Aufrufe
vor 5 Monaten

RISIKO MANAGER 02.2019

  • Text
  • Risiko
  • Beispielsweise
  • Kennzahlen
  • Unternehmen
  • Steuerung
  • Frankfurt
  • Beziehungsweise
  • Banksteuerung
  • Deutsche
  • Informationen
RISIKO MANAGER ist das führende Medium für alle Experten des Financial Risk Managements in Banken, Sparkassen und Versicherungen. Mit Themen aus den Bereichen Kreditrisiko, Marktrisiko, OpRisk, ERM und Regulierung vermittelt RISIKO MANAGER seinen Lesern hochkarätige Einschätzungen und umfassendes Wissen für fortschrittliches Risikomanagement.

20 firm Frankfurter

20 firm Frankfurter Institut für Risikomanagement und Regulierung »Zunehmende Professionalisierung von Cyberkriminellen« Cyber-Attacken nehmen zu, werden raffinierter und kosten Unternehmen inzwischen Milliarden. Die Bandbreite an Risiken ist groß und erstreckt sich von Cyber Crime über Cyber War bis zum Cyber-Terrorismus und Hacken. Gleichermaßen ist die Motivation, dies zu tun, ebenfalls vielfältig – sei es Geld, Spaß, Ideologie oder Politik. Herkömmliche Sicherheitskonzepte sind zunehmend machtlos. Wir sprachen mit Martin Kreuzer, Cyber Risk Experte im Bereich Corporate Underwriting von Munich Re, dem global tätigen Rückversicherer und Marktführer für Cyber Versicherungen und damit verbundene Service- und Sicherheitsleistungen. FIRM-Redaktion: Basierend auf den Ergebnissen des vor wenigen Tagen im Rahmen des Weltwirtschaftsforums in Davos veröffentlichten Global Risk Reports 2019 gehen 82 Prozent der befragten Experten von einer Zunahme der Cyber-Risiko-Szenarien aus, die zu einem Diebstahl von Geld und Daten (82 Prozent) und zu einer Betriebsunterbrechung (80 Prozent) führen. Welche Entwicklung sehen und erwarten Sie auf der Cyber-Risiko-Landkarte? Martin Kreuzer: Diese Erwartungen stimmen weitgehend mit unseren Einschätzungen überein. Im Übrigen sind die Sorgen vor Betriebsunterbrechung und Datenverlust die Hauptargumente für Unternehmer Cyber-Versicherungen abzuschließen. Generell sehen wir auf der Risikolandkarte eine zunehmende Professionalisierung von Cyber- Kriminellen, einen immer größer werdenden Vernetzungsgrad von Geräten und damit einhergehend immer größer werdende Cyber- Risiken aus der Zulieferkette. Gerade der neue Kommunikationsstandard 5G, der eine zehn Mal höhere Datengeschwindigkeit ermöglicht, wird diese Entwicklung noch einmal immens steigern. FIRM-Redaktion: Die Untersuchung im Global Risk Report 2019 zeigt auf, dass die neuen Instabilitäten vor allem durch die zunehmende Integration digitaler Technologien in alle Lebensbereiche verursacht werden. Hört sich nach der Wahl zwischen Pest und Cholera an. Umfragen zeigen immer wieder, dass Unternehmen sich darin einig sind, dass die digitale Transformation für ihren zukünftigen Erfolg von entscheidender Bedeutung ist. Kann dieser Konflikt irgendwie gelöst werden? Martin Kreuzer: Ein solches Spannungsfeld geht in meinen Augen mit nahezu jedem grundlegenden technischen Fortschritt einher. Die Digitalisierung hat auf alle Bereiche der Gesellschaft Einfluss, vom Berufsleben in allen Branchen über Erziehung, Bildung und Sozialleben bis hin zur politischen und wirtschaftlichen Ordnung eines Landes. Neben den Risiken bringt sie aber auch zahlreiche Chancen und Potenziale, die wir ebenfalls in den Blick nehmen sollten. Gerade in Deutschland überwiegt der kritische Blick, die Metapher von Pest und Cholera ist mir also nicht gänzlich unbekannt (lacht). FIRM-Redaktion: Umso mehr stellt sich die Frage nach Lösungen … Martin Kreuzer: Auch für diese Frage eignet sich die erwähnte Metapher von „Pest und Cholera“: Es sollte Mut machen, dass der Cholera-Erreger vom Infektionsweg bis zur Verbreitung bereits gut erforscht ist und so Impfstoffe und Medikamente entwickeln werden konnten, die eine Infektion ganz verhindern oder zumindest deren Symptome lindern. In gewisser Weise kann das auf digitale Risiken übertragen werden: Auch hier sind konkrete Maßnahmen mit großer Wirkung möglich! Und eine Krankenversicherung gibt es ja zumindest bei uns in Deutschland auch, die im Fall einer Infektion die Kosten übernimmt. Somit gibt es auch in dieser Hinsicht eine Analogie. FIRM-Redaktion: Cyber-Schwachstellen können aus völlig unerwarteten Ursachen resultieren, wie die Prozessor-Schwachstellen Spectre und Meltdown im Jahr 2018 zeigten. Betroffen sind nahezu alle Geräte, die über einen Prozessorchip der betroffenen Hersteller verfügen. Dazu zählen unter anderem Computer, Smartphones und Tablets aller gängigen Betriebssysteme. Wie kann man mit solchen Kumulrisiken umgehen? Martin Kreuzer: Die zunehmende Vernetzung sorgt tatsächlich auch für eine höhere Zahl von erkennbaren Schwachstellen. Diese betreffen den Bereich der Hardware, wie das von Ihnen genannte Beispiel zeigt. Hier sind vor allem die Hersteller von Hardware oder von smarten Produkten gefragt. Leider spielt gerade im Bereich Internet of Things oder Smart Devices das Thema Security eine zu geringe Rolle. Noch signifikanter sind für mich jedoch Software-Schwachstellen. Ein Beispiel: Über ein Software-Update wird Malware verbreitet. Beide Ereig-

