Cyber-Angriffe sind in den meisten Fällen lautlos und unsichtbar, wohingegen die Auswirkungen eines erfolgreichen Cyber-Angriffs in den betroffenen Unternehmen meist sehr schwerwiegend sind. Cyberrisiken seriös und anschaulich zu vermitteln ist durchaus eine Herausforderung.
Die Cyber-Versicherung wird auch als die Feuerversicherung des 21. Jahrhunderts bezeichnet. Führende Versicherungsunternehmen gehen davon aus, dass eine Cyber-Police in 5-10 Jahren die selbe Verbreitung haben wird. Wir als Versicherungsvermittler haben immer wieder Schwierigkeiten, entsprechendes Anschauungsmaterial zu finden, welches man verwenden kann, um die Kunden zu sensibilisieren bzw. auch um sich selbst in die Materie einzulesen.
Wir möchten Ihnen hier einige Ressourcen an die Hand geben, die Sie auch im Rahmen Ihrer Beratungsgespräche verwenden können – beachten Sie bitte die jeweiligen Copyrights der entsprechenden Quellen, die wir bei den jeweiligen Quellenangaben auch angeben. Bei der Auswahl der verlinkten Quellen haben wir auch auf leicht „verdauliche“ Informationen geachtet, die auch für einen reinen Software-Anwender verständlich aufbereitet wurden.
Quelle:
https://www.sichere-industrie.de/angriff-kritische-infrastruktur-beispiele/
Dass es aktuell zu Cyber-Angriffen kommt ist keine Überraschung mehr – auch dass der Faktor Mensch in den meisten Fällen bei Cyber-Angriffen die maßgebliche Schwachstelle darstellt, wird den meisten von Ihnen nicht neu sein. In den meisten Fällen kommt die Schadsoftware über eine menschliche Aktion oder ein menschliches Fehlverhalten in das System. Hier sind wir alle gefordert, die grundsätzlich bekannten Gefahren ernst zu nehmen und für entsprechende Awareness in den Unternehmen (aber auch im privaten Umfeld) zu sorgen. In der Pflicht sehen wir hier jeden einzelnen, die Unternehmen aber auch die Softwarehersteller und auch die öffentliche Hand, entsprechende Maßnahmen zu ergreifen.
Im Zusammenhang mit dem Faktor Mensch werden die folgenden Punkte am häufigsten genannt:
Aber es gibt auch rein auf technischen Schwachstellen basierende Angriffe – wobei die Behebung dieser technischen Schwachstellen natürlich auch der menschlichen Kontrolle unterliegt:
Die verlinkte Quelle bezieht sich in den Beispielen insbesondere auf Industrierisiken, wobei grundsätzlich die Risiken für alle Unternehmen die gleichen sind – bei Industriebetrieben mit computergesteuerter Automation sind jedoch die Auswirkungen eines Cyberangriffs in der Regel weitaus dramatischer.
Quelle:
https://www.crowdstrike.de/cybersecurity-101/cyberattacks/most-common-cyberattacks/
Bei Cyberangriffen denkt man in den meisten Fällen zuerst an Ransomware-Angriffe, welche aktuell in den Medien sehr präsent sind oder an Phishing-Attacken, da man mit diesen meist täglich konfrontiert ist, wobei diese in den meisten Fällen (zum Glück) sehr generisch und leicht zu erkennen sind – man muss diese auch von gezielten Phishing-Angriffen (sog. Spear-Phishing) unterscheiden, wo die EMails täuschend echt aussehen und kaum von echten EMails zu unterscheiden sind.
Dabei vergisst man allerdings gerne auf zahlreiche andere Angriffsarten – hier ein Auszug:
Auch wenn Ihnen die o.g. Begriffe vorerst nicht sagen – der oben verlinkte Artikel liefert einen guten Überblick inkl. Beispiele zu den zahlreichen beschrieben Angriffen.
Quellen (Beachten Sie: Teilweise ist zum Download der vollständigen Studien die Angabe einer Email-Adresse und/oder eine Registrierung erforderlich):
https://home.kpmg/at/de/home/insights/2022/05/cyber-security-oesterreich-2022.html
https://www2.deloitte.com/at/de/seiten/risikomanagement/artikel/deloitte-cyber-security-report.html
https://www.bitkom-research.de/de/Vertrauen-IT-Sicherheit-2021
https://www.pwc.de/de/im-fokus/cyber-security/ceosurvey.html
Die im Netz veröffentlichten Zahlen zu Schadenszahlen durch Cyber-Angriffe sind teilweise schwer nachzuvollziehen und nach unserer Schadenserfahrung höchst unterschiedlich und kaum vorhersehbar. Seriöse Schätzungen und Erhebungen erfordern eine gute Datenbasis – somit sollte man sich hier auf seriöse Unternehmen verlassen, welche auch Einblicke in die Bewertungsmethodik zulassen und insofern Zahlen auf Umfragen basieren, diese auch einen guten Querschnitt über die befragten Teilnehmer ausweisen.
