Zurich Resilience Solutions (ZRS) ist eine globale Geschäftseinheit innerhalb der Zurich-Gruppe, die Dienstleistungen für das Risikomanagement und die Risikominderung für Kunden von Zurich sowie andere Unternehmen weltweit anbietet. Aufgrund des Umfangs der Cyberrisiken hat ZRS seine Bemühungen, KMU zu helfen und Cyberschwachstellen aufzudecken, neu aufgestellt. Gemeinsam mit den ETHZ-Professoren Dr. David Basin und Dr. Martin Ochoa sowie der Masterstudentin Silvia La wurde eine Zusammenarbeit initiiert, um anhand des Ursprungs und der Häufigkeit der Cyberangriffe zu ermitteln, welche Cybersicherheitskontrollen kleinen bis mittleren Unternehmen den besten Schutz bieten. Die in der Studie identifizierten Kontrollen hat Zurich mit Informationen aus ihrem Fragebogen für Kunden sowie Benchmarking-Daten von globalen Kundenbewertungen und Schadenfällen abgeglichen und validiert. Es gab zwar bereits Versuche, Kontrollen anhand von Daten über Angriffe zu priorisieren, der neuartige Ansatz dieser Forschung besteht jedoch darin, ausserdem auch Bedrohungsanalysen zu berücksichtigen, um einbeziehen zu können, welche Arten von Angriffen am wahrscheinlichsten sind.
Das Ergebnis ist das Attach Technique Based Control Prioritization Model, das trotz seines hochtrabenden Namens einem einfachen Ziel dient. Verwendet man es zusammen mit Zurichs optimierter Fragebogenauswertung, kann es das Cyberrisiko für das jeweilige Unternehmen simulieren. Ausserdem hilft es dabei, zu entscheiden, welche Massnahmen Vorrang haben sollten, um das Risiko zu steuern, und welches Budget zu diesem Zweck erforderlich ist.
Das heisst, ZRS kann KMU beim Entscheid unterstützen, welche Dienstleistungen genutzt werden sollten, um auf die spezifischen Cyberbedrohungen zu reagieren. Derzeit bereitet Zurich unter der Leitung von Andreas Schmitt, Global Cyber Underwriting Manager, die Weiterentwicklung des Tools vor, um den Cyberversicherungsschutz für KMU zu optimal zu strukturieren.
Die Studie der ETHZ hat eine Reihe spezieller Kontrollen identifiziert, die, zusammen eingesetzt, Hunderte verschiedener Arten von Cyberangriffen entschärfen können. Sensibilisierung für Cybersicherheit und Governance bildeten zwar weiterhin die erste Verteidigungsstufe, dennoch stehe eine Systemüberwachung, um über die sich verändernden Risiken auf dem Laufenden zu bleiben und Verstösse gleich bei ihrem Auftreten zu erkennen, ganz oben auf der technischen Liste, erklärte Bilquez. «Wenn Sie den Angriff nicht bemerken, werden die unvermeidbaren Folgen von Stunde zu Stunde schlimmer.»
«Sorgen Sie dafür, dass die Schutzeinstellungen ordnungsgemäss konfiguriert und Patches aktuell sind und dass Schwachstellen angemessen angegangen werden», lauten die Ratschläge der Studie. Darüber hinaus hilft ein aktueller Malwareschutz gegen diese Art der Bedrohung, falls Mitarbeitende versehentlich einen Link anklicken, der bösartigen Code herunterlädt.
«Mitarbeitende sollten nur das tun können, was in einer Anwendung erforderlich ist», erläuterte Bilquez. «Administratorprivilegien werden nicht an alle vergeben, wie es in manchen Branchen üblich ist. In diesem Fall müsste ein Hacker nur eine einzige Person hacken, um Administrator des Systems und der gesamten IT-Infrastruktur zu werden.»
Insgesamt haben die Forschenden der ETHZ und Zurich fünf Cyberkontrollen identifiziert, die zusammen die wahrscheinlichsten 66 Prozent der Cyberangriffe wirksam entschärfen können, sowie zehn Kontrollen, die zusammen die wahrscheinlichsten 70 Prozent der Cyberangriffe abdecken. Unternehmen, die mehr erfahren möchten, können wir die Liste der Cyberkontrollen auf Anfrage zur Verfügung stellen.
Zu den Dienstleistungen, die ZRS anbietet, sobald die Bedrohung bekannt ist, gehören Schulungen, um sicherzustellen, dass die Mitarbeitenden mit Risiken wie Malware und Phishing per E-Mail oder über die sozialen Medien vertraut sind. Ein exklusives «Cyber Escape Game» simuliert einen tatsächlichen Hackerangriff, auf den die Mitarbeitenden reagieren müssen. So werden sie für den Schutz des Unternehmens sensibilisiert. Die innovative und immersive Sensibilisierungsschulung bietet den Mitarbeitenden ein einzigartiges Erlebnis und wird zusätzlich zu den technischen Empfehlungen der ETHZ-Studie durchgeführt.
«Wir können auch im Darknet nachsehen, ob Anmeldedaten des Unternehmens dort aufgetaucht sind, denn dies würde möglicherweise Einfallstore schaffen, die Hacker ausnutzen könnten», erklärt Bilquez.
Oft ist nicht das Unternehmen selbst für das Risiko verantwortlich, sondern eine unkontrollierte Versorgungskette. ZRS ist in der Lage, das Risiko durch Drittanbieter zu bewerten, zu überwachen und so sicherzustellen, dass angemessene Verträge vorhanden und Einzelheiten über deren Datensicherungspraktiken ausdrücklich festgelegt sind. Unternehmen können über eine einzigartige und einfach zu bedienende Plattform den Grad der Compliance ihrer Drittanbieter in Echtzeit überprüfen.
«KMU ohne eigenen Information Security Officer oder jemanden in einer vergleichbaren Rolle sollten Massnahmen ergreifen, um diese Verantwortlichkeiten, wenn möglich, jemandem zuzuweisen», empfiehlt Bilquez. «Wo dies nicht möglich ist, könnten Dienstleistungen von ZRS die Lücke schliessen oder vorhandene Anstrengungen in Bezug auf die Datensicherheit ergänzen», fügte er hinzu. Für KMU, die in Cyberschutz investieren, könne die Belohnung beeindruckend hoch ausfallen, so Bilquez.
«Wenn wir die wichtigsten Prioritäten für ein KMU ermitteln, können wir das Risiko für das Unternehmen modellieren», erklärte er. «Finden wir zum Beispiel heraus, dass ein Unternehmen in Bezug auf Ransomware ein Risiko von 20 Millionen US-Dollar hat, kann eine Investition von rund 10’000 US-Dollar zur Einführung von Kontrollen das Risiko um 10 Millionen US-Dollar oder mehr verringern.»
