„Ein Notfallhelfer, wenn es digital brennt“

Unternehmen haben sich vielfach nicht oder nur ungenügend auf einen Cyberangriff vorbereitet. Mittels Incident Response (IR), also Notfallmanagement, können sich Unternehmen bestmöglich für den Ernstfall wappnen. Eine aktuelle Analyse von Forrester Research bietet einen umfassenden Marktüberblick und bewertet das Leistungsspektrum von insgesamt 13 IR-Anbietern. Im Interview berichten die Aon-Experten Dr. Ing. Gunnar Siebert, Head of M&A Cyber DACH und Konstantin Bittig, Director Cyber Risk & Security DACH, warum Unternehmen an einem qualitativ guten IR heute nicht mehr vorbeikommen.

Warum benötigen Unternehmen einen Incident Response?

Dr.-Ing. Gunnar Siebert: In den Unternehmen weiß sonst niemand, was im Angriffsfall zu tun ist. Stattdessen vergeht kostbare Zeit, weil sich der angegriffene Betrieb erstmal erkundigen muss, welcher Dienstleister ihm jetzt weiterhelfen kann und dies in einer Situation, in der die IT-Systeme oder die Produktion lahmgelegt sind. Jeder weiß, was im Brandfall zu tun ist: die 112 wählen. Aber wo ruft man an, wenn es digital brennt? Unternehmen benötigen deshalb einen Anbieter von Incident Response (IR), also einen Notfallhelfer. Allerdings sind die Kapazitäten der Spezialisten begrenzt. Deshalb kann es viele Stunden oder sogar Tage dauern, bis ein Dienstleister gefunden ist, von der Expertise des IR-Anbieters einmal ganz abgesehen.

Wie bedrohlich ist die Lage im Ernstfall?

Dr.-Ing. Gunnar Siebert: Wenn plötzlich die Produktion stillsteht, der Web-Shop lahmgelegt ist, Daten gestohlen wurden oder die Belegschaft vor schwarzen Monitoren sitzt, ist das für das Unternehmen purer Stress. Vielfältige Fragestellungen prasseln dann auf die Betroffenen ein: Welche Daten wurden kompromittiert? Welche Landes- und Bundesbehörden müssen informiert werden? Wie ist der Vorfall gegenüber Stakeholdern und Shareholdern zu kommunizieren? Drohen möglicherweise Vertragsstrafen durch Datensicherheitsverletzungen? Wie können die Mitarbeitenden beruhigt werden? Die Aufregung ist meist immens. Ohne Unterstützung von Spezialisten ist es kaum möglich, in solchen Situationen einen klaren Kopf zu bewahren. Das ist aber nötig, denn Zeit kostet Geld.

Warum zählt bei einem Angriff jede Minute?

Dr.-Ing. Gunnar Siebert: Nicht jede Minute, sondern viel mehr jede Sekunde, die nach einem Cyberangriff ungenutzt bleibt, wird für das Unternehmen am Ende teurer. Denn die Täter können ihr kriminelles Handwerk unerkannt fortsetzen und tiefer ins betriebliche IT-System eindringen, was den betrieblichen Schaden immer weiter in die Höhe treibt. Deshalb gilt es im Angriffsfall einerseits herauszufinden, wie die Attacke stattgefunden hat, um daraus die richtigen Maßnahmen abzuleiten, damit die kompromittierten IT-Systeme möglichst schnell wieder funktionsfähig sind. Andererseits müssen die kritischen Bereiche identifiziert und abgeschottet werden, um die Folgen des Angriffs so weit wie möglich zu begrenzen. Nur qualitativ gute IR-Anbieter stellen das erforderliche Leistungsspektrum weltweit komplett zur Verfügung. Das internationale Beratungsunternehmen Forrester Research hat jüngst den IR-Markt analysiert, damit Unternehmen wissen, wer ihnen am besten helfen kann, wenn sie Opfer eines Cyberangriffs geworden sind und wie die Anbieter weltweit aufgestellt sind.

Wie ist das Ergebnis ausgefallen?

Konstantin Bittig: Forrester Research hat in seinem Report über Cybersecurity IR-Services „The Forrester Wave” 13 international agierende IR-Anbieter anhand von 24 Kriterien untersucht und bewertet. Stroz Friedberg, die bereits 2016 von Aon übernommen worden sind, erhielten bei elf Kriterien die höchstmögliche Punktzahl und wurden auf dieser Basis zum „Leader“ gekürt. Unsere Vision, die vertikale Integrationsstrategie und der ganzheitliche Ansatz für Cybersicherheits-Resilienzprogramme gehören zu den Top-Fähigkeiten, die uns gerade gegenüber Mitbewerbern auszeichnen.