21 Ausgabe 02/2019 nisse können einen globalen Effekt haben, von dem hunderttausende Nutzer betroffen sind. Derartige Kumulszenarien bereiten der Assekuranz und insbesondere uns als Rückversicherer tatsächlich Kopfzerbrechen. Daher arbeiten bei uns Informatiker, Versicherungsfachleute, Juristen und Mathematiker an Modellen, welche auch Kumulrisiken abbilden. FIRM-Redaktion: Im Global Risk Report 2019 wird auch das Szenario diskutiert, dass ein erfolgreicher Cyberangriff auf das Stromnetz eines Landes verheerende Spill-over-Effekte auslösen kann. Wie kann man die kritische Infrastruktur eines Landes vor solchen Spill-over-Effekten schützen? Martin Kreuzer: Sogenannte Spill-over Effekte, also Ereignisse, die wiederum Auswirkungen auf andere Zustände beziehungsweise Ereignisse haben können, werden von den Regierungen, Betreibern kritischer Infrastrukturen, IT-Fachleuten und Forschern, aber auch von Versicherungsunternehmen sehr ernst genommen. Durch die Vernetzung fast aller kritischen Infrastrukturen – die Stromversorgung ist ja nur ein Beispiel – können negative Kaskadeneffekte heutzutage auch durch Cyber-Angriffe ausgelöst werden. Die notwendigen Schutzmaßnahmen sind zwar etwas komplexer, aber im Grundsatz vergleichbar mit den Maßnahmen, die auch einzelne Unternehmen für ihre IT-Infrastruktur treffen müssen. Davon sind vor allem Prozesse und Organisation, IT und Technik sowie der Faktor Mensch betroffen. FIRM-Redaktion: Und was bedeutet das konkret? Martin Kreuzer: Dass technische und organisatorische Maßnahmen in allen genannten Bereichen zu treffen sind – konkret etwa beim Faktor Mensch, Mitarbeiter zu schulen, das Bewusstsein für die Problematik zu schärfen und interne wie externe Spezialisten vorzuhalten. Bei Prozessen und Organisation sollte man auf Notfallpläne – sogenannte Incidence Response oder Business-Continuity-Pläne – Audit-Prozesse oder klare Verantwortlichkeiten setzen. Bei letzterem sollten diese immer beim Management liegen. Und: Es gibt viele technische Lösungen und Anbieter, die von Netzwerksicherheit sowie Passwort- und Rechtemanagement über Monitoring bis hin zu Verschlüsselungstechnologien reichen. Wichtig ist, die Kritikalität von Prozessen, Unternehmensbereichen oder Daten im Blick zu haben. Sie sind in der Regel bei kritischen Infrastrukturen anders gelagert als etwa bei einem produzierenden Mittelständler oder einem Kleinunternehmer. FIRM-Redaktion: Im Jahr 2018 warnten die Vertreter der US-Strafverfolgungsbehörde FBI und der Geheimdienste CIA und NSA vor Smartphones und der Hardware des chinesischen Herstellers Huawei und ZTE. Wenn US-Bürger die Geräte dieser Hersteller verwenden, könnten Informationen modifiziert oder gestohlen werden, so der FBI-Direktor Christopher Wray. Wie bewerten Sie aus Risikosicht den Einsatz derartiger Hardware beispielsweise in einer kritischen Internet- und Kommunikationsinfrastruktur? Was ist Ihre Empfehlung? Martin Kreuzer: Unabhängig von einem konkreten Fall gilt: Hardwarehersteller spielen in der heutigen Zeit eine entscheidende Rolle – egal ob beim privaten Smartphone oder einer landesweiten Kommunikations- oder