Assessment & Advisory Archive - SITS

Bei ISO 27001 handelt es sich um einen Standard der Internationalen Organisation für Normung (ISO). Seit Oktober 2022 liegt er in der überarbeiteten Version ISO/IEC 27001:2022 vor. Für Unternehmen und Behörden ist die Einhaltung nicht nur Mittel zum Zweck, um Sanktionen abzuwenden, sondern auch um IT-Risiken in Eigeninitiative zu vermeiden und den Schutz sensibler Informationen ernst zu nehmen. In diesem Kontext hat sich die ISO-27001-Zertifizierung als bedeutender Baustein für das ISMS-Risikomanagement bewährt.

Die Norm umfasst neben der IT-Infrastruktur und den IT-Systemen auch die Menschen und Prozesse, die an der Datenverarbeitung beteiligt sind. Die Finanzbranche, das Gesundheitswesen, Technologie- und E-Commerce-Unternehmen, sogar Regierungseinrichtungen: ISO 27001 ist heute für nahezu alle Organisationen und Einrichtungen unumgänglich, die sensible Informationen verarbeiten, speichern oder übertragen. Denn die aus dem britischen Standard 7799 hervorgegangene Norm hat längst nicht mehr nur die bloße Geschäftskontinuität zum Ziel. Sie dient zudem als strukturiertes Rahmenwerk für Compliance-Anforderungen und hilft dabei, Kunden, Investoren und Geschäftspartner von einer gesetzeskonformen Datenverarbeitung zu überzeugen.

Prüfungen und Zertifizierung nach ISO 27001

Der Weg zur ISO-27001-Zertifizierung ist allerdings oftmals steinig: Um die ISO-27001-Konformität eines ISMS beglaubigt zu bekommen, müssen zunächst bestehende Maßnahmen zur Informationssicherheit identifiziert, beurteilt und erforderliche Verbesserungen erkannt werden. In diesem Zusammenhang hat sich die Gap-Analyse als gängiger Ansatz hervorgetan. In diesem Vorab-Audit bewertet ein externer Auditor den Ist- und Soll-Zustand des ISMS. Mit der Gap-Analyse lassen sich Schwachstellen aufspüren und Gegenmaßnahmen aufzeigen, die zur Schließung etwaiger Lücken ergriffen werden müssen. Auch Rollen und Verantwortungsbereiche fallen in diesen Vorab-Audit.

Die anschließende Implementierungsphase umfasst schließlich die ersten Schritte zur Umsetzung. Dazu gehören:

  • Risikobewertung, in der Gefahren für die Informationen des Unternehmens identifiziert und bewertet werden. Sie beinhaltet die Erfassung und Gewichtung von materiellen und immateriellen Vermögenswerten, die Erkennung von Bedrohungen und Schwachstellen, die Einschätzung möglicher Auswirkungen eines Cyber-Angriffs sowie die Beurteilungen und Priorisierung von Risiken.
  • Risiko-Managementplan auf Grundlage der Risikobewertung. Dieser Plan bestimmt, welche Risiken akzeptiert, vermieden oder durch die Implementierung geeigneter Kontrollen reduziert werden sollen. Er enthält zudem eine Wahrscheinlichkeitsberechnung für Gefahren und potenzielle Auswirkungen von Risiken.
  • Implementierung neuer Prozesse, die Anpassung bestehender Abläufe und die Schulung des Personals basierend auf dem Risiko-Managementplan.
  • Dokumentationserstellung für das ISMS inklusive Sicherheitsrichtlinien, Verfahren zur Risikobewertung und Behandlung. Hinzu kommen Erklärungen zur Anwendbarkeit (SoA) sowie Aufzeichnungen zur Überprüfung der ISMS-Effektivität.

ISO-27001-Zertifizierungsaudit

Nach der Implementierung der ISO-27001-Anforderungen folgt das Zertifizierungsaudit. Es besteht aus einem Stage-1- und Stage-2-Audit, in denen Auditoren die Dokumentation des ISMS überprüfen und dessen Praxistauglichkeit auf Herz und Nieren untersuchen. Sind die Prüfungen erfolgreich abgeschlossen, erhält die Organisation das ISO-27001-Zertifikat.

ISO-27001-Framework als Taktgeber

Als Leitlinie für die Umsetzung der ISO 27001 hat sich die Nutzung eines Frameworks bewährt. Es umfasst Werkzeuge, Methoden, Best Practices und Ressourcen für die Implementierung und die anschließende Zertifizierung. Ziel des Frameworks ist es, die drei essenziellen Aspekte –Vertraulichkeit, Integrität und Verfügbarkeit von Informationen – durch kontinuierliche Sicherheitskontrollen zu gewährleisten.

Im Mittelpunkt des Frameworks steht ein prozessbasierter Ansatz, der einem so genannten Plan-Do-Check-Act (PDCA) Zyklus folgt. PDCA stellt sicher, dass die sich ständig ändernden Sicherheitsanforderungen im ISMS abgebildet und neue Bedrohungen in die Risikobewertung aufgenommen werden.

ISMS nach ISO 27001 und CISIS12®

SITS ist darauf spezialisiert, Unternehmen bei der Umsetzung und Zertifizierung nach ISO 27001 zu unterstützen. Dazu gehören maßgeschneiderte Beratungsdienstleistungen. Sie stellen sicher, dass das ISMS von Unternehmen und Behörden den Anforderungen des Standards entspricht und die individuellen Geschäftsbedürfnisse und -ziele reflektiert. Hierfür arbeiten die erfahrenen Berater von SITS eng mit Unternehmen zusammen, um ein flexibles und anpassbares ISMS zu entwickeln, das Informationssicherheitsprozesse optimiert und gleichzeitig globale Standards erfüllt. Darüber hinaus bietet SITS Beratungsleistungen für Unternehmen, die den CISIS12-Standard verwenden möchten. CISIS12 (Critical Information Infrastructure Security) wurde als Rahmenwerk vom deutschen Bundesamt für Sicherheit in der Informationstechnik (BSI) entwickelt und ist speziell auf die Bedürfnisse von kleinen und mittelständischen Unternehmen (KMU) zugeschnitten.

Re-Audit alle drei Jahre

Unabhängig davon, ob ISO 27001 für große Konzerne oder mittelständische Betriebe im Pflichtenheft steht, gilt: Mit der Zertifizierung allein ist es nicht getan. Vielmehr sollte die ISO-27001-Zertifizierung als Investition in die langfristige IT-Sicherheit des Unternehmens betrachtet und auch im Geschäftsalltag so behandelt werden. Damit aus der Konformität ein laufender Prozess wird, sind kontinuierliche Verbesserungen von sicherheitsrelevanten Einflussfaktoren sowie eine regelmäßige Optimierung des Risikomanagements unentbehrlich. Mehr noch: Um die ISO-27001-Zertifizierung bewahren zu können, müssen sich Organisationen alle drei Jahre sogenannten Re-Audits unterziehen. Sie stellen die fortlaufende Konformität und Wirksamkeit des ISMS sicher. Jährliche Überwachungs-Audits, Anpassungen des ISMS sowie regelmäßige Mitarbeiterschulungen stellen sicher, dass keine unliebsamen Überraschungen drohen.

ISO-27001: Treiber für die Digitalisierung

Durch ihre hohe Relevanz spielt die ISO-27001-Zertifizierung eine entscheidende Rolle auf dem Weg in die digitale Transformation mit Cloud- und Remote-Arbeit sowie 24/7 Onlineservices. Daten sind z eines Unternehmens und somit ist die Absicherung geschäftskritisch geworden. Die ISO-27001-Zertifizierung bietet einen standardisierten Rahmen für ein wirksames Informationssicherheitsmanagement, der es Unternehmen ermöglicht, ihre digitalen Assets vor Bedrohungen zu schützen.

