Beitrag von Martin Swider und Peter Pillath für die Zeitschrift VersicherungsPraxis in ihrer Ausgabe 02/2024, S. 13–18.
Manch einer mag behaupten, dass die Digitalisierung der deutschen Industrie bereits abgeschlossen sei. Doch dies ist bei weitem noch nicht der Fall. Zum einen sind viele Industriezweige noch nicht voll digitalisiert – das Bundesministerium für Wirtschaft spricht davon, dass gerade einmal in 6 von 10 Unternehmen Industrie 4.0 Komponenten zum Einsatz kommen.
Zum anderen führen Cloud, Big Data, Data Analytics, 5G und Künstliche Intelligenz zu einer Beschleunigung und weiteren Einsatzmöglichkeiten. Diese disruptiven Technologien schaffen Anwendungsfelder und Potenziale für Unternehmen, wodurch die Digitalisierungsrate weiter zunimmt. Bei dieser Entwicklung muss bei dem Einsatz der neuen Anwendungen Cyber Security eine Grundlage bilden. Nur so können nachhaltig Mehrwerte generiert werden – für das Unternehmen selbst, für Kunden und Partner.
Cyber-Sicherheit – der Blick über das eigene Unternehmen hinaus
Nachdem im Jahr 2022 die erfolgreichen, gemeldeten Cyber-Angriffe rückläufig waren, nahmen Schäden insbesondere ab der zweiten Jahreshälfte 2023 stark zu. Ransomware-Attacken sind weiterhin die häufigste und insgesamt gefährlichste Angriffsart. Hier zeigen sich eine weitere Professionalisierung, eine erhöhte Frequenz und auch eine Ausweitung der Erpressung.
Mittlerweile treten Fälle auf, in denen zunächst Daten abgezogen werden, die Server und Clients des Unternehmens verschlüsselt werden und anschließend eine mehrstufige Erpressung stattfindet. Als erstes wird Geld für die Entschlüsselung gefordert, anschließend für die Nichtveröffentlichung und im dritten Schritt werden Mitarbeiter und/oder Geschäftspartner mit den gewonnenen Informationen angegangen. Eine unschöne Entwicklung.
Eine Folge dieses Vorgehens ist auch, dass auf einmal auch Unternehmen und Personen betroffen sind, welche selbst nicht gehackt wurden. Hierzu passt, dass auch die Lieferketten in den Fokus der Angreifer rücken. Dies in vielfältiger Hinsicht. Zum einen können über Zulieferer und Abnehmer Informationen über das eigentliche Ziel gewonnen werden. Diese Informationen werden dann für gezielte Angriffe oder auch Betrugsversuche, wie bspw. Fake President-Angriffe, genutzt. Zum anderen gibt es auch bestehende digitale Verbindungen der Wertschöpfungsketten, sodass ein Angriff auf ein verbundenes Unternehmen direkte Auswirkungen auf weitere Unternehmen hat und die Erpresser hierdurch den Druck erhöhen.
Abschließend ist vielleicht tatsächlich „nur” das angegriffene Unternehmen Ziel der Attacke, ohne Absicht verbundenen Unternehmen zu schaden, aber die Auswirkungen sind dennoch da. Somit ist insbesondere mit Blick auf die „digitale Lieferkette” der Aufbau von „Digital Trust” heutzutage unerlässlich. Das berühmte schwächste Glied ist auch in der CyberWelt zu beachten. Gerade da die Verwundbarkeit der Unternehmen durch einen erhöhten Digitalisierungsgrad und stärkerer Vernetzung steigt. Künstliche Intelligenz macht es den Angreifern zudem leichter Informationen zu sammeln, auszuwerten und zielgerichteter einzusetzen, inklusiver personalisierter, grammatisch einwandfreier Phishing-Emails.
Beachtung der analogen und digitalen Lieferkette
Was für das eigene Unternehmen gilt, besitzt auch in der Lieferkette Gültigkeit. Ich kann nur schützen, was ich kenne. Oberstes Gebot ist es Transparenz zu schaffen, über die Angriffsfläche, die Auswirkungen und die getroffenen Schutzmaßnahmen. Sowohl die analoge, als auch die digitale Lieferkette muss im Risikomanagement des Unternehmens Berücksichtigung finden.