IT-Infrastruktur. Wichtig ist es bei der Auswahl der Hersteller, sich intensiv mit der Qualität eines Produkts und mit der Einhaltung von Standards zu beschäftigen, die idealerweise durch Zertifikate belegt sind. Unterm Strich geht es vor allem um die Frage, ob Vertrauen in den jeweiligen Anbieter der Hardware vorhanden ist. FIRM-Redaktion: Welches Umdenken benötigen wir in einer Welt einer durchgängigen Digitalisierung und Vernetzung im Kontext Sicherheitsdenken? Martin Kreuzer: Wir müssen einen globalen, allumfassenden Ansatz verfolgen, der Hersteller von Hardware und Software, IT-Fachleute, IT-Security-Service-Anbieter, Anwender und Sicherheitsbehörden ebenso einbezieht wie den Gesetzgeber, Bildungsträger und Forschungseinrichtungen. Nur gemeinsam lässt sich in einem globalisierten und digitalisierten Kontext eine effektive Sicherheitsarchitektur etablieren. Eine einhundertprozentige Sicherheit kann es nicht geben – aber wir sollten unser Bestes tun, um größtmögliche Sicherheit zu erreichen. FIRM-Redaktion: Wie bewerten Sie den Risikofaktor Mensch sowie eine adäquate Risikokultur im Kontext der Cyber-Risiko-Landkarte? Martin Kreuzer: Der Faktor Mensch ist und bleibt eine der wichtigsten Säulen im Bereich der Informationssicherheit. Die Einschätzung, dass der Mensch dabei häufig das schwächste Glied in der Kette ist und auch bleiben wird, halte ich für plausibel. Deswegen bleibt es ein zentraler Schlüssel, das Bewusstsein der Mitarbeiter zu schärfen, etwa durch gezielte Kommunikation und Schulungen. FIRM-Redaktion: Wo liegen die größten Cyber-Risiken – speziell für mittelständische Unternehmen und Großkonzerne? Martin Kreuzer: Die größten Risiken liegen in den kritischen und neuralgischen Punkten, die von Unternehmen zu Unternehmen variieren – unabhängig von dessen Größe. Dies können kritische Daten wie etwa Gesundheits- oder Finanzdaten oder auch geistiges Eigentum sein. Neben Daten gibt es aber auch vermehrt neuralgische digitale Prozesse – etwa in der Produktion oder dem Vertrieb, die eine maximale Verfügbarkeit von Systemen erfordern. Aber auch die gesamte Zulieferkette oder die Anbieter von Services erweisen sich immer mehr als sogenannter Flaschenhals, von dem sehr viel abhängt – Cloudlösungen etwa drängen sich hier als gutes Beispiel auf. Insbesondere kleinere und mittlere Unternehmen leiden im Falle eines erfolgten Cyber-Angriffs weitaus stärker unter dessen Folgen als Großkonzerne, da sie in der Regel nicht auf hausinterne Fachabteilungen wie IT-Forensik, juristische Beratung oder ein IT-Notfallmanagement zurückgreifen können. Die Versicherungswirtschaft kann hier – neben dem reinen finanziellen Risikotransfer – wertvolle passende Services anbieten. FIRM-Redaktion: Welche Branchen liegen insbesondere im Fokus der Cyber-Kriminellen? Martin Kreuzer: Wir beobachten eine Nachfrage nach Versicherungsschutz gegen Cyber-Risiken aus nahezu allen Wirtschaftszweigen und Industrien. An der Spitze liegen dabei Betriebe aus dem Gesundheitswesen und dem produzierenden Gewerbe, dicht gefolgt von der Finanzindustrie und dem Dienstleistungssektor sowie IT-Betrieben.