Das Schreckgespenst Fachkräftemangel geht um. Die Generation der Babyboomer, die einen Großteil der heute in Deutschland Beschäftigten ausmacht, wird bald das Rentenalter erreichen. Dazu kommen noch etliche Herausforderungen durch Hybrid-Work, KI, Cloud-Migrationen, ein halbes Dutzend neuer Compliance-Richtlinien und neue Bedrohung,  die dafür sorgen, dass Firmen verschiedenster Branchen die Fachkräfte ausgehen. Laut Branchenverband Bitkom sind derzeit rund 149.000 Stellen für IT-Experten unbesetzt. „Zu wenige Fachkräfte und zu viel Regulierung bremsen das digitale Deutschland“, mahnt in diesem Zusammenhang Bitkom-Präsident Dr. Ralf Wintergerst. Unternehmen, denen Mitarbeiter fehlen, müssen deshalb dringend handeln. Eine Option, mangelndes Wissen und fehlende Man-Power in den eigenen Reihen abzufedern, sind Managed Services.

Von MSP und ausgelagerten Prozessen: Das können Managed Services

Doch was sind Managed Services genau? Unter Managed Services versteht man die Auslagerung bestimmter IT-Funktionen, wiederkehrender IT-Dienstleistungen und -Prozesse, an einen externen Dienstleister. Dieser nennt sich Managed Services Provider, kurz MSP. Derartige Services werden in der Regel aus der Ferne erbracht und verwaltet, so dass Unternehmen die Verantwortung für bestimmte Aspekte ihres IT-Betriebs an externe Experten abgeben können. Es gibt aber auch die Option, firmeneigene Räume zur Verfügung zu stellen.

Managed Services können eine breite Palette von IT-Funktionen abdecken. Beispiele sind Infrastrukturmanagement, Netzwerküberwachung, Sicherheitsmaßnahmen, Datensicherung und -wiederherstellung, Anwendungs-Hosting und technischer Support. Unternehmen nutzen so kostengünstig und effizient externes Fachwissen, verbessern die eigenen IT-Fähigkeiten und optimieren ihre Performance. Das ist aber noch nicht alles, denn Managed Services helfen auch, die Belastung zu verringern, die durch die interne Verwaltung komplexer IT-Umgebungen aufkommen kann.

Managed Services-Vorteile und -Optionen auf einen Blick:

  • Planbare Kosten: Managed Services werden zumeist als Abonnement angeboten, so dass Unternehmen IT-Ausgaben besser vorhersagen und budgetieren können. Statt hoher Vorlaufkosten für IT und Personal zahlen sie eine wiederkehrende Gebühr – sie bezahlen zudem nur für die Leistungen, die wirklich benötigt werden.
  • Verbesserte Sicherheit und Compliance: MSP sind von Haus aus auf „Compliance“ getrimmt und schützen sensible Daten und Systeme vor Cyber-Bedrohungen und Compliance-Brüchen.
  • Konzentration aufs Kerngeschäft: Durch die Auslagerung von IT-Routineaufgaben und -Verantwortlichkeiten an einen MSP können Unternehmen ihre IT-Teams einfach mal durchatmen lassen und sich auf ihr Kerngeschäft konzentrieren, Innovationen angehen und schlicht produktiver arbeiten.
  • Proaktive Überwachung und Wartung: MSP überwachen die Leistung und den Zustand von IT-Systemen und -Infrastrukturen kontinuierlich – je nach Modell entweder zu bestimmten Zeiten (9 to 5) oder 24/7. Sie entdecken Schwachstellen proaktiv und minimieren Ausfälle im Betrieb.
  • Experten-Knowhow: MSP beschäftigen Teams qualifizierter Experten, die über Fachwissen in verschiedenen IT-Bereichen verfügen, darunter Netzwerke, Cyber-Sicherheit, Cloud Computing und Anwendungsentwicklung – Wissen, dass sich intern nur teuer durch Trainings und Recruiting von Experten erkaufen lässt.
  • Flexibilität: Managed Services sind so konzipiert, dass ganz einfach mit dem Betrieb skalieren. Egal, ob der Betrieb ausgeweitet wird, neue Benutzer hinzukommen oder neue Technologien eingeführt werden: Unternehmen können ihre Managed Services jederzeit problemlos erweitern.

Managed Services vs. Outsourcing

Die Auslagerung von IT-Aufgaben ist beliebt: Der Umsatz im IT-Outsourcing-Markt soll 2024 bei rund 147,6 Milliarden Euro liegen. Doch wie unterscheiden sich Managed Services vom klassischen Outsourcing? Eins vorweg: Auch Managed Services werden ausgelagert – hier gibt es also begriffliche Überschneidungen: Beim Managed Service übernimmt der Dienstleister die Verantwortung für bestimmte Aufgaben und Dienstleistungen, oft mit einem höheren Maß an Autonomie. Der Kunde konzentriert sich auf seine Kerngeschäftstätigkeiten, während der Dienstleister die Verwaltung und Wartung der Dienstleistungen übernimmt.

Beim klassischen Outsourcing werden hingegen bestimmte Geschäftsprozesse oder Funktionen an einen externen Dienstleister ausgelagert. Der Dienstleister führt diese Aufgaben im Namen des Kunden durch, doch der Kunde behält zumeist eine gewisse Kontrolle und Verantwortung. Da nur bestimmte Unterabteilungen und IT-Services an den Dienstleister gehen, verbleibt die IT im Haus des Kunden. Dieser hat also auch weiterhin das Sagen hinsichtlich seiner Infrastruktur, IT-Struktur und Abläufe. Die zu erbringenden IT-Dienstleistungen sind schon im Voraus genau definiert und müssen regelmäßig auf Grundlage von Service Level Agreements (SLA) bereitgestellt werden.

  • Managed Services können sehr spezifisch auf den individuellen Bedarf abgestimmt werden, da sie oft kleinteiliger sind.
  • Managed Services können kosteneffektiver sein, da nur das eingekauft wird, was auch benötigt wird.

Managed Services Provider vs. klassischer IT-Dienstleister: Hierauf kommt’s an

Der Hauptunterschied zwischen einem Managed Service Provider und einem klassischen IT-Dienstleister liegt in seinem Dienstleistungsmodell, den Verantwortlichkeiten und dem Umfang der bereitgestellten Dienstleistungen sowie in der Art der Beziehung gegenüber dem Kunden.

Managed Service Provider   Klassischer IT-Dienstleister
 

Dienstleistungen auf Basis eines abonnement-basierten Modells:

Kunden zahlen zumeist eine regelmäßige Gebühr für die bereitgestellten Services, die auf einer Service-Level-Vereinbarung (SLA) basieren. MSP übernehmen die Verantwortung für die Verwaltung und Wartung bestimmter IT-Funktionen und -Systeme ihrer Kunden.

   

Dienstleistungen auf Anfrage:

Berechnung in der Regel auf Stundenbasis oder projektorientiert. Kunden beauftragen den Dienstleister für spezifische Projekte, Problemlösungen oder Beratungsleistungen, und die Abrechnung erfolgt je nach erbrachter Leistung.

 

Langfristige Partnerschaft:

MSP bietet kontinuierliche Unterstützung sowie Beratung über einen längeren Zeitraum hinweg. Zudem arbeitet der Service Provider eng mit seinen Kunden zusammen, um IT-Infrastruktur und -Dienste kontinuierlich zu verbessern.