Unternehmen der analogen oder auch physischen Lieferkette und deren Besonderheiten sind meist bekannt. Es existieren ein Lieferantenmanagement, Bewertungen und Ausfallszenarien. Für besonders wichtige Komponenten gibt es Ersatzlieferanten oder Lagerhaltung. Meist sind unterschiedliche Szenarien in den Risikohandbüchern ausgearbeitet.
Cyber-Risiken nehmen hierbei eine immer wichtigere Rolle ein. Ist das eigene Unternehmen bereits gut vor Cyber-Angriffen geschützt, sollten ähnliche Anforderungen auch an die Geschäftspartner gestellt werden. Informations- und Meldepflichten sind wichtig, um selbst bei den immer strenger werdenden Meldepflichten und regulatorischen Anforderungen einer geringeren Gefahr von Bußgeldern und Strafen ausgesetzt zu sein und zeitnah handeln zu können, wenn bei einem verbundenen Unternehmen etwas vorfällt. Ähnlich wie Produktkontrollen bedarf es auch Mindestanforderungen an die IT-Security. In einer vernetzten Welt genügt es nicht, wenn nur ein Teil sicher ist, die gesamte Kette muss betrachtet werden.
Nun ist es schwer den IT-Reifegrad eines anderen Unternehmens zu bestimmen und passgenaue Vorgaben zu formulieren. Die Vereinbarung gewisser Mindeststandards, das Vorliegen einer Zertifizierung oder auch einer Cyber-Versicherung können hierbei jedoch helfen. Das Risikomanagement entwickelt sich weiter und auch der Gesetzgeber sieht mehr Verantwortung bei den einzelnen Unternehmen.
Die Verantwortung für die IT-Sicherheit liegt mittlerweile aus Unternehmens- und Gesetzgebersicht bei der Geschäftsführung.
Betrachten wir die digitale Lieferkette, sprechen wir über Cloud, Software as a Service (SaaS) und weitere digitale Dienstleistungen. Diese Angebote ermöglichen eine neue Arbeitsweise, helfen Prozesse zu optimieren und schaffen die Möglichkeit neuer Wertschöpfungsketten.
Die digitale Lieferkette ist zunächst kaum sichtbar und läuft in vielerlei Hinsicht im Hintergrund ab. Im eigenen Unternehmen und über die gesamte Lieferkette. Zum einen bestehen in der physischen Lieferkette Verbindungen, wie bspw. über das ERP-System, zum anderen werden Dienstleister, Cloud-Anbieter und Softwarelösungen genutzt, welche nicht der vollen Kontrolle des nutzenden Unternehmens unterliegen. Daten werden innerhalb globaler Lieferketten übertragen und Angreifer versuchen Schwachstellen über einzelne Zugangspunkte auszunutzen.
Im Bereich Cloud-Dienstleister hat der Hackerangriff auf das Unternehmen Bitmarck gezeigt, welche Auswirkungen ein Angriff auf einen Dienstleister haben kann. Rund 300.000 Kundendaten von unterschiedlichen Krankenkassen wurden entwendet, zudem hat die Nichtverfügbarkeit der Cloud-Dienste zu Unterbrechungen des Betriebs vieler Krankenkassen geführt. Laut eigenen Angaben stellt Bitmarck die technische Infrastruktur und Softwarelösungen für rund 80 Krankenkassen bereit.
Der Fall MOVEit ist ebenfalls ein großes Schadenereignis. Eine weit verbreitete Software-Lösung für den angeblich sicheren Dateitransfer. Ein einzelnes kompromittiertes Softwareelement zeigt deutlich, wie eine einzige Sicherheitslücke in einer wenig bekannten Software eine weltweite Datenschutzkatastrophe auslösen kann. Stand 20.12.23 sind 2.611 Unternehmen und Organisationen bzw. ca. 85 Mio. Personen betroffen. Die Tatsache, dass der Cyberangriff über eine in vielen Unternehmen genutzte Software erfolgte, verdeutlichte die Verwundbarkeit von Lieferketten in der digitalen Welt. Von solchen Beispielen gibt es mehrere.
