Die richtige OT (Operational Technology) Cybersecurity-Lösung ist immer noch der beste Schutz vor Cyberangriffen, berichtet das Cybersecurity-Unternehmen TXOne in einer Pressemeldung. Trotzdem sei die Cybersecurity-Versicherung ein wesentlicher Bestandteil des OT-Cybersecurity Risikomanagements, denn für Risikomanager in Unternehmen sei es eine Herausforderung, alle Bedrohungen zu erkennen und zu bekämpfen. Wenn alle Verteidigungsmaßnahmen versagen, könne eine Cybersecurity-Versicherung zur Deckung von Verlusten eingesetzt werden und Unternehmen bei der Schadensbehebung helfen.
Diese Versicherungen würden häufig als Risikotransfer-Strategie betrachtet, ein Trend zur Risikominderung, der sich auch im Bereich der Informationstechnologie immer mehr durchsetze. Obwohl der Markt für OT-Cybersicherheitsversicherungen noch relativ klein sei, zeigt er schnelles Wachstum. OT Cybersecurity Anbieter TXOne Networks erklärt, worauf bei Cybersecurity-Versicherungen zu achten ist, wo ihre Vorteile, aber auch ihre Grenzen liegen.
In der Vergangenheit konzentrierte sich die IT-Cybersicherheit auf den Schutz der Daten Dritter und die Haftung für den Datenschutz. Die Cyberkriminalität habe sich jedoch weiterentwickelt, und die jüngsten Attacken zeigten eine deutliche Verlagerung in Richtung direkterer Bedrohungen, wie z. B. Lösegeldforderungen, Geschäfts- oder Rufschädigung und sogar physische Schäden. Ransomware sei zur bevorzugten Waffe für Angriffe auf OT-Umgebungen geworden, und Cyberangreifer könnten jetzt Plug-and-Play-Ransomware-Kits im “Dark Web” erwerben, was zu vermehrten Vorfällen durch so genannte Ransomware-as-a-Service (RaaS) beiträgt. Diese gezielten Angriffe könnten insbesondere anfällige kleine und mittlere Unternehmen betreffen, die dann schlimmstenfalls mit längeren Ausfallzeiten, höheren Kosten für die Betriebsunterbrechung, vermehrten Rechtsstreitigkeiten und gesetzlichen Strafen rechnen müssen.
Nicht alle Verluste werden durch Versicherungen abgedeckt
Obwohl die Opfer von Ransomware eine gewisse Entschädigung durch eine Cyberversicherung erhalten, sei zu beachten, dass nicht alle Verluste abgedeckt würden. In einer Versicherung könnten Ausschlüsse enthalten sein, wie zum Beispiel Ausschlussklauseln für Krieg, terroristische Bedrohungen, Verletzung von geistigem Eigentum, Körperverletzung oder Sachschäden. Es gebe immer noch Probleme, die die Entwicklung des Versicherungsmarktes für Cybersicherheit beeinträchtigen. Deshalb müssten klare Standards festgelegt werden, um diese Probleme zu lösen und somit die Genauigkeit von Risikoeinschätzungen sowie die Zuverlässigkeit von Cybersecurity-Versicherungen zu verbessern. Dies gelte es bei der Entscheidung für eine solche Versicherung zu verstehen und zu beachten.
Es werde immer wahrscheinlicher, dass Unternehmen, die eine mangelhafte IT- oder OT-Cybersicherheit aufweisen, ungünstigere Versicherungspreise und -bedingungen oder überhaupt keine Versicherung erhielten. So untersuchten etwa Versicherungsunternehmen, ob Organisationen gewisse Cybersecurity-Richtlinien, Sicherheitskontrollen und bestimmte Grundvoraussetzungen erfüllen. Bei der Bewertung des Versicherungsbedarfs konzentrierten sich die Versicherungen in der Regel auf unterschiedliche Informationen – zum Beispiel auf die Menge und Art der vom Antragsteller verarbeiteten Daten, die OT-Infrastruktur oder die IT/OT-Sicherheitsbudgets. Sie berücksichtigten auch einige schwieriger quantifizierbare Informationen, wie z. B., ob der Versicherte Fragen auf der Grundlage der aktuellen Bedrohungslage beantworte und ob es dort Fachleute gebe, die an relevanten Cybersicherheitsarbeiten beteiligt sind. So bewerteten Versicherungsgesellschaften die Cybersicherheitsrisiken von Unternehmen, um zu entscheiden, ob sie eine Versicherung anbieten und um die Prämien festzulegen.
Risiko von Cyberangriffen wird häufig unterschätzt
Sowohl Versicherte als auch Versicherungsunternehmen sähen sich häufig mit einer Herausforderung konfrontiert: Das tatsächliche Risiko von Cyberangriffen auf digitalisierte physische Systeme werde häufig missverstanden oder unterschätzt. Um ein besseres Bewusstsein für solche Risiken zu entwickeln, müssten beide Parteien die tatsächlichen Risiken von OT-Angriffen besser verstehen und erkennen.
Erstens müssten klare Anforderungen an die OT-Cybersicherheit festlegt werden. Etablierte Versicherungsanbieter hätten angesichts des raschen Anstiegs der Schadensfälle damit begonnen, von ihren Kunden die Einhaltung robuster Sicherheitspraktiken zu verlangen. Im OT-Bereich seien diese Anforderungen an die Cybersicherheit jedoch nicht eindeutig. Zwar gebe es spezifische OT-Rahmenwerke und Richtlinien wie IEC62443, doch müssten Versicherungsunternehmen und Versicherte die Grundlage immer noch anpassen, um den spezifischen Endgeräten, Prozessen und Risiken von OT-Systemen gerecht zu werden.
Zweitens sei ein proaktiver Ansatz für das Management von OT-Systemen nötig. Derzeit würden die meisten OT-Umgebungen nicht angemessen verwaltet, insbesondere jene OT-basierten Produktionsanlagen, auf denen veraltete Betriebssysteme laufen. Bei diesen Anlagen würden häufig keine angemessenen Patches installiert, es gebe uneinheitliche Backup-Praktiken, und es mangele an wirksamen Maßnahmen gegen Angriffe auf die Lieferkette. Um einen kontinuierlichen Betrieb an den Produktionsstandorten zu gewährleisten, müssten Fabriken Endgeräte-Erkennung und proaktive Verteidigungslösungen nahtlos integrieren, die sowohl alte als auch neue OT-Geräte abdecken. Diese Integration sollte eine effektive Sicherheitsanalyse jedes Gerät ermöglichen und anomale Verhaltensweisen aufdecken, die die betriebliche Zuverlässigkeit und Stabilität gefährden könnten.