   

Engagement für spezifische Projekte oder Aufgaben:

Dienstleistungen können zeitlich begrenzt sein. Sobald das Projekt abgeschlossen ist, endet die Zusammenarbeit in der Regel, es sei denn, es gibt weitere Anforderungen oder Projekte.

 

Verwaltung und Betrieb spezifischer IT-Dienste:

Beispiele sind Netzwerküberwachung, Sicherheitsmanagement, Daten-Backup, Cloud-Hosting usw.. Der MSP agiert als verlängerter Arm des Unternehmens und übernimmt die täglichen Betriebsaufgaben.

   

Vollumfängliche Dienstleistungen:

Lösungen für konkrete technische Probleme oder Projekte. Dies kann die Entwicklung einer maßgeschneiderten Software-Anwendung, die Bereitstellung von Hardware und Software oder die Durchführung einer IT-Infrastrukturüberprüfung umfassen.

Stellt sich die Frage: Was eignet sich für welches Unternehmen oder welche Anforderung? Sollte lieber ein MSP oder der klassische IT-Dienstleister gewählt werden? Entscheidend sind hier Definition und Anforderungen. Im Allgemeinen lässt sich sagen: Liegen sehr spezielle Anforderungen, beispielsweise an Produkte oder Aufgaben vor, ist der Managed Service die angemessene Wahl. Sollte Unterstützung vollumfänglich stattfinden oder betrifft sie Inhalte, die durch ganze Abteilungen abgebildet werden, rückt das klassische Outsourcing mittels IT-Dienstleister in den Vordergrund.

Wie können Managed Services helfen, dem Fachkräftemangel zu begegnen?

Managed Services bieten somit viele Vorteile und sind Aufgrund ihrer Vielseitigkeit ein gutes Mittel gegen Fachkräftemangel. Das liegt zum einen daran, dass eine Auslagerung von IT-Aufgaben helfen kann, vorhandene Talente besser auszulasten, da nicht jeder alle Fachkräfte inhouse haben muss.

Außerdem lassen sich mit Managed Services:

  • zeitkritische Themen schneller angehen
  • zeitintensive Aufgaben, wie Log-Analyse oder Dokumentation, auslagern, um Inhouse-Personal zu entlasten
  • die Abhängigkeit von Fachwissen im Sinne des „Brain Drain“ minimieren, da die Fachkompetenz ausgelagert ist

So manches Unternehmen hat aufgrund begrenzter Ressourcen und Fachkenntnisse Schwierigkeiten, die Einhaltung von Branchenvorschriften und Sicherheitsstandards zu gewährleisten. Managed Services können in Sachen Compliance wertvolle Unterstützung leisten – insbesondere in Zeiten fortschreitenden Fachkräftemangels. Hierdurch lassen sich teure Bußgelder und Strafen im Zusammenhang mit der Nichteinhaltung von Vorschriften vermeiden. Außerdem umfassen Managed Security Services häufig fortschrittliche Funktionen zur Aufdeckung von und zur Reaktion auf Bedrohungen, etwa Security Information and Event Management (SIEM), Intrusion Detection and Prevention Systems (IDPS) sowie Threat Intelligence Analysis. Mit derartigen Technologien werden aufkommende Bedrohungen effektiver erkannt und abgewehrt als beim alleinigen Einsatz interner Ressourcen. Wenn es an Mitarbeitenden mangelt, sind das Fachwissen und die Erfahrung von MSP Gold wert, um die Sicherheit zu verbessern und komplexe technische Herausforderungen zu bewältigen.

Durch die Zusammenarbeit mit erfahrenen MSP und MSSP, wie den Experten der SITS, stärken Unternehmen ihre IT-Sicherheit, steigern die betriebliche Effizienz und verringern die mit der sich ständig weiterentwickelnden Bedrohungslandschaft verbundenen Risiken.

vCISO - Externe Expertise für mehr IT-Sicherheit

  • Ein virtueller Chief Information Security Officer verbessert die IT-Sicherheit, bietet personelle Flexibilität und Kostensicherheit.
  • Die Aufgaben des vCISO reichen von der Entwicklung eines individuell angepassten Sicherheitskonzepts über die Implementierung eines Informationssicherheits-Managementsystems bis hin zur Überwachung des Tagesgeschäfts.
  • Gute vCISOs sind hochqualifiziert, zertifiziert, verfügen über Branchenkenntnisse und kommunikative Fähigkeiten.

Täglich werden über 2.000 Cyber-Angriffe auf Unternehmen registriert und mit zunehmender Digitalisierung steigt auch das Schadenspotenzial, das ein erfolgreicher Angriff in einem Unternehmen anrichtet. Gleichzeitig steigt das Angebot an Sicherheitslösungen, Frameworks und Methoden zur Abwehr von Angriffen, doch auch die Regulierung im Bereich der IT-Sicherheit immer komplexer. Viele große Unternehmen beschäftigen deshalb inzwischen einen Chief Information Security Officer, kurz CISO. Er ist dafür verantwortlich, dass die IT-Sicherheitsstrategie des Unternehmens kostengünstig, effektiv und rechtlich einwandfrei aufgestellt ist.

Doch was tun, wenn sich mittlere und kleine Unternehmen keinen eigenen CISO leisten können oder wollen? Dann ist ein virtueller Chief Information Security Officer (vCISO) eine gute Alternative, um Zugang zu hochqualifiziertem Sicherheitsmanagement zu erhalten und Lücken in der IT-Sicherheitsarchitektur zu vermeiden.

Was macht ein CISO?

Ein CISO ist für die Cyber-Sicherheitsstrategie, also die Zuverlässigkeit der Unternehmens-IT, verantwortlich und stellt gleichzeitig sicher, dass alle regulatorischen Anforderungen an die Computer-, Software- und Dateninfrastruktur eines Unternehmens erfüllt werden.

Meist ist der CISO dem Chief Information Officer oder dem Chief Technology Officer unterstellt. Gelegentlich berichtet er auch direkt an den Chief Executive Officer.

Die Internetplattform kununu gibt für diese Position ein durchschnittliches Jahresgehalt von rund 95.000 Euro an.

Wie arbeitet ein vCISO?

Virtuelle CISOs sind Experten, die von Unternehmen nach Bedarf eingesetzt werden können. Sie belasten also nicht das Personalbudget, sondern werden immer dann angefordert, wenn Projekte anstehen, dringendProblemlösungen gefragt sind oder Probleme im Vorfeld vermieden werden sollen.

