„Dem Kumulrisiko von Cyber-Risiken ist durch Risikodiversifikation aus Portfoliosicht nur bedingt etwas entgegenzusetzen“

Die Gefahr von Cyberrisiken gehört für die Unternehmen noch immer zu den größten Bedrohungen. Wie diese zumindest minimiert werden können, erläutert Oliver Lehmeyer, Geschäftsführer der Cyber Risk Agency GmbH, im Exklusiv-Gespräch mit VWheute.

VWheute: Stellen Sie bitte in kurzen Worten dar, was Ihr Geschäft ist und wie es funktioniert.

Oliver Lehmeyer: Die Cyber Risk Agency wurde 2016 speziell zum Schutz kleiner und mittlerer Unternehmen gegründet. Als Aggregator qualifizieren und bündeln wir die besten Lösungen und Spezialisten-Know-how zu Informationssicherheit und Datenschutz für unsere Kunden.

Mit unserem neuen Cyber Security Marktplatz haben wir unseren Lösungsbaukasten für kleine und mittlere Unternehmen nun auch online zur Verfügung gestellt. Wir liefern somit für unsere KMU-Kunden eine kostenfreie Alternative zu den Software-Evaluierungsprojekten, die wir sonst für größere Kunden auf Tagessatzbasis durchführen. Sollte der Kunde die richtige Lösung für sich nicht gleich finden, steht ihm unser Service-Team jederzeit zur Verfügung.

Neben präventiven Maßnahmen der IT-Sicherheit bieten wir Beratung durch unser Spezialisten-Netzwerk an und helfen bei der Absicherung des Ernstfalls durch professionelles Notfallmanagement und passendem Finanzschutz über unseren hauseigenen Spezialmakler. Damit bieten wir umfassende Sicherheit für Systeme und Daten aus einer Hand.

VWheute: Sie wollen die Antwort auf die Grenzen der „Versicherbarkeit von Cyber-Gefahren“ liefern. Wie soll das aussehen?

Oliver Lehmeyer: Dem Kumulrisiko von Cyber-Risiken ist durch die weltweite Vernetzung von IT-Infrastrukturen durch Risikodiversifikation aus Portfoliosicht nur bedingt etwas entgegenzusetzen. Vielmehr liegt die Lösung unseres Erachtens in einem aktiven Management der Einzelrisiken. Daher halten wir die aktuelle Diskussion der Versicherer, ob Obliegenheiten, Bedingungseinschränkung oder Prämienerhöhungen das geeignete Mittel im Umgang mit steigenden Schäden sind, für nicht zielführend. Sowohl Schutzmaßnahmen als auch die Preise müssen im Hinblick auf das Einzelrisiko risikoadäquat sein. Genau hier setzen wir mit der Cyber Risk Agency und unserem Spezialmakler und Assekuradeur an.

Risikoadäquate Schutzmaßnahmen und aktives Risikomanagement: Der Schutzbedarf ist unternehmensindividuell zu bestimmen und gehört kontinuierlich gemanagt. Eine punktuelle Risikobewertung im Rahmen des Vertragsabschlusses wird der Dynamik von Cyberrisiken nicht gerecht.

Nach unseren Analysen aus den letzten fünf Jahren haben etwa 50 Prozent der Unternehmen mit weniger als 100 Mitarbeitern und 32 Prozent der größeren Unternehmen keine ausreichenden Maßnahmen zum Schutz ihrer Daten und Systeme getroffen. Risikoadäquate technische und organisatorische Maßnahmen wie diese auch der Datenschutz zu Gewährleistung der „Sicherheit der Verarbeitung“ (vgl. Art. 32 DSGVO) von Unternehmen fordert, bedürfen einer individuellen und kontinuierlichen Bewertung.

Wir begleiten unsere Kunden als Partner im Cyber-Risikomanagement kontinuierlich im Tagesgeschäft und in Projekten dabei, ein angemessenes Schutzniveau für ihre Systeme und Daten zu erreichen und somit auch die rechtlichen Anforderungen zu erfüllen. Die verbleibenden Restrisiken sichern wir durch eine Cyber-Versicherung ab. Hierzu suchen wir für unsere Kunden gezielt solche Policen aus, deren Auflagen diese auch erfüllen können. So können unsere Kunden im Ernstfall dann auch davon ausgehen, dass sie die ihnen zugesagten Leistungen im Schadenfall auch erhalten.  

Risikoadäquate Preise: Die Preistabellen in aktuellen Cyberdeckungen zeigen das Dilemma – unabhängig vom individuellen Schutzniveau unserer Kunden wird auf Basis von Umsatz und Versicherungssumme ein Preis ermittelt. Gegebenenfalls erfolgt noch ein branchenspezifischer Zu- oder Abschlag. Wir arbeiten daran, dass Preise sich am individuellen Schutzniveau des Kunden ausrichten. Durch die Nutzung von Best-Practice-Lösungen unseres Marktplatzes, wie zum Beispiel hochperformanter Firewalls und professionelle Back-up-Lösungen sowie durch regelmäßig durchgeführte Schwachstellentests unserer Spezialisten sinken Eintrittswahrscheinlichkeit und Auswirkung von Cyberrisiken. Diese Investitionen der Unternehmen in höhere Sicherheit müssten die Preise bei der Absicherung des Restrisikos durch eine Cyber-Versicherung dann aber auch reflektieren. Hierzu stehen wir bereits seit Längerem im Dialog mit Anbietern von Cyber-Versicherungen.  

