Silent Cyber - Gefahren und Möglichkeiten
Silent Cyber - Gefahren und MöglichkeitenQuelle: Bild von AllClear55 auf Pixabay 
Märkte & Vertrieb

Silent-Cyber-Risiko transparent machen

Von Prof. Dr.-Ing. Ulrich Greveler und Sabine Pawig-SanderTagesaktuelle Informationen und Neuigkeiten aus der Versicherungsbranche. Alle Nachrichten des Tagesreports auch als Newsletter abonnierbar.
"Silent Cyber" wird heftig diskutiert. Im Kern geht es dabei um die Versicherung, ja die Versicherbarkeit solcher Sach- und Personenschäden, die durch Cybergefahren ausgelöst werden. Und darum, in welchem Umfang Versicherungsverträge außerhalb der Sparte Cyber derartige Cyber-Schäden bereits "stillschweigend" abdecken. Eine der Herausforderungen für Versicherer und Versicherungsnehmer besteht darin, in der Risikoabschätzung sämtliche Komponenten des "Silent Cyber"-Risikos zu erfassen. Ein Gastbeitrag von Sabine Pawig-Sander Geschäftsführende Gesellschafterin Erichsen GmbH und Herr Prof. Dr.-Ing. Ulrich Greveler, Fachhochschule Rhein-Waal.

Es gilt, eine ganzheitliche Risikoanalyse durchzuführen, die auch die bisher noch nicht umfassend betrachteten "schlummernden" Cyber-Sach- und Personen-Risiken umfasst. Eine Risikoanalyse sollte sowohl für das versicherte Unternehmen als auch für den Versicherer Klarheit schaffen, doch wie lassen sich die versteckten Cyber-Risiken aufspüren?

 

Cyberrisiken sind nicht nur IT-Ausfälle und gestohlene Daten

 

Wer an Cyber-Risiken denkt, denkt in erster Linie an explizit informationsverarbeitende Systeme, das heißt an Server und PCs, Datenbanken und ERP-Systeme, mobile Kommunikationsgeräte und Datenspeicher aller Art. Diese Systeme werden in der Regel von einer IT-Abteilung im Unternehmen administriert und gepflegt, dabei sind auch potentielle Sicherheitslücken und Schwachstellen im Fokus dieser Abteilung, die sich für die Durchsetzung von Sicherheitsanforderungen verantwortlich fühlt und dazu entsprechende Ressourcen bei der Unternehmensleitung einfordert.

 

Versteckte Cyber-Risiken beginnen oft dort, wo die Verantwortung der IT-Abteilung endet. Systeme, für sich auf einer informationstechnischen Ebene niemand so richtig verantwortlich fühlt, werden sehr häufig nicht nur seltener gepflegt und unzureichend abgesichert, ihre Existenz ist vielen Entscheidern nicht bekannt, so dass sie bei Risikobetrachtungen oft unter den Tisch fallen. Eine ganzheitliche Risikoanalyse wird aber unweigerlich scheitern, wenn nicht einmal das "Cyber-Inventar" vollständig erfasst wurde.

 

Wie erkennt man informationsverarbeitende Systeme bzw. ihre digitalen Komponenten?

 

Einige Faustregeln können helfen, Lücken bei der Betrachtung zu vermeiden.

 

  • Alle Systeme, die üblicherweise von der Unternehmens-IT bzw. externen IT-Dienstleistern administriert werden, sind bei der Cyber-Risiko-Betrachtung zu berücksichtigen. Dabei neben Clients und Servern nicht vergessen: Netzwerkkomponenten (Switche, Router), Telefonie/Fax, Druckerkopierer und mobile Geräte (Handhelds, Smartphones)
  • Alle Geräte, die unter digitale Produktion, Industrie 4.0, CAD/CAM, additive/subtraktive Fertigung (3D-Druck, Fräsen), Internet of Things oder digitale Logistik fallen, sind zu berücksichtigen.
  • Jedes Gerät, das digital vernetzt ist, ist zu berücksichtigen: Displays/Smart TVs, Beleuchtung, Audiotechnik, Eingabegeräte/Scanner, Kassensysteme, Produktionsgeräte, Sensoren und Aktoren in der Produktion, im Bürobereich, im Lager und auf dem Außengelände
  • Jedes Gerät, das eine „intelligente Komponente“ (CPUs bzw. Mikrocontroller) enthält, ist zu berücksichtigen: Produktionsmaschinen, Anlagen zur physikalischen, chemischen oder biologischen Verarbeitung, Uhren, Anzeigen, Drucken/Verpacken, Messgeräte, Werkzeuge
  • Haustechnik und Gebäudeleittechnik explizit betrachten, da hier oft intelligente Komponenten vergessen werden.  Je moderner das Gebäude, desto größer ist die Cyberangriffsfläche: Abschattung, Heizung, Kühlung, Entfeuchtung, Schranken, Alarmaufschaltung, Aufzüge, Lastentransport, Zutrittssysteme, Zufahrtssteuerung, Schaltschränke, Rolltore, Versorgung mit Strom, Luft, Wasser und Wärme
  • Alle Komponenten, die mit Steuerung und Regelung in Zusammenhang stehen, sind zu betrachten. Sind es rein analoge Systeme, z. B. mechanische Absperrventile, kann man sie „gedanklich“ aussortieren. Oft werden aber digitale Steuerungen übersehen, insbesondere in der Haustechnik und Produktionstechnik.