RISIKO MANAGER

RISIKO MANAGER 01.2019
RISIKO MANAGER 02.2019
RISIKO MANAGER 03.2019
RISIKOMANAGER_04.2019
RISIKO MANAGER 05.2019
RISIKO MANAGER 01.2018
RISIKO MANAGER 02.2018
RISIKO MANAGER 03.2018
RISIKO MANAGER 04.2018
RISIKO MANAGER 05.2018
RISIKO MANAGER 06.2018
RISIKO MANAGER 07.2018
RISIKO MANAGER 08.2018
RISIKO MANAGER 09.2018
RISIKO MANAGER 10.2018
RISIKO MANAGER 01.2017
RISIKO MANAGER 02.2017
RISIKO MANAGER 03.2017
RISIKO MANAGER 04.2017
RISIKO MANAGER 05.2017
RISIKO MANAGER 06.2017
RISIKO MANAGER 07.2017
RISIKO MANAGER 08.2017
RISIKO MANAGER 09.2017
RISIKO MANAGER 10.2017
RISIKO MANAGER 01.2016
RISIKO MANAGER 02.2016
RISIKO MANAGER 03.2016
RISIKO MANAGER 04.2016
RISIKO MANAGER 05.2016
RISIKO MANAGER 06.2016
RISIKO MANAGER 07.2016
RISIKO MANAGER 08.2016
RISIKO MANAGER 09.2016
RISIKO MANAGER 10.2016
RISIKO MANAGER 01.2015
RISIKO MANAGER 02.2015
RISIKO MANAGER 03.2015
RISIKO MANAGER 04.2015
RISIKO MANAGER 05.2015
RISIKO MANAGER 06.2015
RISIKO MANAGER 07.2015
RISIKO MANAGER 08.2015
RISIKO MANAGER 09.2015
RISIKO MANAGER 10.2015
RISIKO MANAGER 11.2015
RISIKO MANAGER 12.2015
RISIKO MANAGER 13.2015
RISIKO MANAGER 15-16.2015
RISIKO MANAGER 17.2015
RISIKO MANAGER 18.2015
RISIKO MANAGER 19.2015
RISIKO MANAGER 20.2015
RISIKO MANAGER 21.2015
RISIKO MANAGER 22.2015
RISIKO MANAGER 23.2015
RISIKO MANAGER 24.2015
RISIKO MANAGER 25-26.2015
 

Copyright Risiko Manager © 2004-2017. All Rights Reserved.