonde von außen und durch einen IT-Sicherheits-Experten gesteuert, die IT-Infrastruktur und -Systeme untersucht.
  

Variante Komfort: Quick-Check „mittel“

Bei komplexerer IT oder vernetzten Standorten mit jeweils eigenständiger IT bietet sich ein Check mittleren Umfangs an. Um den genauen Bedarf des Unternehmens zu ermitteln, werden in der Regel weitere Einzelheiten zu Unternehmen und IT benötigt. Generell werden auch in diesem Check Gespräche mit wichtigen IT-Ansprechpartnern und anderen Verantwortlichen geführt und wichtige Prozesse der Informations- bzw. IT-Sicherheit betrachtet. Dazu gehören beispielsweise die Hardwarebeschaffung und -entsorgung, das Passwort- und Benutzerkontenmanagement, die räumliche Situation des RZ-Bereiches und das Sicherheitsmanagement von Mobilgeräten. Darüber hinaus wird die Netzwerk-Infrastruktur ausführlich und Anwendungen wie ERP, CRM oder Fileserver stichprobenartig auf mögliche IT-Sicherheitslücken und Konfigurationsfehler untersucht. Bei Penetrationsversuchen in Form von Black-, Grey- und/oder Whitebox-Tests wird das Netzwerk mit den IT-Geräten und Anwendungen enumeriert und fortgeschrittenen Angriffen, etwa auf die Windows-AD-Umgebung, ausgesetzt. Zu den Maßnahmen des Penetrationstests zählen beispielsweise Netzwerk- und Portscans, das Abhören von Datenströmen, gegebenenfalls mit zusätzlichem Anstoßen von Kommunikation durch die Verwendung bereitgestellter oder verfügbarer Apps sowie eine passive Auswertung der SSL- / TLS-Einstellungen und der Sicherheit hinsichtlich verschiedener Crypto-Aspekte. Durch die systematische Überprüfung erhält das Unternehmen in der Regel einen fundierten IT-Status Quo und einen umfassenden Überblick über konkrete IT-Sicherheitsprobleme.
 

Variante Komfort: Quick-Check „groß“

Der große Quick-Check bietet gegenüber der mittleren Variante die Möglichkeit, darüber hinaus weitere Systeme und Anwendungen zu untersuchen. Rahmenbedingungen und mögliche Schwerpunkte der zusätzlich zu prüfenden Systeme werden ebenfalls in einem Gespräch oder per Fragebogen vorab geklärt. In der Regel handelt es sich hier um die externe Webseite des Unternehmens, das System der Finanzbuchhaltung oder die Zeiterfassung. Auch die WLAN-Infrastruktur und nach außen sichtbare WLAN-Netzwerke werden ermittelt und von außen analysiert und geprüft. In der Regel können im großen Check einzelne Anwendungen im Rahmen des Penetrationstest gründlich oder sogar sehr gründlich auf mögliche Sicherheitslücken überprüft werden. So werden mit hoher Wahrscheinlichkeit auch individuelle oder komplexe IT-Sicherheitslücken identifiziert.  In dieser Variante werden zusätzlich auch die Räumlichkeiten in Bezug auf den IT-Schutz überprüft. Welche Zutrittskontrollen in die Serverräume und das Rechenzentrum gibt es? Wie ist das Unternehmen generell, die Besprechungsräume oder die Produktionsstätten im Einzelnen vor fremdem Zutritt gesichert? Wie könnte ein Angreifer physisch vor Ort in das IT-System gelangen?
 