Aktives Schadenmanagement:  Zwei von drei Unternehmen waren laut Digitalverband Bitkom in den letzten zwei Jahren von einem Informationssicherheitsvorfall betroffen. Selbst die besten präventiven Maßnahmen bieten keine 100-prozentige Sicherheit – insbesondere deshalb, weil wir die Angriffsszenarien von morgen nicht kennen und selbstlernende IT-Sicherheit noch nicht zum Standard gehört. Unser Anspruch ist es, unsere Kunden auf den Ernstfall so vorzubereiten, dass diese den Angreifern im Ernstfall wirksam Paroli bieten können. Hierzu ist neben der Implementierung verlässlicher Back-up-Verfahren durch Spezialisten u.a. ein leistungsfähiges Notfallmanagement mit Einrichtung einer 24/7-Hotline zu einem versierten Notfallexperten extrem hilfreich.

Ein weiterer Erfolgsfaktor liegt in der Agilität der Maßnahme zur akuten Risikoeindämmung. Neue Schwachstellen, wie die aktuell virulenten des Exchange Servers gehören aktiv gemanagt. Forensik darf hier nicht erst bei eingetretenem Schadenfall und Datenabfluss erfolgen. Für unsere Kunden haben wir mit dem „Microsoft Exchange Server Security Check“ eine Lösung identifiziert und bereitgestellt, um sofort remote durch Spezialisten überprüfen zu können, ob die Sicherheitslücken noch rechtzeitig geschlossen werden konnten und ob diese ggf. bereits ausgenutzt wurden.

VWheute: Mit wem arbeiten Sie zusammen, wie finanzieren Sie sich?

Oliver Lehmeyer: Als Aggregator arbeiten wir mit allen Anbietern, Dienstleistern und Spezialisten zusammen, die besonderen Mehrwert in Bezug auf den risikoadäquaten Schutz unserer Kunden bieten können. Wir beobachten hierzu laufend den Markt und ergänzen unser Lösungsspektrum kontinuierlich auf Basis unserer Kriterien um die besten Lösungen. Wir bieten für alle Unternehmensgrößen geeignete Schutzmaßnahmen versierter Anbieter von der IT- und Objektsicherheit über organisatorische Schutzmaßnahmen und Mitarbeiterschulungen bis hin zur Restrisikoabsicherung durch ein handlungsfähiges Notfallmanagement und passendem Finanzschutz zur Absicherung des Ernstfalls.

Wir selbst fokussieren uns hierbei auf die Bedarfsermittlung und Identifikation geeigneter Lösungen die unseren hohen Ansprüchen an Sicherheit und Datenschutz gerecht werden. In der Beratung unserer Kunden arbeiten wir auf Stundenlohnbasis. Für erfolgte Vermittlungen erhalten wir eine Provision von den Anbietern. Hierbei stellen wir durch einen einheitlichen Provisionssatz in jeweiligen Lösungskategorien unsere absolute Anbieterunabhängigkeit sicher.

VWheute: Welche Entwicklungen sind geplant?

Oliver Lehmeyer: Mit dem Cyber Security-Marktplatz können wir jetzt auch den erheblichen IT-Sicherheitsbedarf kleinerer Unternehmen abdecken. Bisher waren es meist eher größere Firmen und deren IT-Leiter, Datenschutzverantwortliche oder CISOs, die unsere Leistungen anfragten. In kleinen Unternehmen fehlt es naturgemäß an erforderlichen Ressourcen und den Entscheidern meist an der nötigen Transparenz zu Handlungsfeldern und Lösungen. Genau hier setzen wir nun mit unserem Cyber Security Marktplatz an.

Neben leicht verständlichen Erläuterungen zu den Handlungsfeldern und Lösungen bieten unsere Filterfunktionen dem Nutzer die Möglichkeit einer zielgerichteten Suche. Des Weiteren bieten wir einen kostenlosen ca. zehnminütigen Selbsttests (CyberRiskRadar; vgl. Abbildung) des Reifegrades seiner Schutzmaßnahmen an. Der Test bietet nicht nur eine Einschätzung des absoluten Schutzniveaus, sondern liefert zudem ganz konkrete und priorisierte Maßnahmen zur Schließung der identifizierten Schwachstellen und verlinkt sowohl online als auch im optional (barrierefrei) herunterladbaren Ergebnisbericht auf die individuell passenden Lösungen in unserem Marktplatz.

Die Fragen stellte VWheute-Redakteur Maximilian Volz.