  • In der Regel beginnt der Implementierungsprozess mit der Durchführung eines Security Audits. Hier stellt der vCISO fest, wie das jeweilige Unternehmen in den Bereichen IT-Sicherheit und Regulierung aufgestellt ist. Er prüft Sicherheitsarchitektur, Identitäts- und Zugriffsmanagement sowie die Einhaltung gesetzlicher Rahmenbedingungen.
  • Im zweiten Schritt erarbeitet der vCISO eine Empfehlung für den Aus- oder Umbau der bestehenden Sicherheitsarchitektur. Dabei stehen neben der Effizienz der Systeme auch Kostenoptimierung, Verlässlichkeit und Zukunftssicherheit im Fokus.
  • Anschließend unterstützt der vCISO bei der Umsetzung der überarbeiteten Sicherheitsmaßnahmen. Häufig unterstützen ein Information Security Management System (ISMS) oder die Anbindung an ein Security Operations Center (SOC) die evaluierten Maßnahmen.
  • In der Folge wird die Qualität des Systems in regelmäßigen Abständen neu bewertet, um die Gefährdungslage in den Bereichen Betrieb, Datenschutz, IT-Sicherheit und Cyber-Resilienz so gering wie möglich zu halten.
  • Und natürlich steht der vCISO im Problemfall jederzeit zur Verfügung, um beispielsweise akute Sicherheitslücken zu schließen oder den Verlust wertvoller Unternehmensdaten zu verhindern.
„Ein CISO sollte über aktuelle Cyber-Security-Bedrohungen und gängige Abwehrmechanismen im Bilde sein. Gesetzliche, sowie branchenspezifische Anforderungen müssen dem CISO ebenso bekannt sein, wie gängige Methoden, um diese Anforderungen effektiv und kostenschonend zu erfüllen.“

Oliver Teich (Strategic Consultant)

Zu den weiteren Aufgaben eines vCISO gehören:

  • Beratung in Fragen der Sicherheitsstrategie und bei der Auswahl von Software, Frameworks, etc.
  • Betreuung und Überwachung von Managed Service Providern (MSP)
  • Weiterentwicklung der IT-Sicherheitsstrategie
  • Erstellung von IT-Sicherheitsberichten
  • Beratung der Geschäftsführung im Bereich Cyber Security
  • Kontaktpflege zu Aufsichtsbehörden
  • Überprüfung der IT-Sicherheit von Partnern und Lieferanten
  • Regelmäßige Aktualisierung der Sicherheitsrichtlinien

Darüber hinaus ist ein vCISO ein wertvoller Sparringspartner für alle IT-Bereiche des Unternehmens. Er bringt eine externe Perspektive und Markterfahrung in die Planung von Projekten ein. Dadurch erkennt er auch Schwachstellen in bestehenden Sicherheitsarchitekturen schnell und zuverlässig.

Unabhängig davon kann ein vCISO natürlich auch als Interimslösung die Aufgaben eines festangestellten CISO übernehmen, um z.B. Elternzeiten, Krankheiten, Urlaube oder sonstige Ausfälle zu kompensieren oder als Unterstützung bei vorübergehend hohem Arbeitsaufkommen zu dienen.

Wie findet man einen guten vCISO?

Da ein virtueller CISO sowohl mit der IT-Abteilung als auch mit dem Management und teilweise mit den Mitarbeitenden eines Unternehmens spricht, muss er neben der fachlichen Qualifikation auch gute kommunikative Fähigkeiten mitbringen. Der Kandidat sollte in der Lage sein, komplexe Sachverhalte herunterzubrechen und verständlich zu erklären. Verhandlungsgeschick, Strategisches Denken und Erfahrung im Stakeholder-Management gehören ebenfalls zu den Softskills eines guten vCISO.

Zu den fachlichen Voraussetzungen für die Arbeit als vCISO gehören ein Informatikstudium (oder eine vergleichbare Ausbildung) und entsprechende Zusatzqualifikationen. Auch eine Weiterbildung wie z.B. ein MBA mit Schwerpunkt Informationssicherheit zeigt, dass ein Kandidat für die Aufgabe als vCISO gut vorbereitet ist. In jedem Fall sollte der vCISO gute Branchenkenntnisse und mehrjährige Berufserfahrung in der Leitung von IT-Sicherheitsprogrammen und -projekten nachweisen können.

Wichtige Zertifikate, die eine umfassende Qualifikation für die Arbeit als vCISO nachweisen:

  • CISSP (Certified Information Systems Security Professional): Dieses international anerkannte Zertifikat gilt als wichtigster Nachweis für Fachwissen im Bereich Informationssicherheit.
  • CISM (Certified Information Security Manager): Zeigt, dass der Kandidat die Managementaspekte der Informationssicherheit beherrscht.
  • CEH (Certified Ethical Hacker): Das CEH-Zertifikat weist nach, dass der Inhaber über umfangreiche Erfahrungen im Bereich des ethischen Hackings und der Penetrationstests verfügt.
  • ISO 27001 Lead Implementer: Bescheinigt die Fähigkeit, ein Informationssicherheits-Managementsystem nach ISO 27001 aufsetzen zu können.
  • ISO 22301 Business Continuity Managementsystem: Sicherstellung des Fortbestands des Unternehmens auch bei hohem Schaden und in Krisen- und Notfallsituationen.

Übrigens: Die Entscheidung für einen virtuellen CISO bietet die Möglichkeit, einen Partner zu wählen, der perfekt zu den aktuellen Anforderungen der eigenen Branche passt – und diesen gegebenenfalls einfach und flexibel austauschen zu können, sollten sich diese Anforderungen im Laufe der Zeit ändern.

Neben all diesen Überlegung sollte bei der Entscheidung für einen vCISO auch dessen Verfügbarkeit im Notfall geklärt werden.

„Ein vCISO muss auch in kritischen Situationen verfügbar sein. Im Ernstfall muss sichergestellt sein, dass eventuell eine Vertretung oder ein Notfall-Team einspringen kann.“ - Oliver Teich (Strategic Consultant)

Ist ein vCISO die beste Wahl für Sie?

Gerade für kleine und mittelständische Unternehmen ist die Entscheidung für einen virtuellen Chief Information Security Manager eine Chance, die Qualität der eigenen IT-Sicherheit auf ein höheres Niveau zu heben. Der externe Berater übernimmt Aufgaben, für die dem CTO oder CIO meist die Zeit fehlt und für die andere IT-Mitarbeiter oft nicht ausreichend qualifiziert sind. Einige Richtlinien fordern auch eine personelle Trennung von CTO und CISO.

So bringt ein vCISO externe Expertise und Kompetenz in das Sicherheitsmanagement des Unternehmens ein und bietet gleichzeitig personelle Flexibilität und volle Kostenkontrolle.

30 Jahre ist es her, dass der Finanzdienstleistungsriese Citigroup (ehemals Citicorp) nach einer Reihe von Cyberangriffen durch russische Hacker ein spezielles Büro für Cybersicherheit einrichtete. 1994 gilt demnach als Geburtsjahr des Berufs Chief Information Security Officers. Heute, drei Jahrzehnte nach Auftauchen des ersten CISO, hat nahezu jedes größere Unternehmen eine Fachkraft für Cybersicherheit. Cybersecurity Ventures erklärt, dass es derzeit weltweit rund 32.000 CISOs gibt. Bei schätzungsweise 334 Millionen Unternehmen fällt aber schnell auf: Viele andere Firmen und Organisationen besetzen eine solche Stelle – auch wenn sie noch so wichtig ist – bisher nicht. Sei es aufgrund der Größe, fehlender Expertise oder Budgetbeschränkungen, oder auch weil sofort einsatzbereiter CISO-Support benötigt wird: Ein Vollzeit-CISO ist für viele Unternehmen zwar wünschenswert, aber nicht immer realisier- oder finanzierbar. Manchmal werden CISO-Aufgaben auch auf mehrere IT-Mitarbeitende verteilt, was bei unzureichendem Wissen Risiken birgt. In solchen Fällen ist ein virtueller CISO oder ein ausgelagerter CISO, Stichwort CISO-as-a-Service, eine gute Alternative.

Was macht ein CISO?

Ein Chief Information Security Officer spielt eine zentrale Rolle bei der Gewährleistung von Sicherheit und Integrität der Informationsbestände eines Unternehmens, logisch. Trotzdem lohnt es sich aufgrund der Vielzahl an Aufgaben, die Haupteinsatzfelder einmal aufzuführen.

