Cyber-Risiken: Wie sich die Gefährdungslage von Unternehmen realistisch einschätzen lässt

Die zurückliegenden Monate zeigen es deutlich: In Krisenzeiten sind Cyber-Gefahren allgegenwärtig. Tendenziell nehmen die Risiken sogar zu. Denn der anhaltende Digitalisierungsschub hinterlässt Schwachstellen in den betrieblichen IT-Prozessen, welche die Täter zielgerichtet ausnutzen. So sind beispielsweise die globalen Angriffe mit Ransomware, nach Angaben des amerikanischen Cyber-Spezialisten Coveware, seit 2019 um fast 715 Prozent gestiegen. Auch die Lösegeldzahlungen aufgrund von Erpressungen infolge der Datenverschlüsselungen kletterten weiter nach oben.

Mehr denn je sind Unternehmen gefordert, ihre IT-Netzwerke gegen Cyber-Attacken zu schützen. Aber wie kann dies mit überschaubarem Aufwand gelingen? Einen Ansatz liefert das Tool „Cyber Quotient Evaluation“, kurz CyQu. Das preisgekrönte Online-Selbstanalyseverfahren versetzt Unternehmen in die Lage, ihre Risikoexponierung anhand von neun Sicherheitsbereichen zu bewerten. Dabei werden die Ergebnisse in 35 Sicherheitsdomänen detailliert aufgeschlüsselt (siehe Schaubild).

Risiko-Tool legt erhöhte Cyber-Risikoexponierung durch Homeworking offen

CyQu analysiert auch das Thema „Heimarbeit/Telearbeit“ und das hierdurch vielfach erhöhte Risiko. Wird den Mitarbeitern firmeneigene Hard- und Software zur Verfügung gestellt? Gibt es Richtlinien über den Einsatz von Privatgeräten? Sind Verschlüsselungstechniken im Einsatz? Antworten auf diese und weitere Fragen decken die Schwachstellen in der Cyberabwehr auf. Das Ausfüllen der webbasierten Risikoanalyse dauert durchschnittlich 90 Minuten oder sogar weniger. Denn mehrere Mitarbeiter können die Analyse gleichzeitig multilingual durchführen. Bis Ende dieses Jahres bietet Aon Unternehmen kostenlos die Möglichkeit an, ihre betrieblichen Cyber-Risiken durch CyQu selbst zu evaluieren.

Sofort nach Abschluss der Selbstbewertung gibt ein Cyber Risk Maturity Score Auskunft über den Cyber-Reifegrad des Betriebs – und ermöglicht so eine Selbstverortung im Vergleich mit dem nach unseren Erfahrungen erforderlichen Reifegradniveau sowie dem vergleichbaren Unternehmen der Branche, den sogenannten „Peers“. Gleichzeitig erfährt der Nutzer, wie gut die bisher getroffenen technischen wie organisatorischen Maßnahmen wirklich schützen und mit welchen Sofortmaßnahmen gefährliche IT-Schwachstellen geschlossen werden können.

Wie hoch ist die betriebliche Cyber-Resilience?

Auf Basis der Analyseergebnisse und darauf aufbauender Interviews können Aon’s Cyber-Spezialisten einen ausführlichen CyQu-Bericht erstellen. Dies stellt eine kostenpflichtige Dienstleistung dar, greift aber auf die Ergebnisse des zuvor kostenlos durchgeführten Assessments zurück. Die Unternehmen erhalten dadurch konkrete Verbesserungsmaßnahmen in verschiedenen Bereichen wie beispielsweise dem externen Risikomanagement, der Netzwerk- und Applikationssicherheit sowie Mitarbeiterschulungen. Zudem bekommen die Unternehmenslenker strategische Handlungsempfehlungen an die Hand. In den Fokus rückt hier der Aufbau einer Resilience-Strategie.

Basierend auf den Ergebnissen der CyQu-Evaluierung erarbeiten unsere Experten bei Bedarf im Rahmen eines Folgeprojekts einen auf zwölf Monate ausgelegten Projektplan. Dieser Plan benennt alle Aktivitäten, Ressourcen und Mitarbeiter, die in die Resilience-Strategie einzubeziehen sind. Organisationsübergreifend werden sukzessive die erforderlichen Prozesse aufgesetzt, um die betriebliche Widerstandsfähigkeit zu stärken. Finale Tests prüfen die Abläufe schließlich auf ihre Wirksamkeit. Angriffssimulationen, sogenannte Penetration-Tests, stellen dabei ein besonders wirksames Mittel dar, weil sie die typischen Vorgehensweisen von Cyber-Tätern abbilden und so die Realität bestmöglich widerspiegeln.

Prävention stärken und Prämiendruck verringern

Gerade in Zeiten eines krisenbedingt erhöhten Kostendrucks erweist sich der Einsatz von CyQu als äußerst effektiv. Häufig anzutreffende Kostensenkungsstrategien wie die Erhöhung von Selbstbehalten oder die Verringerung kompletter Deckungsvolumina senken im Ergebnis das betriebliche Schutzniveau gegen Cyber-Angriffe. Durch den Einsatz des Risiko-Tools schließen Unternehmen hingegen zielgenau die identifizierten IT-Schwachstellen, minimieren das Risiko, dass Hacker ihr betriebliches IT-System lahmlegen und verringern den Prämiendruck vonseiten der Versicherer. Trotz ungebrochen großer Nachfrage nach Cyber-Deckungen senken viele Gesellschaften derzeit ihre Limits und erhöhen teils massiv die Prämien – wie der Aon Marktreport 2020 aufzeigt.

Aon Cyber Solutions lädt Sie am 18.11. zum Online-Seminar „Die D-A-CH Perspektive zu Schadentrends, Krisenmanagement und Prävention“ ein. Das sind die Themen:

• Cyber Betriebsunterbrechung: Die unterschätzte Gefahr bei produzierenden Unternehmen (Martin Kainz, Aon Österreich)
• Assistance & Krisenreaktion im Cyber-Schadenfall (Raphael Schmid, Aon Schweiz)
• Vorvertragliche Analyse der Cybersicherheit – Vorteile und Best Practices (Konstantin Bittig)