Wie ist Stroz Friedberg global aufgestellt?

Konstantin Bittig: Als globaler Risk Adviser identifizieren wir die Auswirkungen von Cyberangriffen und implementieren Lösungen, um die Folgen weitestgehend zu begrenzen und die Produktions- oder Geschäftsfähigkeit schnellstmöglich wiederherzustellen. Weltweit sind hierfür einige 100 Expertinnen und Experten täglich im Einsatz, die auch über spezialisiertes Detailwissen in den vielen IT-Teilbereichen verfügen. Sie kennen die Gegebenheiten und Anforderungen vor Ort, beispielsweise im Hinblick auf neue Angriffsformen, die irgendwo auf der Welt gerade neues Gefährdungspotenzial schaffen. Auch im Umgang mit Bundes- und Landesbehörden ist dieses Detailwissen sehr hilfreich. So muss zum Beispiel bei einem Cyberangriff in den USA das FBI innerhalb von 24 Stunden informiert werden. Zudem stehen unseren Kunden weltweit über 13 Forensik-Labore zur Verfügung. Denn im Angriffsfall muss es wie gesagt schnell gehen und Lösungen lassen sich oft nicht allein auf digitalem Wege finden.

Können Unternehmen einen IR-Service auch über ihren Cyberversicherer erhalten?

Dr.-Ing. Gunnar Siebert: Viele Unternehmen beschäftigen sich erst im Kontext einer Cyberversicherung mit einem IR. Die Versicherer bieten ein solches Notfallmanagement zwar im Rahmen von Servicepaketen an. Die Leistungen werden aber durch Servicepartner des Versicherers bereitgestellt, da die Gesellschaften weder die Kapazitäten noch das Know-how dafür besitzen. Unternehmen sind also gefordert, sich separat mit den einzelnen Dienstleistern abzustimmen. Dies setzt aber voraus, dass sie einen adäquaten Cyberversicherungsschutz erhalten.

Wie bewerten Sie die aktuelle Marktsituation?

Konstantin Bittig: Für Unternehmen wird es immer schwieriger, einen bedarfsgerechten Cyberdeckungsschutz zu bekommen, weil die Versicherer nur noch begrenzt Kapazitäten bereitstellen. Ohne Risikoausschlüsse, hohe Prämienaufschläge oder strikte Vorgaben für das Risikomanagement geht hier zusehends gar nichts mehr. Spätestens dann ist es für Unternehmen angezeigt, möglichst einen IR-Retainer mit einem Dienstleister zu vereinbaren, damit im Ernstfall sofort klar ist, wer aktiviert werden muss und was zu tun ist. Die Zusammenarbeit mit Stroz Friedberg basiert auf einem klaren Leistungsmodell, das gerade auch viele mittelständische Kunden schätzen.

Wie stellt sich das Modell im Kern dar?

Konstantin Bittig: Unsere Kunden erhalten jährlich eine Grundleistung über beispielsweise 50 Einsatzstunden zu einem fest vereinbarten Preis und einen fixen Stundensatz für zusätzlich benötigte Kapazitäten. Wird die Grundleistung aber nicht abgerufen, sind die geleisteten Zahlungen nicht wie bei den meisten Versicherern „verbraucht“, sondern können für zusätzliche Maßnahmen eingesetzt werden. Dazu zählen zum Beispiel dezidierte Schwachstellentests zur Identifizierung etwaiger Hintertüren, die auch von richtigen Angreifern genutzt werden könnten. Wir wollen hier sehr fair mit unseren Kunden umgehen, was gut ankommt. Denn Cybersicherheit ist ein dauerhafter Prozess, weil sich nicht nur die IT, sondern auch die Angriffsformen stetig weiterentwickeln.

Zu Aon’s Cyber Security Risk Report geht es hier.
Zu den Cybersecurity Incident Response Services, Q1 2022, The Forrester Wave geht es hier.

Zurück zur Startseite
Dr.-Ing. Gunnar Siebert
Head of M&A | Cyber D-A-CH | Aon
+49 69 29727 6406

Konstantin Bittig
Director Cyber Risk & Security, D-A-CH Cyber Solutions
+49 208 7006 2362