CISOs sind:

  • Experten in Sachen Risk Management: Hierzu gehören die Identifizierung, Bewertung und Priorisierung von Cybersicherheitsrisiken und -Schwachstellen. Zudem geht es um die Entwicklung von Strategien zur Risikominderung und die Empfehlung geeigneter Sicherheitskontrollen und Gegenmaßnahmen.
  • Hüter der Informationssicherheitsrichtlinien und -verfahren: Das beinhaltet die Entwicklung, Implementierung und Durchsetzung von Informationssicherheitsrichtlinien, -standards und -verfahren im gesamten Firmengefüge. Schließlich müssen alle wichtigen Gesetze, Vorschriften und Industriestandards eingehalten werden.
  • Incident Response-Chefs: CISOs entwickeln und pflegen Pläne, wie auf Datenschutzfälle reagiert werden soll, um Sicherheitsverletzungen einzudämmen und zu entschärfen. Zudem leiten sie Incident-Response-Teams bei der Untersuchung von Sicherheitsverstößen, der Ermittlung der Ursachen und der Umsetzung von Abwehrmaßnahmen.
  • Sicherheitsarchitekten: Auch der Entwurf, die Implementierung und Pflege einer robusten Sicherheitsarchitektur und -infrastruktur zum Schutz der Systeme, Netzwerke und Daten innerhalb eines Unternehmens gehören zum CISO-Aufgabenkatalog. Er oder sie bewertet Sicherheitstechnologien und wählen Tools zur Unterstützung der Sicherheitsziele aus. So ist es in einigen Fällen ratsam, ein Information Security Management System nach ISO-Norm 27001 aufzubauen.
  • Security-Trainer: CISOs fördern Sicherheitsbewusstsein und Best Practices innerhalb der Belegschaft, bei Auftragnehmern und anderen Stakeholdern. Dazu gehört die Entwicklung von Cybersicherheitstrainings, um das Bewusstsein für Sicherheitsrisiken zu schärfen.
  • Compliance-Kontrolleure: Sie entwickeln Rahmenrichtlinien und Mechanismen für das Security Management, um wirksame Überwachung sicherzustellen. Sie führen regelmäßige Sicherheitsbewertungen, Audits und Überprüfungen durch, um die Einhaltung interner Richtlinien und externer Vorschriften zu überprüfen.
  • Third-Party-Risikomanager: CISOs bewertet die Sicherheitslage von Anbietern, Lieferanten und Drittdienstleistern, um zu gewährleisten, dass sie die Sicherheitsstandards und -anforderungen des Unternehmens erfüllen. Sie legen vertragliche Vereinbarungen und Überwachungsmechanismen fest, um Third-Party-Sicherheitsrisiken effektiv zu managen.
  • Kommunikationsspezialisten: Wwichtig ist auch die rechtzeitige und transparente Kommunikation von Sicherheitsvorfällen, Bedrohungen und Schwachstellen an Geschäftsleitung, Management und Stakeholder sowie regelmäßige Berichte über die Sicherheitslage im Unternehmen.
  • Trend-Checker und Wegbereiter: CISOs müssen immer über neue Bedrohungen, Trends und Technologien im Bereich der Cybersicherheit Bescheid wissen, um die Sicherheitsmaßnahmen anzupassen und zu verbessern. Außerdem sollten sie innovative Projekte vorantreiben, um künftigen Sicherheitsherausforderungen den Schrecken zu nehmen.

Klar, dass sich jedes Unternehmen einen derartigen Security-Allrounder in seinen Reihen wünscht. Da dies aus den genannten Gründen aber oft nicht möglich ist, lohnt es sich, externen Support anzufordern: CISO-as-a-Service.

Sechs Gründe für CISO-as-a-Service

CISO-as-a-Service punktet mit:

  1. Flexibilität: Externe CISO-Dienste sind beim Umfang und der Dauer der Dienstleistungen flexibler. Der CISO-Support lässt sich je nach Bedarf skalieren und zusätzliche Ressourcen hinzufügen oder reduzieren. Das ist besonders praktisch in Zeiten erhöhter Sicherheitsanforderungen oder bei der Durchführung spezifischer Projekte.
  2. Knowhow: Externe CISO-Dienste bieten Zugang zu einem Pool von erfahrenen Experten. Unternehmen können von fundierten Erfahrungen profitieren und haben Zugang zu spezialisierten Fähigkeiten, die ein interner CISO nicht besitzt.
  3. Kontinuität: Externe CISOs halten sich ständig über aktuelle Bedrohungen, Trends und Best Practices auf dem Laufenden. Sie können sicherstellen, dass Sicherheitsrichtlinien und entsprechende Praktiken kontinuierlich verbessert und den sich ändernden Bedrohungslandschaften angepasst werden, ohne dass interne Ressourcen abgelenkt werden müssen.
  4. Objektivität: Externe Mitarbeitende bieten idealerweise eine objektive und unabhängige Sicht auf die Sicherheitspraktiken eines Unternehmens. Sie sind nicht in interne politische Dynamiken verwickelt und können daher Entscheidungen auf Basis von Best Practices und objektiven Analysen treffen.
  5. Kosteneffizienz: Externe CISO-Dienste können kosteneffizienter sein, da Unternehmen nur für die tatsächlich erbrachten Leistungen bezahlen. Festangestellte CISOs erhalten ein festes Gehalt, Zusatzleistungen und möglicherweise Boni, unabhängig davon, ob ihre Leistung vollständig ausgeschöpft wird oder nicht.
  6. Ressourcenoptimierung: Mithilfe externer CISO-Dienste können Unternehmen interne Ressourcen für andere strategische Aufgaben und Geschäftsziele freisetzen.

Fazit CISO-as-a-Service

Externe CISO-Dienste sind eine kosteneffiziente, flexible und effektive Option, wachsende Informationssicherheitsanforderungen zu erfüllen. Das gilt vor allem dann, wenn keine Mittel oder Erfahrungen für einen festangestellten CISO zur Verfügung stehen. Sie eignen sich bei akutem Bedarf – das Onboarding neuer Mitarbeitender dauert länger als die Beauftragung eines externen Services – und als Interimslösung. Egal ob KMU oder Start-up: Kleinere Unternehmen und Firmen, die sich im Aufbau befinden, profitieren von der Expertise erfahrener CISO-Anbieter – und schützen ihre wertvollen Daten, Systeme und verlässlich.

Wenn Sie erfahren möchten, wie CISO-as-a-Service im Unternehmensalltag aussehen kann, lesen Sie unsere Success Story „CISO-as-a-Service für Steeltec Group“. Der Schweizer Stahlhersteller setzt auf CISO-as-a-Service der Swiss IT Security AG. Hierzu gehören beispielsweise die Erstellung einer Sicherheits-Roadmap, die Koordination verschiedener Abteilungen sowie die Konzeption einer Remote Access-Lösung der Geräte im Werk.

Ein gewisses Maß an Risikobereitschaft kann Innovationen vorantreiben, doch im Geschäftsumfeld bedarf es vor allem vorausschauender Planung. So ermöglicht gut geplantes IT-Risikomanagement Unternehmen, fundierte Entscheidungen über ihre Sicherheitsressourcen zu treffen. Angesichts zunehmender Bedrohungen und technischer wie regulativer Neuerungen gewinnt Risk Management immer mehr an Bedeutung. Laut KPMG messen rund 72 Prozent der Unternehmen ihren Cyber Security-Status regelmäßig auf Basis von KPIs. Allerdings nutzt nur jedes vierte Unternehmen Privilegiertes Access Management (PAM), um digitale Identitäten zu schützen, und SIEM (Security Incident and Event Management) nutzt nur jedes dritte Unternehmen. Eine Neuaufstellung des firmeneigenen IT Risk Managements ist daher ratsam.