Wichtig für das eigene Unternehmen zu wissen ist, welche Dienstleister man für welche Bereiche nutzt und diese in das Risikomanagement aufnimmt. Insbesondere die Verzweigungen in der digitalen Lieferkette und der Lieferkette allgemein kann eine Herausforderung darstellen. Nutzen die Dienstleister ein eigenes Rechenzentrum oder wird hierfür ggf. wiederum ein Drittanbieter genutzt? Gibt es Überschneidungen, sodass ggf. mein Plan B auch betroffen wäre? Wie sieht es bei meinen anderen Geschäftspartnern aus, gibt es hier einen digitalen Single-Point-of-Failure?
Business Impact Analysen und Table Top Übungen können helfen das Risiko besser zu verstehen und zu beziffern. Vielen Unternehmen fällt es noch immer schwer Wechselwirkungen zu identifizieren und mögliche Schadensummen zu bestimmen. Versicherte Schadenfälle zeigen, dass bereits bei mittelgroßen Unternehmen Dienstleisterkosten für Forensik und Wiederherstellung der IT-Infrastruktur im hohen sechsstelligen Bereich liegen. Je nach Tätigkeit des Unternehmens ergibt sich zusätzlich eine potenzielle Betriebsunterbrechung in beträchtlicher Höhe. Diese zieht sich im Schnitt 4 bis 6 Wochen, wobei mehrere Monate mit Einschränkungen und Nachwirkungen zu rechnen ist.
Parallel müssen Drittansprüche, Vertragsstrafen und Datenschutzverstöße geprüft werden. Ein Cyber-Vorfall wird nicht umsonst als eines der Hauptrisiken für Unternehmen gesehen, dies wird jährlich durch unterschiedliche Studien u.a. durch das Allianz Risk Barometer 2024 bestätigt (https://commercial.allianz.com/news–and–insights/news/allianz–risk–barometer–2024–press–de.html). Sofern ein Unternehmen nur indirekt über die Lieferkette betroffen ist, fallen ein paar Kosten weg, aber die Auswirkungen sind nicht zu unterschätzen. Neben einer möglichen Betriebsunterbrechung, Mehrkosten für die Aufrechterhaltung des Betriebs, erhöhter Kommunikationsaufwand, ggf. Vertragsstrafen und Ansprüchen aus Datenschutzverstößen, besteht auch das Risiko des Verlusts von Geschäftsgeheimnissen und eine erhöhte Gefahr durch gewonnene Erkenntnisse der Angreifer selbst Ziel eines Angriffs zu werden.
Die Anforderungen an die IT-Security, die sie an ihr eigenes Unternehmen stellen, sollten sie somit auch an ihre Geschäftspartner stellen.
Der rechtliche Rahmen erhöht die Anforderungen an Unternehmen
Die Richtlinie (EU) 2022/2555, auch bekannt als NIS 2, hat erhebliche Auswirkungen auf betroffene Unternehmen, die Cybersicherheit und Lieferketten in der Europäischen Union. Cyberangriffe sind grenzüberschreitend und können kritische Informationsinfrastrukturen gefährden, die für das reibungslose Funktionieren des Binnenmarkts von entscheidender Bedeutung sind. Aus diesem Grund müssen die Länder die Richtline in nationales Recht gießen mit dem Ziel die Informationssicherheit zu erhöhen und Meldepflichten zu verschärfen. Die Richtlinie betont die Rolle verschiedener Akteure bei der Bewältigung dieser Herausforderungen.
Laut der Richtlinie können Computer-Sicherheitsvorfalls-Reaktionsteams (CSIRTs) an koordinierten Risikobewertungen kritischer Lieferketten beteiligt sein. Diese Bewertungen zielen darauf ab, für jeden Sektor kritische Informations- und Kommunikationstechnologie (IKT) Dienste, Systeme oder Produkte sowie relevante Bedrohungen und Schwachstellen zu identifizieren.
