Wenn Cyber Versicherungen und Penetration Tester zusammenarbeiten, entsteht daraus ein großer Mehrwert für alle Beteiligten. Warum das so ist und wie diese Synergieeffekte zukünftig noch besser genutzt werden können, erklärt unser Co-Founder Immanuel in diesem Interview mit dem Fachmagazin für Risiko- und Kapitalmanagement AssCompact.
Zu Beginn des Interviews macht Immanuel deutlich, warum die Auseinandersetzung mit Cyber Security und entsprechenden Cyber Versicherungen für jedes Unternehmen wichtig ist: Auch wenn bei einem Hacking Angriff „nur“ Systeme angegriffen werden, betreffen die Folgen am Ende Menschen.
Beispielsweise kann ein erfolgreicher Cyber Angriff dazu führen, dass Menschen ihren Arbeitsplatz verlieren. Außerdem können starke Einschränkungen für Kunden oder Nutzer entstehen. Dies zeigte der Angriff auf die Industrie- und Handelskammern (IHK) im September 2022. Immanuel verdeutlich, dass durch diesen Angriff nicht nur die internen Systeme der IHK betroffen waren: „Auch das Ausbildungssystem innerhalb der IHK-Mitgliedsunternehmen sowie bürgernahe IHK-Dienstleistungen wurden vollständig ausgeknipst.“
Dabei ist es irrelevant, ob es sich um ein überwiegend digital agierendes Unternehmen oder einen Konzern handelt. Auch eine Schreinerei mit Webshop könne Hackern zum Opfer fallen, macht Immanuel klar. Denn Cyberkriminalität sei letztendlich ein lukratives Geschäft, das von breiter Streuung lebt: „Cybercrime ist die mit Abstand effektivste Art, Geld zu verdienen. Es gibt keinen Wirtschaftszweig, der so rasant skaliert und so umsatzstark ist.“ Das zeigt beispielsweise die aktuelle globale Welle von Cyber Angriffen.
Für Immanuel ist klar: „Hackerangriffe sind 2022 tief in unserer Gesellschaft angekommen.“ Er hat aber auch eine gute Nachricht im Gepäck: „Im Jahr 2023 sind Cyberangriffe mit fatalen Folgen aber vermeidbar.“ Und: „Es gibt gegen alle Cyberattacken ein Gegengift.“
Ein Beispiel: Ca. 75 Prozent aller Cyberangriffe starten mit schadhaften E-Mail-Anhängen über den Faktor Mensch. Diese Gefahr kann durch die sogenannte Sandboxing-Technologie drastisch reduziert werden. Hierbei handelt es sich um eine isolierte Umgebung, in der potenziell unsicherer Softwarecode testweise ausgeführt werden kann. Wenn es sich tatsächlich um schadhaften Code handelt, kann er in dieser Umgebung blockiert werden, ohne das restliche Netzwerk zu infizieren.
Spätestens jetzt sollte sich jedes Unternehmen und jede Behörde proaktiv mit dem Thema Cyber Sicherheit auseinandersetzen. In den folgenden Abschnitten erklären wir, wie Berufshacker wie Immanuel dabei unterstützen können und welche Rolle Cyber Versicherungen spielen.
Wenn sich Unternehmen umfassend vor Schäden durch Hacking Angriffe schützen wollen, sollten Penetration Tests und Cyber Versicherungen Hand in Hand gehen. Denn auf der einen Seite bleibt auch bei vermeintlich sicheren Systemen immer ein Restrisiko, das durch Versicherungspolicen abgedeckt werden kann. Auf der anderen Seite erhöhe ein Unternehmen die Versicherbarkeit bei Cyber erheblich, wenn es sich einem gründlichen Check durch professionelle Pentester unterziehe, erläutert Immanuel.
Die Wahrheit ist: Fragebögen sagen nichts über die tatsächliche IT-Sicherheit eines Unternehmens aus.
Von diesem „Synergieeffekt“ profitieren letztlich alle Seiten. Denn nur ein echter Penetration Test kann ein realistisches Bild der Cyber Security eines Unternehmens liefern und Grundstein für dessen Optimierung sein. Alternativen wie Fragebögen reichen hierfür nicht aus, wie Immanuel im Interview anschaulich erklärt:
Immanuel berichtet vom Fall eines befreundeten Klienten: Das Rating eines Versicherers mittels Fragebogen hatte ergeben, dass der Kunde „sicher“ genug für einen Cyberrisikoschutz war.