Risikobewertungen als Sicherheitsgrundlage

„Die bessere Schwester der Angst ist die Vorsicht, aber der schlechtere Bruder des Muts ist der Übermut.“ Dieses Zitat wird dem deutschen Unternehmer Philip Rosenthal zugeschrieben. Und er muss wissen, wovon er spricht, denn schließlich beschäftigte sich Rosenthal Zeit seines Lebens mit zerbrechlichem Glas und Porzellan. Doch auch für andere Unternehmen, Behörden und Organisationen sollte Rosenthals Erkenntnis als Leitsatz dienen. Denn ohne quantitative Methoden lassen sich IT-Risiken nicht ausreichend bewerten und priorisieren. Ineffizienter Ressourceneinsatz und unzureichender Schutz sind die Folge. Inadäquate Risikobewertungen können außerdem zu finanziellen Verlusten und Imageschäden führen. IT Risk Management ist heute mehr als ein „Nice to Have“ – in Zeiten stetig neuer Cyber-Bedrohungen wird es zum absoluten Muss für jedes Unternehmen, das Daten, Systeme, Mitarbeitende, Partnerunternehmen und Firmenwerte bestmöglich vor IT-Risiken absichern möchte.

Was ist ein IT-Risiko?

Das Allianz Risk Barometer nennt jedes Jahr die größten Unternehmensrisiken. Hierbei stehen Cyber-Vorfälle derzeit auf Platz 1, gefolgt von von Betriebsunterbrechungen. Die Kosten einer Datenpanne liegen laut Studie bei rund 4,35 Millionen US-Dollar, Tendenz steigend. Ein wirksames IT-Risikomanagement kann solchen Gefahren und vorbeugen, indem es potenzielle Bedrohungen identifiziert, bewertet, priorisiert und abmildert.

Die Top 8 der IT-Risiken, die Sie kennen sollten:

  1. Sicherheitsbedrohungen wie Hacker-Attacken, Malware, Phishing-Angriffe und unbefugte Zugriffe auf sensible Daten können zu Datendiebstahl, Geschäftsausfällen, finanziellen Verlusten, Sanktionen und Imageschäden führen.
  2. Stromausfall, Naturkatastrophen, Brände, Überschwemmungen oder andere Gefahren können die IT-Infrastruktur schädigen und Geschäftsabläufe stören.
  3. System- oder Netzwerkausfälle sowie Infrastrukturunterbrechungen verursachen ebenfalls ungeplante Ausfallzeiten, die Betrieb, Produktivität und Kundenzufriedenheit beeinträchtigen.
  4. Datenverlust oder -beschädigung können durch Hardware-Ausfälle, Software-Fehler, menschliches Versagen oder böswillig herbeigeführte Attacken eintreten. Dies kann zum Verlust von wichtigen Geschäfts- und Kundendaten oder geistigem Eigentum führen.
  5. Neue Technologien wie Cloud Computing, Internet of Things (IoT) oder künstliche Intelligenz können Risiken für Datensicherheit und die Einhaltung von Vorschriften beinhalten.
  6. Die Missachtung von Vorschriften, Datenschutzgesetzen oder vertraglichen Verpflichtungen kann Strafen, Geldbußen und Gerichtsverfahren nach sich ziehen. NIS2, PCI DSS und HIPAA verlangen etwa regelmäßige Schwachstellen-Scans zum Schutz sensibler Daten.
  7. Die Abhängigkeit von Drittanbietern, Lieferanten oder Dienstleistern birgt Risiken wie Serviceunterbrechungen, Datenschutzverletzungen oder Vertragsstreitigkeiten.
  8. Insider-Bedrohungen, menschliche Fehler, ungenügende Trainings oder fahrlässiges Verhalten der Belegschaft können zu Datenlecks, unbefugtem Zugriff oder dem falschen Umgang mit sensiblen Informationen führen.

Was sind Risk Assessment und Risikomanagement genau?

IT-Risiken bezeichnen die Wahrscheinlichkeit unerwarteter, nachteiliger Geschäftsresultate durch die Ausnutzung von Schwachstellen in Hard- und Software. Mithilfe verschiedenster Methoden des IT-Risikomanagements lassen sich die genannten IT-Bedrohungen abwenden. Dabei ist Risk Management keine isolierte und für sich alleinstehende Vorgehensweise. Stattdessen geht es um viele verschiedene Verfahren, Richtlinien und Werkzeuge zur Ermittlung und Bewertung potenzieller Bedrohungen und Schwachstellen in Ihrer IT-Infrastruktur. Diese greifen ineinander und sollten auf die Anforderungen Ihres Unternehmens abgestimmt sein. Zu Beginn steht dabei stets das Risk Assessment, also die quantitative und qualitative Bewertung der Risiken, gefolgt von konkreten Abwehrmechanismen.

Für eine verlässliche Bewertung der IT-Risiken in Ihrem Unternehmen sollten Sie diese vier Grundpfeiler des Risk Assessments beachten:

  • Bedrohungen (Threats) sind alle Situationen, Aktionen oder Vorfälle, die die Systemsicherheit gefährden können. Dies kann absichtlich oder versehentlich geschehen, etwa Malware-Attacken, Geräteausfall, menschliches Versagen und Naturkatastrophen.
  • Anfälligkeiten (Vulnerabilities) sind Schwachstellen oder Lücken, die Kriminelle ausnutzen, um sensible Informationen zu stehlen. Die Identifizierung von Schwachstellen in IT-Systemen und darauf abzielende Angriffsmethoden entscheidet darüber, wie gut sich IT-Risiken minimieren lassen.
  • Assets ist ein weit gefasster Begriff, der sowohl Soft- als auch Hardware, gespeicherte Daten, IT-Sicherheitsrichtlinien, Nutzerdaten bis hin zu einzelnen Dateiordnern mit sensiblen Daten umfasst.
  • Kosten sind der Gesamtschaden, der einem Unternehmen durch einen Sicherheitsvorfall entstehen kann – sei es finanziell, reputativ oder schlimmstenfalls beides.

Warum ist IT-Risikomanagement so wichtig?

Deloitte hat in seiner Risikomanagement-Benchmarkstudie 2023 herausgefunden, dass im Moment weniger als ein Drittel der befragten Unternehmen die Voraussetzungen eines ganzheitlichen Risikomanagementsystems erfüllt.  Eine aktuelle Accenture-Studie zeigt in diesem Kontext, dass Risk Management für viele Unternehmen immer wichtiger wird, da zum einen komplexe und vernetzte Risiken immer schneller auftreten. Dies sagten 83 Prozent der Befragten. 77 Prozent erklärten zudem, dass es immer schwieriger werde, Risiken zu erkennen und zu managen Und 72 Prozent zeigten sich besorgt, dass ihre Risikomanagement-Kompetenz nicht mit der sich schnell verändernden IT-Landschaft Schritt halten könne.

Ein auf moderne Anforderungen abgestimmtes IT-Risikomanagement ist hierbei essenziell für:

  • Wettbewerbsfähigkeit,
  • den Schutz Ihrer Vermögenswerte,
  • gesicherte Geschäftskontinuität,
  • Regelkonformität und Compliance,
  • den Schutz Ihrer Unternehmensreputation,
  • die Optimierung von Kosten und Ressourcen sowie
  • die Stärkung des Vertrauens aller Stakeholder.