Besonders wichtig ist dem Gesetzgeber die Sicherung von Lieferketten, da Cyberangriffe zunehmend Organisationen über Schwachstellen in Produkten und Diensten Dritter treffen. Wesentliche Einrichtungen sollten die Cybersicherheit ihrer Lieferanten und Diensteanbieter bewerten und Risikomanagementmaßnahmen in vertragliche Vereinbarungen einbeziehen.
Kleine und mittlere Unternehmen stehen vor besonderen Herausforderungen im Bereich der Cybersicherheit, darunter geringes Cyberbewusstsein bei hoher, unbewusster Bedrohungslage. Die Mitgliedstaaten sollten diese Unternehmen unterstützen, insbesondere in Bezug auf Lieferkettenangriffe.
Die Richtlinie ermöglicht auch koordinierte Risikobewertungen kritischer Lieferketten, wobei verschiedene Kriterien berücksichtigt werden, um IKT-Dienste, ‑Systeme oder ‑Produkte zu identifizieren, die für Einrichtungen von besonderer Bedeutung sind.
In Deutschland gibt es weiterhin das Lieferkettengesetz, das große Unternehmen und ausländische Unternehmen mit Niederlassungen in Deutschland zur Verantwortung für die Herstellung ihrer Produkte und Dienstleistungen verpflichtet, selbst wenn Teile des Prozesses im Ausland stattfinden. Dies soll fairen Wettbewerb sicherstellen und das Verursacherprinzip in global vernetzten Lieferketten durchsetzen.
Schwierige Durchsetzung der Ansprüche innerhalb der digitalen Lieferkette
Bereits im Jahr 2003 wurde die Gefahr für die Informationssicherheit aufgrund der Abhängigkeit von IT-Monokulturen thematisiert, wobei die Vormachtstellung von Microsoft im Bereich der Betriebssysteme als Beispiel diente. Diese Situation birgt das Risiko eines potenziellen Kaskadeneffekts bei der Verbreitung von Malware, der durch das Vorhandensein identischer Sicherheitslücken auf vielen Systemen ausgelöst werden kann. Zum Zeitpunkt Ende 2017 hatten Microsoft-Betriebssysteme immer noch einen Marktanteil von 91,72%.
Darüber hinaus zeigen auch die führenden Anbieter im Bereich des Cloud-Computing, angeführt von Amazon Web Services (AWS) mit einem Marktanteil von 40%, gefolgt von Microsoft, Google und IBM mit insgesamt 23%, die potenzielle Angriffsfläche aufgrund von existierenden Quasi-Monopolen auf. Diese Tatsache verdeutlicht, dass Cyber-Risiken nicht nur die Informationssicherheit innerhalb eines einzelnen Unternehmens betreffen, sondern aufgrund von Interdependenzen ohne geografische Begrenzung ein weltweit mögliches Ansteckungsrisiko und die Kumulierung von Schäden darstellen können.
Weiterhin beinhalten die standardisierten Kundenvereinbarungen von u.a. Amazon Web Services, dass der Anbieter von jeglicher Haftung für entgangene Gewinne oder Umsätze aufgrund ungeplanter oder nicht angekündigter Ausfallzeiten befreit ist.
Es ist jedoch äußerst fraglich, ob Kun-den in der Lage sind, die vertragliche Haftung zu ihren Gunsten zu verhandeln, insbesondere im Bereich des Cloud-Computing, wo nur wenige Anbieter eine dominante Marktposition innehaben.
Aber auch bei anderen Partnern in der digitalen Lieferkette kann ein Cyberangriff verheerend sein. Die teils vorhandene Annahme, Schäden werden durch die Haftpflichtversicherung des Dienstleisters gedeckt ist in vielen Fällen zu verneinen. Zum einen werden Ansprüche durch den Haftpflichtversicherer bei Zweifeln an der Haftung abgewehrt, zum anderen ist bei einer Vielzahl berechtigter Ansprüche die Versicherungssumme schnell ausgeschöpft. Des Weiteren kann ein Cyber-Vorfall auch zur Insolvenz des Dienstleisters führen. Entsprechend ist nicht garantiert, dass eine Entschädigung vorhandener Ansprüche in Folge eines Cyberangriffs in der Lieferkette vollumfänglich stattfindet.
