Cyber Resilienz 

IT-Systeme durchdringen heute wie selbstverständlich alle Geschäftsprozesse. Man könnte sagen, dass die IT mit allen gespeicherten Daten das Rückgrat des Unternehmens darstellt. Abgesehen von einem eigenen Interesse an einer ständig verfügbaren IT ergibt sich daraus für Unternehmen auch eine klare Verantwortung für die Sicherheit der IT, als auch für den Schutz der Daten und Geschäftsgeheimnissen, die sich in ihrem Einflussbereich befinden.

Gleichzeitig sind die IT-Systeme auch die größte Schwachstelle von Unternehmen. Hacker-Angriffe können den Ausfall der IT zur Folge haben, aber genauso gut auch den unbemerkten Abfluss von Daten, etwa von Kundendaten, Konstruktionsdaten oder Geschäftsgeheimnissen. Das Thema Cybersecurity ist somit omnipräsent. Vor dem Hintergrund, dass Ihre Geschäftspartner Daten mit Ihnen austauschen, dürfte ein funktionierendes IT-Sicherheitskonzept in Ihrem Unternehmen positiv wahrgenommen werden. 

Während der Datenschutz (--> Schutz der personenbezogenen Daten) durch entsprechende Regelungen in der EU-DSGVO und durch das Bundesdatenschutzgesetz eine unternehmensübergreifende Wirkung entfaltet (--> Vertrag zur Auftragsverarbeitung), gab es bis 2019 keine gesetzliche Grundlage dafür, wie Unternehmen die Einhaltung der Informationssicherheit für ihre eigenen Daten, während der Verarbeitung durch Dritte, gewährleisten können. In diesem Fall geht es um den Schutz aller Geschäftsdaten; sowohl personenbezogene Daten als auch technische Daten, Vorgehensbeschreibungen, oder Geschäftsgeheimnisse im Allgemeinen.

Mit Inkrafttreten des Gesetzes zum Schutz von Geschäftsgeheimnissen (GeschGehG) zum 26.04.2019 wurde hier nun erstmals eine entsprechende gesetzliche Grundlage geschaffen, um den Schutzschirm der Informationssicherheit über das eigene und dritte Unternehmen aufzuspannen.

Neben den direkten gesetzlichen Vorschriften zur Informationssicherheit ergibt sich allein schon aus Haftungsgründen ein vitales Interesse an einem hohen Cybersecurity-Level. Für Unternehmen, die unter die KRITIS-Verordnung fallen, stellt sich zu dem die Frage der Zertifizierung des Informationssicherheits-Managementsystems.

Auch wenn die Notwendigkeit zur Zertifizierung nicht gegeben ist, so ist dennoch eine regelmäßige Risikoeinschätzung und die Ableitung notwendiger Maßnahmen erforderlich, um die Cybersecurity fit zu halten. Im Gegensatz zu Zertifizierungen mangelt es frei gestalteten Risikoeinschätzungen allerdings an standardisierten Vorgaben, oder zumindest sind selbst definierte Standards nicht allgemein bekannt. Selbst wenn ein Messverfahren an sich objektive Ergebnisse liefert, fehlt es an einer Relation zu bekannten Standards. Damit ist das eigene Cybersecurity-Level auch schwierig dritten gegenüber zu vermitteln. Dazu gehören zunächst alle Geschäftspartner, insbesondere diejenigen Geschäftspartner, die auch eine retrograde Prozesssicherheit anstreben.

Vor allem ist die Versicherungsindustrie ohne eine objektive Einschätzung des Cybersecurity-Levels auf alternative Methoden zur strukturierten Risikoermittlung angewiesen, wenn es um den Abschluss und die Tarifierung einer Cyber-Risk-Versicherung geht. In der Regel wird der Antragsteller aufgefordert, mittels eines Fragebogens die Informationssicherheit und die Sicherheit der IT-Infrastruktur selbst zu dokumentieren. Für falsche Angaben haftet der Antragsteller - im Zweifel bedeutet das den Verlust des Versicherungsschutzes.

Hier setzt das Scoring an. Mit einem Cybersecurity Scoring als unabhängige Dienstleistung, das wir speziell für den deutschen Wirtschaftsraum entwickelt haben, lösen wir zum einen das Dilemma der Versicherungsindustrie, zum anderen bieten wir eine Alternative zur Zertifizierung durch eine objektive und transparente Darstellung des Cybersecurity-Levels gegenüber Geschäftspartnern.

Mit dem Cyber Scoring soll also zunächst auf schnelle und unkomplizierte Weise Transparenz zwischen Geschäftspartnern im Sinne der Informationssicherheit – hinsichtlich der technischen Umsetzung – geschaffen werden. Gleichzeitig bietet das Cyber Scoring dem IT-Manager, oder dem Informationssicherheitsbeauftragten eine Übersicht der Schwachstellen im eigenen Netzwerk und setzt so wertvolle Impulse für die Wartung der IT, bzw. die Gestaltung der IT-Infrastruktur.

Der Scan wird auf alle im Internet befindlichen Datenquellen ausgerichtet, die dem Unternehmen zugeordnet werden können, z. B.: Domains (Websites); IP-Adressen (Server); historische dokumentierte Data Breaches und weitere Sekundärinformationen, die im Internet auffindbar sind. Die Website wird auf mögliche Schwachstellen / Manipulationsmöglichkeiten untersucht. Sobald durch falsche Sicherheitseinstellungen Inhalte auf der Website potenziell manipuliert werden können, oder Kundendaten aus einem Shop ausgelesen werden können, wird ein Fehlerprotokoll erstellt. Das Scoring basiert auf den Katalogen der CVE (Common Vulnerabilities and Exposures), und CWE (Common Weakness Enumeration), zwei Industriestandards zur Kennzeichnung von Sicherheitslücken und bekannten Cyber Bedrohungen. Die Werte werden durch einen Algorithmus zu einem Score verdichtet. Der Kunde hat über ein Dashboard jederzeit Zugriff auf das Fehlerprotokoll; der Scoring-Bericht liefert entsprechende Handlungsempfehlungen, um die Sicherheitslücken zu schließen.

Wir suchen aktuell Investoren, die uns bei der Vermarktung des Cyber Scorings unterstützen.

Wenn Sie zu einzelnen Punkten noch Fragen haben, vereinbaren Sie gerne einen Beratungstermin.