Wenn Sie Ihre Unternehmensinformationen ganzheitlich schützen und die zunehmende Zahl an Risiken eindämmen wollen, führt an einem passgenauen Risk Management kein Weg vorbei.

Die Erfassungssysteme des unabhängigen AV-TEST Instituts erkennen und analysieren 3,9 neue Malware-Samples pro Sekunde. Das sind das sind über 322.000 neue Schädlingsvarianten pro Tag. IT-Sicherheitsvorfälle durch Malware-Attacken, Datenlecks und Cyber-Angriffe können das Vertrauen von Kunden, Partnern und der Öffentlichkeit beeinträchtigen. Ein proaktives Risikomanagement hilft, die Gefahr solcher Vorfälle zu minimieren und die Reputation des Unternehmens zu schützen. Durch die Identifizierung und Priorisierung von IT-Risiken können Sie außerdem Ressourcen effizienter einsetzen und gezielte Investitionen in Sicherheitsmaßnahmen tätigen. Dies trägt dazu bei, potenzielle Schäden und Kosten im Zusammenhang mit IT-Sicherheitsvorfällen zu minimieren.

Bedrohungslage von Cyber-Angriffen für Unternehmen

Ransomware und andere Cyber-Angriffe werden die Widerstandsfähigkeit von Lieferketten und Geschäftsmodellen auch 2024 auf die Probe stellen. In jedem Fall gehören Cyber-Vorfälle wie Malware-Angriffe, Verstöße gegen den Datenschutz und Ausfälle der IT-Systeme weltweit zu den größten Ängsten der Unternehmen. An zweiter Stelle folgt das damit eng verbundene Risiko einer Betriebsunterbrechung.

Cyber-Vorfälle (36 Prozent aller Vorfälle) sind damit zum dritten Mal in Folge das weltweit am meisten gefürchtete Risiko – erstmals mit deutlichem Abstand (5 Prozent). Datenschutzverletzungen betrachten die Befragten des Allianz Risk Barometers als die besorgniserregendste Cyber-Bedrohung (59 Prozent), gefolgt von Angriffen auf kritische Infrastrukturen und physische Vermögenswerte (53 Prozent). Die jüngste Zunahme von Ransomware-Angriffen – mit einer bedenklichen Zunahme im Jahr 2023 und einem Anstieg der Versicherungsschäden um mehr als 50 Prozent im Vergleich zu 2022 – steht an dritter Stelle (53 Prozent).

Auch in Deutschland rangieren die Sorge vor Cyber-Vorfällen und Betriebsunterbrechungen auf den ersten beiden Plätzen der Umfrage. Kein Wunder, schließlich waren 2022 fast drei Viertel (72 Prozent) oder 148 Milliarden Euro des Gesamtschadens, der der deutschen Wirtschaft durch Datendiebstahl, Sabotage und Wirtschaftsspionage entsteht, allein auf Cyber-Angriffe zurückzuführen. Beispiele für betroffene Unternehmen gibt es viele, darunter prominente Namen.

Welche Leistungen beinhalten Cyber-Versicherungen?

Eine Cyber-Versicherung umfasst je nach Vertrag folgende Leistungen:

  • Finanzieller Schutz: Cyber-Versicherungen bieten finanziellen Schutz vor Schäden, ausgelöst durch Cyber-Vorfälle (siehe unten). Dazu zählen Ausgaben für Untersuchungen, Kreditüberwachung und potenzielle rechtliche Verpflichtungen sowie andere Kosten im Zusammenhang mit Datenschutzverletzungen. Darüber hinaus kann sie für Betriebsunterbrechungen, Umsatzeinbußen und die Wiederherstellung von Computersystemen aufkommen.
  • Prävention und Beseitigung: Eine Cyber-Haftpflichtversicherung schützt Unternehmen gegen das Risiko von Cyber-Ereignissen, einschließlich solcher mit terroristischem Hintergrund. Sie deckt die Netzwerksicherheit ab und hilft bei der zeitnahen Behebung von Cyber-Angriffen und -ähnlichen Vorfällen.
  • Rechtliche Unterstützung: Rechtsbeistand ist häufig in Cyber-Versicherungen enthalten. Das hilft Unternehmen dabei, sich in dem komplizierten Rechtssystem im Zusammenhang mit Cyber-Vorfällen zurechtzufinden. Sie deckt zum Beispiel die Kosten für Rechtsbeistand, Compliance und mögliche Klagen aufgrund von Datenschutzverletzungen ab.

Weitere in der Regel abgedeckte Kosten:

  • Benachrichtigung von Kunden nach einer Sicherheitsvorfall.
  • Beauftragung von Forensikern mit der Wiederherstellung kompromittierter Daten.
  • Wiederherstellung der Identität von Kunden, deren personenbezogene Daten kompromittiert wurden.
  • Wiederherstellung von veränderten oder gestohlenen Daten.
  • Reparatur oder Ersatz beschädigter oder beeinträchtigter Computersysteme.

Hinzu kommen weitere positive Nebeneffekte: Mit dem Abschluss einer Cyber-Versicherung heben sich Unternehmen von ihren Mitbewerbern ab, indem sie ihr Engagement zum Schutz von Kundendaten und zur aktiven Vorbereitung gegen Cyber-Attacken unter Beweis stellen. Darüber hinaus demonstrieren sie ihr Bekenntnis zu hoher Cyber_Sicherheit. Das stärkt das Ansehen und das Vertrauen bei Kunden, Stakeholdern und Partnern. Schließlich geben Cyber_Versicherungen Unternehmen ein Gefühl der Sicherheit, indem sie ihre finanzielle Stabilität bei Cyber_Krisen gewährleisten. Unternehmen können sich auf ihr Kerngeschäft konzentrieren, ohne permanent mögliche finanzielle und Reputationsfolgen eines Cyber-Angriffs erwägen zu müssen.

Welche Cyber-Risiken sind versichert?

In Bezug auf Cyber-Angriffe bieten Cyber-Versicherungen Schutz vor verschiedenen Risiken, die im Zusammenhang mit der Nutzung des Internets entstehen. Zu beachten ist, dass der genaue Umfang des Versicherungsschutzes je nach Anbieter und Tarif variiert. Hier einige Beispiele:

  • Cyber-Betrug: Schäden, verursacht durch betrügerische Aktivitäten im Internet wie Phishing.
  • DoS- und DDoS-Angriffe: Schäden durch Angriffe, die darauf abzielen, einen Dienst oder eine Website unzugänglich zu machen.
  • Infektionen durch Schadprogramme: Schäden durch Ransomware, Würmer, Trojaner und andere Malware.
  • Datenverlust: Kosten für die Wiederherstellung oder den Ersatz verlorener oder gestohlener Daten.
  • Verletzung von Datenschutz- und Geheimhaltungspflichten: Bußgelder und andere Kosten aufgrund von Verstößen gegen Datenschutzgesetze.
  • Cloud-Ausfall: Schäden, entstanden durch den Ausfall von Cloud-Diensten.

Welche Schäden schließen Cyber-Versicherungen aus?

