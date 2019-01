23.1.2019 – Cyberkriminalität wird die zentrale Herausforderung der Zukunft sein, insbesondere mit der Digitalisierung der Arbeitswelt. Dies beschäftigt nicht nur IT-Experten, sondern mittlerweile auch die Versicherungswirtschaft. Das VersicherungsJournal interviewte hierzu Patrick Steinmetz von Bitsight Technologies, einem Experten für IT-Sicherheitsbewertungen und Anbieter von entsprechenden Ratings.

VersicherungsJournal: Herr Steinmetz, Sie sind Vertriebsverantwortlicher für die DACH-Region von Bitsight Technologies. Das Unternehmen wurde im Jahr 2011 in den USA gegründet. Nur sieben Jahre später werben Sie damit, die am weitesten verbreitete Plattform für Ratings zur IT-Sicherheit bereitzustellen. Sieben der Top Zehn der Cyberversicherer nutzen Sie. Was verbirgt sich hinter diesem Angebot?

Patrick Steinmetz

Patrick Steinmetz: Bitsight ist Marktführer bei IT-Sicherheitsbewertungen. Wir stellen unsere Daten als kostenpflichtiger Abonnementdienst zur Verfügung. Bitsight bietet einen zwölfmonatigen historischen Überblick über die Cybersicherheits-Leistung eines Unternehmens, gemessen anhand dutzender verschiedener Risikofaktoren.

Sowohl der gesamte Überblick über die Cybersicherheits-Leistung eines Unternehmens als auch die einzelnen Risikofaktoren können außerdem mit der Cybersicherheits-Leistung und den Risikofaktoren anderer Unternehmen aus beispielsweise derselben Branche verglichen werden. Abonnenten können Unternehmen in unserem Portal untersuchen, eine API nutzen, um die Daten in eine andere Plattform integrieren, oder Berichte erstellen.

VersicherungsJournal: Welche Informationen fließen in diese Ratings ein?

Steinmetz: Bitsight sammelt seine Daten aus mehr als 120 umfassenden und vielfältigen Datenquellen von Anbietern von Sicherheits-Dienstleistungen und exklusiven Partnerschaften mit bewährten globalen Unternehmen. Die Bewertungsinformationen stammen aus einer Vielzahl von öffentlichen und nur uns zugänglichen Quellen wie Botnet, Spam, Nutzerverhalten, Newsfeed und Social Media. Die verwendeten Daten sind „öffentlich zugängliche“ Daten, das heißt, sie werden nicht von innerhalb des zu bewertenden Unternehmens bezogen.

Bevor eine Quelle in das Rating aufgenommen wird, wird sie einer sorgfältigen Überprüfung und Genauigkeitsüberwachung durch unsere Datenwissenschaftler und technischen Experten unterzogen. Die Bewertung selbst wird durch einen Algorithmus erstellt, der die Daten auf Schweregrad, Häufigkeit, Dauer und Vertrauen analysiert.

VersicherungsJournal: Welche Risiken untersuchen Sie auf welcher Informationsbasis?

Steinmetz: Wir untersuchen Risiken in vier breit gefassten Kategorien: kompromittierte Systeme, IT-Sicherheitssorgfalt, Nutzerverhalten und allgemeine Veröffentlichungen. Alle Geräte werden überwacht, um gefährdete Systeme zu identifizieren. Kompromittierte Systeme werden nach Risiken wie Botnet-Infektionen, unerwünschte Kommunikation, Malware-Server oder Spam-Ausbreitung klassifiziert.

Durch den Blick auf die IT-Sicherheitssorgfalts-Reporte erhalten wir Informationen über die Maßnahmen, die ein Unternehmen zur Verhinderung von Angriffen ergriffen hat. Die Risikovektoren werden beispielsweise durch die Beobachtung offener Ports, Header in der Webanwendung und bei der Verschlüsselung genutzter TLS/SSL-Zertifikate und -Konfiguration identifiziert.