Datenschutz, Unternehmensgeheimnisse und Betriebsunterbrechung
In der Überlegung, warum es in der Lieferkette einer hohen Informationssicherheit bedarf, spielen unterschiedliche Faktoren eine Rolle. Jedes Unternehmen muss für sich kritische Daten und Prozesse beleuchten. Zunächst ist das Unternehmen im Rahmen der DSGVO für Daten verantwortlich, welche erhoben und gespeichert werden. Auch, wenn diese Daten durch einen Auftragsdatenverarbeiter gespeichert werden. Kommt es somit bei dem Cloud-Dienstleister, Geschäftspartner etc. zu einem Datenschutzvorfall, betreffen die Meldeplfichten, Entschädigungsforderungen und weitere Ansprüche auch das Unternehmen direkt. Die Dienstleistungsverträge müssen so gestaltet sein, um rechtliche Fristen einzuhalten. Werden hohe Sicherheitsanforderungen vereinbart und auch überprüft, besteht auch die Chance Ansprüche zu vermeiden.
Nicht weniger wichtig ist für viele Unternehmen der Schutz von Unternehmens- und Geschäftsgeheimnissen. Alle Daten, die mehrfach und bei unterschiedlichen Partnern gespeichert werden, erhöhen in diesem Fall die Angriffsoberfläche und die Wahrscheinlichkeit eines erfolgreichen Cyberangriffs auf diese. Es sollte klar sein, dass solche Daten verschlüsselt gespeichert und auch nur verschlüsselt übertragen werden. Aber in Zeiten von Künstlicher Intelligenz und Quantencomputern ist eine einfache Verschlüsselung wenig wert. Gerade im Bereich Wirtschaftsspionage handelt es sich zum Großteil um gezielte Angriffe mit hohen Ressourcen im Hintergrund. Der Weg zu den Daten muss bereits durch IT-Security-Maßnahmen und Segmentierung sehr gut abgesichert sein.
Bei produzierenden Unternehmen ist die mögliche Betriebsunterbrechung das größere Risiko. Hierbei kann einerseits die Produktion direkt betroffen sein und durch einen Cyberangriff stillstehen. Häufiger sind derzeit jedoch Wechselwirkungen. Durch ein stillgelegtes ERP-System können Aufträge nicht abgearbeitet werden. Durch die verschlüsselte Logistiksoftware kann nicht nachvollzogen werden, was noch auf Lager ist und was schon ausgeliefert wurde. Und da die Kommunikationswege nicht mehr funktionieren, können keine neuen Aufträge mehr aufgenommen und es können auch keine Ressourcen eingekauft werden.
Darüber hinaus müssen noch Dienstleisterkosten für Forensik, Wiederherstellungskosten der betroffenen Systeme und auch der Punkt Reputation betrachtet werden. Ein komplexes Unterfangen. Alle Punkte müssen separat und als Ganzes beleuchtet werden.
Eine Cyber-Versicherung kann einen Teil des Risikos absichern
Eine sich rasch verändernde und äußerst komplexe Bedrohungslandschaft erfordert eine proaktive Herangehensweise an das Risikomanagement in den Bereichen Technologie, menschliche Ressourcen und betriebliche Abläufe, um kontinuierlich die grundlegenden Ziele der Informationssicherheit zu gewährleisten. In dieser herausfordernden Situation steht die Assekuranz vor der Aufgabe, innovative Produktlösungen zu entwickeln, die den technologischen und regulatorischen Veränderungen gerecht werden. Dabei ist es entscheidend, Schritt zu halten, um eine attraktive Risikoübertragung für verschiedene Kundenprofile und Risikoszenarien sicherzustellen.