Vermeidbare, von Menschen verursachte Sicherheitsprobleme, wie beispielsweise schlechtes Konfigurationsmanagement oder unvorsichtiger Umgang mit digitalen Ressourcen, schließen viele Cyber-Cersicherungen aus. Zu den weiteren Problemen, die von den Cyber-Sicherheitsrichtlinien ausgeschlossen werden, gehören unter anderem:

  • Bestehende oder frühere Verstöße oder Cyber-Ereignisse, zum Beispiel Vorfälle, die sich vor Abschluss der Versicherung ereignet haben.
  • Cyber-Ereignisse, für die Mitarbeiter oder Insider verantwortlich sind.
  • Infrastrukturausfälle, die nicht im Zusammenhang mit einem gezielten Cyber-Angriff stehen.
  • Das Versäumnis, eine bekannte Schwachstelle zu beheben. Wenn etwa ein Unternehmen von Schwachstellen in seinem System wusste, diese aber nicht behoben hat und dadurch kompromittiert wurde, entfällt der Versicherungsschutz.
  • Kosten für die Verbesserung technischer Systeme, einschließlich der Sicherheitsvorkehrungen in Systemen oder Anwendungen.
  • Verlust von geistigem Eigentum wie geschützten Informationen, Geschäftsgeheimnissen oder anderen unbezahlbaren immateriellen Vermögenswerten.
  • Kriegsschäden: In der Regel enthalten Cyber-Versicherungen sogenannte “Kriegsausschlussklauseln”, die Schäden durch Krieg oder kriegsähnliche Ereignisse ausschließen.

Gibt es spezielle Regeln für Cyber-Versicherungen in Deutschland?

Für Deutschland gibt es spezielle Regelungen, konkret die allgemeinen Versicherungsbedingungen für die Cyber-Risikoversicherung des Gesamtverbandes der Deutschen Versicherungswirtschaft (GDV). Die Cyber-Versicherer sind zwar nicht verpflichtet, ihre Policen exakt so zu gestalten, viele folgen aber den Verbandsvorgaben. Folgende Aspekte hat der Verband kürzlich geändert:

  • Mobiles Arbeiten: Die neuen Musterbedingungen beinhaltet auch die Versicherung des Fernzugriffs auf die Unternehmens-IT.
  • Verstoß gegen Datenschutzgesetze: Die Datenschutzgrundverordnung (DSGVO) räumt seit 2018 den Betroffenen eines Datenlecks einen Anspruch auf Schadenersatz ein. Da von einem solchen Datenleck meist viele Personen betroffen sind, sind die Schäden oft sehr hoch. Dieses Risiko ist in den überarbeiteten Musterbedingungen mitversichert.
  • Krieg und staatliche Angriffe: Die Neufassung stellt klar, dass ein Krieg im Sinne der Bedingungen nicht die Anwendung physischer Waffengewalt voraussetzt. Schäden durch Kriegshandlungen kann die Versicherung auch dann ausschließen, wenn digitale Angriffe erfolgen. Ferner schließen die neuen Musterbedingungen auch staatliche Cyber-Angriffe aus. Dies betrifft Schäden in Zusammenhang mit unmittelbaren oder mittelbaren Folgen eines staatlichen Angriffs auf kritische Infrastrukturen.
  • Externe Dienstleister: Schäden durch Störungen bei externen Dienstleistern wie Cloud-Anbietern, Rechenzentren oder Software-as-a-Service-Lösungen waren bisher nicht versichert. Die neuen Musterbedingungen heben diesen Ausschluss weitgehend auf: Manipulieren Angreifer beim Dienstleister gespeicherte Daten, infizieren sie mit Malware oder machen sie Unbefugten zugänglich, besteht nun oft Versicherungsschutz. Ausgeschlossen bleibt allerdings, wenn der Dienstleister ausfällt und es aus diesem Grund zu Betriebsstörungen kommt.

Gibt es Voraussetzungen für den Abschluss von Cyber-Versicherungen?

Das Interesse an Cyber-Versicherungen ist in der Wirtschaft enorm. Allerdings erfüllen nicht alle Unternehmen die Anforderungen an die Cyber-Sicherheit, die Versicherer inzwischen voraussetzen. Galt anfangs nur ein Basisschutz als Kriterium, müssen Unternehmen, die sich versichern lassen wollen, mittlerweile ein hohes Schutzniveau nachweisen.

Die Basis für ein erforderliches Mindestmaß an IT-Sicherheit bilden bekannte Maßnahmen wie regelmäßige Datensicherungen, individuelle Zugänge, Schutz vor Malware-Attacken, Firewalls und zeitnah installierte Sicherheitsupdates. Es geht aber inzwischen über die technischen Maßnahmen hinaus. Das bedeutet, auch organisatorische und prozessuale Maßnahmen zu adressieren und umzusetzen. Und vor allem den Menschen mit einzubeziehen. Mitarbeiterschulungen zum Thema, Richtlinien (z.B. Passwortrichtlinien) sind bekannt zu machen und einzuhalten sowie IT-Sicherheitsprozesse zu institutionalisieren. All dies muss messbar und überprüfbar sein, wobei die Verantwortung von der obersten Führungsebene bis zu jedem einzelnen Beschäftigten reicht.

Wie bei jedem Versicherungsvertrag stellt der Versicherer Fragen zum Risiko. Er kann weitere notwendige Sicherheitsmaßnahmen verlangen, die zu berücksichtigen sind. Daher ist die bereits erwähnte Nachvollziehbarkeit wichtig. Alle identifizierten Risiken sind zu reduzieren bzw. zu normalisieren. Geschieht dies nicht, kann der Versicherer bestimmte Schäden im Vertrag ausschließen.

Ein standardisiertes System zur Verwaltung von Identitäten und Zugriffsrechten für die verschiedenen On-Premise- und Cloud-Anwendungen ist beispielsweise als Basis zwingend erforderlich. Denn wie ein guter Brandschutz stellt etwa ein sauber implementiertes Zugriffsrechtesystem über IAM eine Grundlage für niedrigere Versicherungsprämien dar. Schließlich schützen Mechanismen wie die Eskalation von Verstößen bei inkompatiblen Aktivitäten und andere Maßnahmen wie ein Need-to-know-Rollenmodell die Compliance und helfen beim Nachweis unbefugter Zugriffe.

Darüber hinaus sind Unternehmen verpflichtet, sich an die geltenden gesetzlichen Grundlagen zu halten. So ist beispielsweise die Cyber-Versicherung einer Arztpraxis oder eines Krankenhauses an die Einhaltung branchenspezifischer Sicherheitsstandards (B3S), des Patientendatenschutzgesetzes und weiterer Maßnahmen für kritische Infrastrukturen gebunden.

Bestimmte Zertifizierungen sind jedoch nicht zwingend erforderlich. Diese geben den Versicherern zwar Anhaltspunkte für die Qualität der IT-Sicherheit: So lassen sich aus den Anforderungen, die die Zertifizierung erfordert, Rückschlüsse ziehen, ob bestimmte Sicherheitsmaßnahmen vorliegen. Eine Zertifizierung führt jedoch nicht zwingend zu einer Erleichterung eines Abschlusses.

Welche Faktoren bestimmen die Höhe der Kosten einer Cyberversicherung?

Die Kosten für eine Cyber-Versicherung sind variabel, eine pauschale Aussage über die Höhe ist schwierig. Die Preise für Cyber-Versicherungen richten sich in der Regel nach dem Jahresumsatz des Versicherten, der Branche, dem Umfang und der Art des Versicherungsschutzes. In den letzten Jahren ist ein deutlicher Anstieg der Cyber-Versicherungsprämien und -zahlungen zu verzeichnen, was auf die wachsende Angriffsfläche und die Weiterentwicklung der Angriffstechniken zurückzuführen ist. Um ein konkretes Angebot zu erhalten, gilt es bei der jeweiligen Versicherung einen Beratungstermin zu vereinbaren oder ein Angebot anzufordern.