Ein weiteres Risiko ist das Nutzerverhalten, das heißt, jedes mögliche Risiko, das mit dem Verhalten von Nutzern in Unternehmensnetzen verbunden ist. Ein Beispiel für gefährliches Nutzerverhalten ist der Zugriff auf Dateien im Peer-to-Peer-Verfahren. Hier laden Nutzer, oft unter Verstoß gegen Urheberechtsgesetze, Dateien herunter und öffnen sie eventuell. Diese kann mit Schadsoftware infiziert sein, die dann das Unternehmensnetzwerk infiltrieren.

VersicherungsJournal: Wer sind Ihre Auftraggeber: Versicherer oder Unternehmen?

Steinmetz: Unsere Kunden kommen aus den unterschiedlichsten Branchen. Unternehmen beauftragen uns, um ihr eigenes Sicherheitsrisiko oder das Cyberrisiko von Drittanbietern zu analysieren. Globale Versicherer nutzen Bitsight für das Underwriting und die Risikobewertung von Unternehmen, die eine Cyberversicherung suchen.

VersicherungsJournal: Was sind typische Vertragsabschlüsse bei Cyberversicherungen, bei denen Sie eingeschaltet werden?

Steinmetz: Versicherer ziehen das Rating und die Daten für die Berechnung der Prämien und die Begutachtung des Risikomanagements von potenziellen Versicherungsnehmern heran. Die Interessenten für eine Cyberversicherung bekommen im Rahmen dieses Vorgangs auch unseren Report zu ihrer Cybersicherheits-Leistung vom Versicherer zugeschickt.

Damit stellen die Versicherer Transparenz her. Gleichzeitig ist es für viele Unternehmen oft das erste Mal, dass sie einen unabhängigen Blick von außen auf ihre Cybersicherheits-Leistung bekommen. Sie können dann Verbesserungsmaßnahmen planen, umsetzen und so auf niedrigere Prämien hinarbeiten.

VersicherungsJournal: Bei Wirtschaftskriminalität, auch im Bereich Cyber, kommen laut Analysen circa ein Drittel der Täter aus dem unternehmenseigenen Management beziehungsweise sind Interne. Wie sind Ihre Erfahrungen? Wie berücksichtigen Sie diesen Aspekt?

Steinmetz: Insider-Bedrohungen sind sehr schwer zu identifizieren und zu managen. Wir messen die Sicherheitsleistung eines Unternehmens im Zeitablauf anhand einer Vielzahl von datengestützten Beobachtungen. Ein Unternehmen, das starke Netzwerk- und Endgerätesicherheits-Kontrollen einsetzt, wird nach unseren Erfahrungen auch Maßnahmen gegen Insider-Bedrohungsmaßnahmen ergreifen.

VersicherungsJournal: Wie wird sich Ihrer Meinung nach die Cyberkriminalität in den nächsten Jahren entwickeln? Wo erwarten Sie „Kriminalitäts-Schwerpunkte“?

Steinmetz: Die Technologiewelt verändert sich rasant und Cyberkriminalität wird die zentrale Herausforderung der Zukunft sein, insbesondere mit der Digitalisierung der Arbeitswelt, der Industrie 4.0 und der zunehmenden Expansion des Internet der Dinge (IoT). Unternehmen müssen sich der bekannten und unbekannten Gefahren bewusst sein und wissen, wie sie Datenverlust, Datenmanipulation und unberechtigten Zugriff auf Geräte unterbinden.

Angreifer (Hacker) werden zudem weiterhin Schadsoftware für Android, iOS und Windows schreiben und in Umlauf bringen. Jede Branche muss sicherstellen, dass ihre Systeme und Geräte sicher sind, mit begrenztem Zugang zu kritischen Informationen und einem hohen Risikobewusstsein bei der Verwendung der Kommunikation zwischen Geräten.

Die Fragen stellte