Die GDV-Bedingungen berücksichtigen zwar die Bereitstellung von Systemen oder die Verarbeitung von elektronischen Daten bei Dritten wie Cloud-Dienstleistern, externen Rechenzentren und Outsourcing-Anbietern, jedoch decken sie keine Betriebsunterbrechungsschäden aufgrund des Ausfalls oder der Störung von externen Dienstleistungen ab. Die Musterbedingungen enthalten hierbei einen klaren Ausschluss für externe und kritische Infrastrukturen. Eine Entwicklung an diesem Punkt wird diskutiert und ist wünschenswert.
Allerdings bietet der Markt bereits vereinzelt Lösungen an, die Ertragsausfälle aufgrund des Ausfalls von (IT-)Dienstleistern mit einschließen. Dazu gehören auch weitreichende Szenarien wie der Ausfall von überregionalen Telekommunikations- und Internetnetzen sowie der Ausfall kritischer Infrastrukturen wie der Stromversorgung. Darüber hinaus können neben Informationssicherheitsverletzungen auch nicht-kriminelle Ursachen wie technisches oder menschliches Versagen versichert werden. Einige Versicherungskonzepte decken sogar komplette Lieferketten ab. Ein Beispiel dafür ist die sogenannte Contingent Business Interruption-Deckung, die den Ertragsausfall des Versicherungsnehmers versichert, wenn ein Zulieferant aufgrund eines Systemausfalls, sei es durch kriminelle oder nicht-kriminelle Ursachen, seine Leistung nicht erbringen kann, was beispielsweise zu einem Engpass in der Produktion führen kann. Diese Zusatzbausteine sind jedoch oft teuer und in ihrer Versicherungsleistung eingeschränkt. Ein genauer Blick und das richtige Gesamtkonzept sind wichtig um das Absicherungskonzept individuell zu gestalten.
Allein der Prozess zur Erlangung einer Cyber-Versicherung kann bereits Sicherheitsrisiken und Intransparenz aufzeigen. Zugleich kann der Absicherungsbedarf mit bestehenden Policen harmonisiert werden und auch der Deckungsschutz der verbundenen Unternehmen geklärt werden. Die Cyber-Versicherung ist noch immer eine vergleichsweise junge Versicherungssparte, sie entwickelt sich jedoch rasant zu einer grundlegenden Absicherung, um Risiken in der Lieferkette beherrschbar zu halten.
Umgang mit Cyberrisiken bei Zulieferern
Zusammenfassend gibt es ein paar bewährte Maßnahmen, um Cyberrisiken im Rahmen der Lieferkette zu minimieren und beherrschbar zu machen:
Noch sind wir in der deutschen Wirtschaft ein gutes Stück davon entfernt die gesamte Lieferkette cyberangriffresistent aufzustellen. Anfangen muss man natürlich stets im eigenen Unternehmen. Aber um mit der rasanten Entwicklung Schritt zu halten und die Vorzüge der Digitalisierung umfänglich zu nutzen, sollte man sich besser früh Gedanken über die vorhandene IT-Sicherheit bei den verbundenen Unternehmen machen. Durch die neuen Technologien und die stärkere Verbreitung digitaler Lösungen steigt die Angriffsfläche. Durch den erhöhten Anteil digitaler Prozesse an der Wertschöpfung und der Abhängigkeit von digitalen Lösungen steigt die Attraktivität für Angreifer. Hinzu kommt, dass ein „Einbrecher“ nicht vor Ort sein muss, sondern dies bequem und unbeschwert vom anderen Ende der Welt machen kann. Cyber-Kriminalität floriert und die digitale Vernetzung von Unternehmen schafft Angreifern neue Möglichkeiten.
Schützen Sie Ihr Unternehmen und Ihre Lieferkette!
Diesen Beitrag veröffentlichte die Zeitschrift VersicherungsPraxis in ihrer Ausgabe 02/2024, S. 13–18.
Martin Swider
Head of Sales Cyber
hendricks GmbH
Peter Pillath
Prokurist
Director Center of Excellence Cyber
Howden-Group
Pressekontakt
Team hendricks
hendricks GmbH
Georg-Glock-Straße 8
40474 Düsseldorf
T +49 (0) 211 940 83 – 53
F +49 (0) 211 940 83 – 83