Dass Cyberangriffe einen beträchtlichen volkswirtschaftlichen Schaden auslösen stellt heutzutage eigentlich niemand mehr in Frage. Ca. 2/3 der Unternehmen geben an innerhalb der letzten 12 Monaten Opfer einer Cyber-Attacke gewesen zu sein, wobei 20% ein finanzieller Schaden durch Cyberkriminelle entstanden ist. Es vergeht kaum ein Tag, an dem nicht von einem Cyber-Angriff berichtet wird und teilweise haben wir die Einschränkungen dadurch auch selbst schon erleben müssen.
Kennzahlen aus verschiedenen Studien zur Sparte Cyber
Empfehlungen für Versicherungsprodukte sollten auch mit konkreten Zahlen zur Schadenswahrscheinlichkeit einhergehen – wir denken, dass die o.g. Quellen sich durchaus eignen, die Empfehlungen zu einer Cyberversicherung mit entsprechendem Zahlenmaterial zu untermauern.
Wohingegen man die Auswirkungen von Schadensfällen in der Sachversicherung meist leicht anhand von Fotodokumentationen darstellen kann, tut man sich bei einer Cyber-Attacke naturgemäß schwer, diese zu visualisieren. Am ehesten ist dies noch möglich, wenn man vor einem System sitzt, welches gerade verschlüsselt wurde und nun von der Software aufgefordert wird, das entsprechende Lösegeld zu transferieren.
Aber auch diese Zahlungsaufforderungen sind wenig eindrucksvoll, wie einige Beispiele unten zeigen:
Die Ryuk Ransomware legt nur eine Textdatei mit den Anweisungen in den Verzeichnissen des betroffenen Computers ab.
Etwas mehr Mühe auch hinsichtlich der Benutzerfreundlichkeit geben sich dann schon die Entwickler der Ransomware Wannacry.
Viel besser als am Beispiel dieser FBI Ransomware wird es nicht.
Eindrucksvoll wird es, wenn man auf Visualisierungen von weltweit aktuell laufenden Cyber-Angriffen zurückgreift. Anhand der folgenden Beispiele sieht man, was sich aktuell im Netz abspielt und welche Bedrohungen gerade aktuell sind. Die unten verlinkten Visualisierungen dar man als grobe Verallgemeinerung verstehen – die Daten basieren auf den Daten von IT-Security-Dienstleistern, welche Daten Ihrer Kunden anonym auswerten und diese dann aggregiert darstellen. Rückschlüsse auf individuelle Bedrohungslagen lassen diese Karten nicht zu.
Übersicht über aktuell aktive Bedrohungen auf weltweiter Karte:
https://threatmap.checkpoint.com/
Übersicht über aktuell laufende DDOS-Angriffe:
https://www.digitalattackmap.com/
Weitere Visualisierung ohne weitergehende Informationen, aber eignet sich gut als reduzierte Darstellung:
https://www.fireeye.com/cyber-map/threat-map.html
Wir hoffen, dass wir Ihnen mit den Ressourcen aus dem Netz einige hilfreiche Informationen zum Thema Cyber-Security zur Verfügung stellen konnten. Uns ist auch bewusst, dass sich mit dem Thema Cyber-Security auch nicht jeder wohl fühlt – kommen Sie in diesem Fall gerne auf uns zu und wir können sicherlich gemeinsam einen Weg finden, wie Sie auch Ihre Kunden in dieser wichtigen neuen Sparte absichern können.
Die Links aus unserem Beitrag:
Ursachen für Cyberangriffe:
Sichere Industrie
Welche Arten von Cyber-Angriffen gibt es?
Crowdstrike
Cyber-Angriffe in Zahlen:
KPMG Cyber Security Report
Deloitte Cyber Security Report
Bitkom Studie
PWC CEO Survey
Was passiert aktuell im Netz?
Checkpoint Threatmap
DOS Digital Attack Map
Fireeye Threatmap
TEILEN SIE DEN ARTIKEL
Für Unternehmen, Stiftungen, Vereine, einzelne Personen & D&O mit Strafrechtschutz
Für Dienstleister & Gewerbe, Versicherungs-Vermitttler, Produktions-Unternehmen etc.
Strafrechtsschutz, Manager-Rechtsschutz, Steuerberater & Wirtschaftsprüfer
Finanzinstitutionen,
Kommerzielle Kunden
Finanzinstitute, Private Equity, Werbung & Medien etc.
Die Zeit, in der man Cyberkriminelle an schlechter Grammatik oder offensichtlichen technischen Fehlern erkennen konnte, ist vorbei. Die neue Generation von KI-gestützten Angriffen ist raffiniert, überzeugend und hochprofessionell.
WEITERLESEN
Am 1. August 2024 trat der "AI Act" der Europäischen Union in Kraft.
WEITERLESEN
Über die EU-Richtlinie NIS2 wurde in den letzten Monaten viel berichtet. Sie stellt viele Unternehmen vor große Herausforderungen und zahlreiche Fehleinschätzungen und Missverständnisse erschweren die effektive Umsetzung.
WEITERLESEN
Wie kann künstliche Intelligenz die Netzwerksicherheit verbessern?
Nach oben scrollen