Dann kamen allerdings die Penetration Tester von ProSec und hatten keine Mühe, sich Zugriff auf hochsensible Daten zu verschaffen. Sowohl der Versicherer als auch der Kunde profitieren von diesem Realitäts-Check – das Unternehmen kann die gefundenen Schwachstellen beheben und für den Versicherer minimiert sich das Risiko, im Schadensfall zahlen zu müssen.
Ein Win-win also.
Es ist daher nicht überraschend, dass Versicherer „ab einer gewissen Schutzbedarfsklasse“ auf die Expertise von Cyber Security Spezialisten wie ProSec zurückgreifen. In bestimmten Fällen übernähmen Versicherer bei der Zeichnung der Police sogar die gesamten Kosten unserer Services für den Kunden, ergänzt Immanuel. Hierauf geht der „Bonus-Abschnitt“ am Ende dieses Beitrags näher ein.
Auch die Versicherer selbst tun gut daran, ihre eigene Sicherheit durch umfassende Penetration Tests zu überprüfen. Immerhin befinden sich auf ihren Systemen viele sensible Daten, was sie für Hacker zu einem sehr attraktiven Ziel für Ransomware-Angriffen macht. Immanuel erklärt die Logik dahinter:
Bei den meisten Cyber Attacken geht es darum, einen möglichst großen Monetarisierungsgrad zu erzielen. Dies erreichen sie in der Regel durch Ransomware-Angriffe, bei denen Hacker Daten verschlüsseln und das angegriffene Unternehmen mit der Androhung von deren Veröffentlichung erpressen. Bei Cyber Versicherern funktioniert dieses Druckmittel aus Datenschutzgründen besonders gut, weshalb sie ein beliebtes Ziel bei Hackern sind.
Ein weiterer „Bonus“ für die Angreifer ist der Inhalt der erbeuteten Daten selbst: Hier erfahren sie, welche anderen Unternehmen eine Cyberpolice mit Lösegeldzahlung abgeschlossen haben. Diese Unternehmen stellen wiederum geeignete Folgeziele dar, da Lösegeldforderungen mit hoher Wahrscheinlichkeit erfüllt werden.
Aus seiner Praxis als Berufshacker heraus sieht Immanuel aktuell diese drei Punkte als konkrete Aufgaben für Cyber Versicherungen:
Nehmen wir an, das Kind ist in den Brunnen gefallen und ein Unternehmen wurde erfolgreich gehackt. Das ist für alle Verantwortlichen eine sehr belastende Situation. Die gute Nachricht: Genau diese Situation kann der Startpunkt für eine gestärkte und nachhaltig sichere IT dieses Unternehmens sein. Was es dafür braucht, ist ein Pentest mit Vorfallsbezug.
Der Unterschied zwischen einem proaktiven Pentest und einem Pentest im konkreten Zusammenhang mit einem Hackingvorfall liegt hauptsächlich im Scoping: Vor jeden Pentest ermitteln Dienstleister wie ProSec gemeinsam mit dem Unternehmen Umfang und Rahmenbedingungen für den Test. Ohne konkreten Vorfall müssen die Verantwortlichen abschätzen, welche Komponenten besonders gründlich geprüft werden sollten und welche Wege Angreifer am wahrscheinlichsten wählen würden.
Liegt nun ein realer Angriff vor, können die verfügbaren Informationen über diesen Angriff für das Scoping genutzt werden. Der Pentest ist deswegen jedoch nicht reduziert auf die exakte Kill-Chain genau dieses Angriffs: Es wird auch hier in die Breite getestet, um auch andere Angriffsszenarien einzubeziehen.
Das bisher übliche Verfahren nach einem Hackingvorfall seitens Cyber Versicherungen sieht eine forensische Ermittlung vor. Diese hat zum Ziel, durch die Untersuchung der verwendeten Methoden und Angriffswege mögliche Täter zu ermitteln.
Ein Pentest untersucht im Zusammenhang mit einem erfolgten Angriff ebenfalls, wie dieser wahrscheinlich durchgeführt wurde. Das Ziel ist jedoch ein anderes: Es geht weniger um die Ermittlung der Täter, sondern vielmehr um die Ermittlung der Schwachstellen. Ein guter Penetrationstest-Anbieter bleibt nicht bei der Ermittlung stehen, sondern unterstützt im Anschluss auch bei der Behebung dieser Schwachstellen.