Die finanziellen Auswirkungen im Blick – der Workshop Cyber-Risiken

Allen Varianten des Quick-Checks geht der Workshop „Cyber-Risiken“ voraus. Im Gegensatz zur IT an sich wird hier die Wertschöpfungskette des Unternehmens betrachtet und auf die Kernprozesse sowie mögliche Auswirkungen eines Cyber-Angriffs geschaut. Dabei werden wirtschaftliche Risiken in Schadenszenarien mit ihren finanziellen Auswirkungen analysiert, Schadenhöhen und Unterbrechungszeiträume ermittelt und eine individuelle Risikobewertung erstellt. Dem entgegen gestellt und bewertet werden die derzeit vom Unternehmen ergriffenen Maßnahmen zur Risikosteuerung. Daraus ergibt sich ebenfalls ein Status Quo, der gegebenenfalls die Optimierung der vorhandenen oder die Umsetzung weiterer Schutzmaßnahmen empfiehlt. Die Risikoanalyse im Rahmen von GGW Cyber Secure 4.0 stellt auch die Grundlage für eine mögliche Cyberversicherung (oder ihre Überprüfung) dar. Durch die ermittelten Schaden- und Ausfallkosten macht sie zum einen die tatsächlich benötigen Versicherungssummen oder gesondert benötigte Deckungselemente transparent und vermeidet eine Über- oder Unterversicherung. Zum anderen lässt sich die Eintrittswahrscheinlichkeit bestimmter Risiken durch Umsetzung zusätzlicher Schutzmaßnahmen vielleicht verringern. Hier lassen sich höhere Selbstbehalte für den Schadenfall mit dem Versicherer vereinbaren, was entsprechend zu günstigeren Versicherungsprämien führt. Sie haben Fragen zum Quick-Check oder möchten sich zum Thema Cyber-Risiken beraten lassen? Sprechen Sie uns an! Markus Hoffmann, Kundenbetreuer

  • Tel.: +49 40 328101 - 4588
  • E-Mail: M.Hoffmann@ggw.de  
Über die GGW Gruppe

Die Gossler, Gobert & Wolters Gruppe (GGW Gruppe) ist einer der großen unabhängigen und inhabergeführten Industrieversicherungsmakler in Deutschland. Als Experte für integriertes Risiko- und Versicherungsmanagement betreuen die rund 290 Mitarbeiter der GGW Gruppe mittelständische Unternehmen aus Industrie, Handel, Gewerbe sowie den rechts- und wirtschaftsberatenden Berufen. Deutschlandweit ist das Beratungshaus an neun Standorten vertreten und berät in Zusammenarbeit mit internationalen Netzwerken Kunden in über 60 Ländern.

Autor: Anika Wist
Veröffentlicht: 02.07.2018
Share:

Ansprechpartner

Regina Schulz
Gossler, Gobert & Wolters Assekuranz-Makler GmbH – Mitglied der Geschäfts­leitung
Sie möchten eine Publikation oder Pressematerial zugeschickt bekommen? Dann lassen Sie uns gern eine Nachricht zukommen.

Mehr zum Thema

AssVerm Leistungen

Über AssVerm

AssVerm Service

Das könnte auch von Interesse sein

AssVerm Blog

Aktuelles aus unserem Haus

Hamburg, 22.12.2023
UPDATE +++ Bundestag beschließt Gesetz zur Umsetzung der geänderten EU-KH-Richtlinie

Am 14. De­zem­ber hat der Bun­des­tag zum um­strit­te­nen The­ma...

…lesen

Leipzig, 21.12.2023
Erfolgreiche Spendenaktion bei GGW Leipzig

GGW führt re­gel­mä­ßig in­ter­ne Spen­den­ak­tio­nen durch, um...

…lesen

Hamburg, 21.12.2023
Frohe Weihnachten und ein gesundes neues Jahr!

Die ver­gan­ge­nen Mo­na­te stan­den im Zei­chen vie­ler...

…lesen

Hamburg, 13.12.2023
UPDATE +++ Wichtige Änderungen zur Kfz-Haftpflichtversicherung

Ak­tu­ell er­rei­chen uns vie­le Fra­gen zu den...

…lesen

Hamburg, 21.09.2023
UPDATE – INFORMATION FÜR UNSERE GESCHÄFTSPARTNER: WIR SIND WIEDER ERREICHBAR!

Am 16. Sep­tem­ber 2023 kam es zu ei­nem Cy­ber-An­griff auf die...

…lesen

Hamburg, 19.09.2023
Information für unsere Geschäftspartner

Seit dem 16. Sep­tem­ber 2023 sind wir von ei­nem Cy­ber-An­griff...

…lesen

AssVerm Blog

AssVerm Downloadcenter

Wichtige Unterlagen to go

In unserem Downloadcenter finden Sie aktuelle Broschüren und wichtige Formulare zum herunterladen

Zum Downloadcenter