Bei einigen der so identifizierten Geräte wird man rasch zum Ergebnis kommen, dass sie nicht zum Cyber-Risiko beitragen, da sie keine Assets darstellen, weder für Geschäftsprozesse eine Rolle spielen, noch ihre Umgebung gefährden können. Das Augenmerk sollte aber zunächst darauf liegen, keine potentiellen Cyberrisiken zu übersehen. Streichen kann man Inventar-Elemente immer noch.

 

Was macht man nun mit der Liste?

 

Für alle zuvor ermittelten informationsverarbeitende Systeme und ihre digitalen Komponenten sind nun zwei Betrachtungsebenen wesentlich. Zum einen ist jetzt zu betrachten, inwieweit ein potentieller Verlust ihrer Verfügbarkeit, Integrität bzw. der Vertraulichkeit in ihnen gespeicherter Daten ein unternehmensrelevantes Cyberrisiko darstellt. Hier handelt es sich um die Risikobetrachtung für die „reguläre“ Cyber-Versicherung, die also den Fokus auf die Vermögensschäden, z.B. die Betriebsunterbrechung durch Hacker & Co legt.  Die Betrachtung des Integritätsverlustes sollte dabei auch eine Fremdkontrolle durch Angreifer über Datennetze bzw. den Befall mit Malware beinhalten.

 

Nun sollte die Risikobetrachtung aber noch eine Ebene weiter gehen mit der Fragestellung: Welche Sach- und Personenschäden kann das nach einem Cyber-Angriff unkontrolliert agierende Cyber-Inventar auslösen? Bei vernetzten Systemen ist die Angriffsfläche über die Netzanbindung unmittelbar einsichtig, aber auch bei nicht vernetzten Systemen oder bei abgeschaltetem Netzwerkzugriff bestehen Digitalisierungsrisiken: So können manuelle Firmware-Updates zu Ausfällen führen (beispielsweise der Ausfall einer nicht vernetzten Produktionsstraße), es kann Schadcode in der Firmware enthalten sein, der bei Trigger-Ereignissen aktiv wird, z. B. Manipulation von Produktionsmaschinen oder Werkzeugen, die zu Ausschuss oder gefährlicher Fehlproduktion führen, über Speichersticks oder Wartungsnotebooks sind sämtliche nicht vernetzte Produktionsgeräte einer Angriffsfläche ausgesetzt. Bei Steuerungen, Regelungen und Aktoren aller Art ist eine Auswirkung auf die Umgebung zu berücksichtigen: Kann eine Durchfeuchtung des Lagers eine Zerstörung des Bestandes bewirken? Kann ein geschäftskritischer Serverraum über die Haustechnik unter Wasser gesetzt werden? Können Produktionsmaschinen bzw. chemische Anlagen zerstört werden, wenn Sensordaten manipuliert werden oder können sie verkleben, korrodieren oder gar brennen oder explodieren? Der abstrakte Begriff des Integritätsverlustes führt durch Betrachtung dieser Auswirkungen zu sehr realen Szenarien mit teilweise beträchtlichem Schadpotential für Sachen und Menschen.

Auch interessant
Zurück
04.07.2019VWheute
Problem­fall Silent Cyber: Versi­che­rungs­kunden drohen harte Ausschlüsse Es ist laut geworden um das Phänomen Silent Cyber. Auf Seiten der Kunden, …
Problem­fall Silent Cyber: Versi­che­rungs­kunden drohen harte Ausschlüsse
Es ist laut geworden um das Phänomen Silent Cyber. Auf Seiten der Kunden, aber mehr noch auf Seiten der Versicherer herrscht Unsicherheit darüber, ob Versicherungsverträge außerhalb der Sparte Cyber über …
13.06.2019VWheute
Versi­che­rungs­neh­mende Wirt­schaft (GVNW) poltert gegen Silent Cyber Sowohl die Bafin als auch die Rating-Agenturen sehen eine Bedrohung durch …
Versi­che­rungs­neh­mende Wirt­schaft (GVNW) poltert gegen Silent Cyber
Sowohl die Bafin als auch die Rating-Agenturen sehen eine Bedrohung durch scheinbar versteckte Cyber-Risiken in ihrem Industrieversicherungsbestand. „Die Versicherer versuchen einerseits ihren Kunden separate…
16.04.2019VWheute
Cyber­schutz: Auf die Assis­tance kommt es an Gerade die Kombination aus neuer Angriffsqualität und fortschreitender Digitalisierung hebt die …
Cyber­schutz: Auf die Assis­tance kommt es an
Gerade die Kombination aus neuer Angriffsqualität und fortschreitender Digitalisierung hebt die Cyber-Bedrohungslage auf ein bislang ungekanntes Niveau. Dass Cyberschutz sehr  divers ausgestaltet und ausgeführt wird, ist beinahe …
28.03.2019VWheute
Indus­trie­kunden verär­gert über Vorgehen bei Silent Cyber Die versicherungsnehmende Industrie fürchtet, dass die Lösung der sogenannten Silent …
Indus­trie­kunden verär­gert über Vorgehen bei Silent Cyber
Die versicherungsnehmende Industrie fürchtet, dass die Lösung der sogenannten Silent Cyber-Thematik zu ihren Lasten gehen wird. Für Alexander Mahnke ist dieser „Begriff unsäglich“. Es handele sich doch um ein …
Weiter