Bildlich kann man sich den Unterschied folgendermaßen vorstellen: Nach einem Einbruch suchen Ermittler nach Fingerabdrücken, um anschließend in einer Datenbank nach passenden Einträgen zu suchen und so ggf. den Täter zu ermitteln. Pentester suchen ebenfalls nach Fingerabdrücken. Es geht ihnen aber nicht um die Zuordnung zu einer bestimmten Person. Vielmehr geht es ihnen um die Frage, ob die Täter über die Haustür oder ein Fenster eingebrochen sind und wie sie sich anschließend durchs Haus bewegt haben. Insgesamt setzen Pentester bei ihrer Arbeit die „Angreifer-Brille“ auf und beziehen auch andere mögliche Einbruchswege in ihre Untersuchung ein.
Warum ist dieser Fokus sinnvoll? Im Fall von Hacking Angriffen ist die Wahrscheinlichkeit, einzelne Täter ermitteln zu können, im Vergleich zu Delikten „in der realen Welt“ leider verschwindend gering. Relativ hoch ist jedoch das Risiko, nach einem Hacking Vorfall erneut gehackt zu werden. Darum ist es sinnvoller, den Fokus auf den Schutz vor zukünftigen Angriffen zu legen. Dies gewährleistet ProSec durch einen technischen Workshop, der im Anschluss an den eigentlichen Pentest durchgeführt wird. Hierbei transferieren die Pentester ihre Expertise an die IT-Fachkräfte des Unternehmens und unterstützen diese dabei, die gefundenen Findings zu beheben.
Cyber Versicherungen setzen häufig auf Fragebögen (die bereits oben thematisiert wurden) und automatische Schwachstellen-Scans. Der große Vorteil solcher Tools liegt auf der Hand: Sie sind extrem hoch skalierbar und liefern schnell Ergebnisse. Darum haben sie ihre Berechtigung und sind ein wichtiges Mittel auf dem Weg zu mehr Cyber Resilienz.
Ebenso deutlich sind die Grenzen solcher Scans: Sie setzen ausschließlich extern an und bleiben non-invasiv. Dabei bleibt das Einfallstor schlechthin unbeachtet: Der Faktor Mensch und seine Anfälligkeit für Social Engineering. Außerdem bleibt unklar, wie sich Angreifer nach dem Ausnutzen einer Schwachstelle in den Systemen ausbreiten und welchen Schaden sie dort anrichten können. Diese Fragen kann nur ein umfassender Pentest beantworten, der Social Engineering und auch die physische Sicherheit eines Unternehmens einschließt.
Folgendes Beispiel zeigt, wie alle Parteien von einem vorfallsbezogenen Pentest profitieren können: Ein mittelständisches Logistik-Unternehmen war vor einigen Monaten gehackt worden. Bei der Bearbeitung des Vorfalls empfahl der IT-Dienstleister dem Unternehmen, ProSec als „Facharzt“ hinzuzuziehen. Denn entgegen der oftmals getroffenen Annahme ist nicht jedes IT-Unternehmen automatisch Experte für IT-Sicherheit. Das ist nachvollziehbar, wenn man die Analogie zu „Allgemeinmedizinern“ und „Fachärzten“ betrachtet.
Im genannten Beispiel haben wir uns die Cyberpolice des Kunden genau angesehen. Dabei haben wir festgestellt, dass nach einem Hacking-Vorfall Maßnahmen zur Härtung der IT Sicherheit abgedeckt waren. Genau darauf zielen unsere Penetrationstests mit dem anschließenden technischen Workshop ab. Daher konnte unser Service in diesem Fall von der Versicherung des Kunden übernommen werden.
Der Artikel beschreibt die dringende Notwendigkeit für Unternehmen, Web Security als oberste Priorität zu nehmen. Aufgezeigt wird dies an dem Beispiels der JS#Smuggler-Kampagne, bei der Kriminelle Schadsoftware via kompromittierten Websites verbreiten. Unzureichender Schutz kann schwerwiegende Folgen haben.
Im OpenAI Datenleckfall offenbart sich das Risiko von Sicherheitslücken bei Drittanbietern. Das Unternehmen war durch eine Smishing-Kampagne bei seinem Webanalyse-Dienstleister Mixpanel betroffen. Angreifer erhielten Zugang zu sensiblen Daten.
Das FBI meldet einen Schaden von über 262 Millionen US-Dollar durch Account-Übernahme-Betrug (ATO) in diesem Jahr. Cyberkriminelle nutzen Social Engineering, um auf Unternehmensdaten zuzugreifen und gewinnen mit KI-gestützten Infrastrukturen die Oberhand. Unternehmen müssen ihre Sicherheitsstrategien überdenken und präventiv handeln.
