Die richtige OT (Operational Technology) Cybersecurity-Lösung ist immer noch der beste Schutz vor Cyberangriffen, berichtet das Cybersecurity-Unternehmen TXOne in einer Pressemeldung. Trotzdem sei die Cybersecurity-Versicherung ein wesentlicher Bestandteil des OT-Cybersecurity-Risikomanagements, denn für Risikomanager in Unternehmen sei es eine Herausforderung, alle Bedrohungen zu erkennen und zu bekämpfen. Wenn alle Verteidigungsmaßnahmen versagen, könne eine Cybersecurity-Versicherung zur Deckung von Verlusten eingesetzt werden und Unternehmen bei der Schadensbehebung helfen.
Markt für OT-Cybersecurity-Versicherungen ist noch relativ klein
Diese Versicherungen würden häufig als Risikotransfer-Strategie betrachtet, ein Trend zur Risikominderung, der sich auch im Bereich der Informationstechnologie immer mehr durchsetze. Obwohl der Markt für OT-Cybersicherheitsversicherungen noch relativ klein sei, zeigt er schnelles Wachstum. OT Cybersecurity Anbieter TXOne Networks erklärt, worauf bei Cybersecurity-Versicherungen zu achten ist, wo ihre Vorteile, aber auch ihre Grenzen liegen.
In der Vergangenheit konzentrierte sich die IT-Cybersicherheit auf den Schutz der Daten Dritter und die Haftung für den Datenschutz. Die Cyberkriminalität habe sich jedoch weiterentwickelt, und die jüngsten Attacken zeigten eine deutliche Verlagerung in Richtung direkterer Bedrohungen, wie z. B. Lösegeldforderungen, Geschäfts- oder Rufschädigung und sogar physische Schäden. Ransomware sei zur bevorzugten Waffe für Angriffe auf OT-Umgebungen geworden, und Cyberangreifer könnten jetzt Plug-and-Play-Ransomware-Kits im “Dark Web” erwerben, was zu vermehrten Vorfällen durch so genannte Ransomware-as-a-Service (RaaS) beiträgt. Diese gezielten Angriffe könnten insbesondere anfällige kleine und mittlere Unternehmen betreffen, die dann schlimmstenfalls mit längeren Ausfallzeiten, höheren Kosten für die Betriebsunterbrechung, vermehrten Rechtsstreitigkeiten und gesetzlichen Strafen rechnen müssen.
Nicht alle Verluste werden durch Versicherungen abgedeckt
Obwohl die Opfer von Ransomware eine gewisse Entschädigung durch eine Cyberversicherung erhalten, sei zu beachten, dass nicht alle Verluste abgedeckt würden. In einer Versicherung könnten Ausschlüsse enthalten sein, wie zum Beispiel Ausschlussklauseln für Krieg, terroristische Bedrohungen, Verletzung von geistigem Eigentum, Körperverletzung oder Sachschäden. Es gebe immer noch Probleme, die die Entwicklung des Versicherungsmarktes für Cybersicherheit beeinträchtigen. Deshalb müssten klare Standards festgelegt werden, um diese Probleme zu lösen und somit die Genauigkeit von Risikoeinschätzungen sowie die Zuverlässigkeit von Cybersecurity-Versicherungen zu verbessern. Dies gelte es bei der Entscheidung für eine solche Versicherung zu verstehen und zu beachten.
Es werde immer wahrscheinlicher, dass Unternehmen, die eine mangelhafte IT- oder OT-Cybersicherheit aufweisen, ungünstigere Versicherungspreise und -bedingungen oder überhaupt keine Versicherung erhielten. So untersuchten etwa Versicherungsunternehmen, ob Organisationen gewisse Cybersecurity-Richtlinien, Sicherheitskontrollen und bestimmte Grundvoraussetzungen erfüllen. Bei der Bewertung des Versicherungsbedarfs konzentrierten sich die Versicherungen in der Regel auf unterschiedliche Informationen – zum Beispiel auf die Menge und Art der vom Antragsteller verarbeiteten Daten, die OT-Infrastruktur oder die IT/OT-Sicherheitsbudgets. Sie berücksichtigten auch einige schwieriger quantifizierbare Informationen, wie z. B., ob der Versicherte Fragen auf der Grundlage der aktuellen Bedrohungslage beantworte und ob es dort Fachleute gebe, die an relevanten Cybersicherheitsarbeiten beteiligt sind. So bewerteten Versicherungsgesellschaften die Cybersicherheitsrisiken von Unternehmen, um zu entscheiden, ob sie eine Versicherung anbieten und um die Prämien festzulegen.
Vor Versicherungsabschluss müssen Informationen geliefert werden
Um festzustellen, ob versicherbare Risiken akzeptiert und entsprechende Versicherungsverträge abgeschlossen werden, verwendeten Versicherungsunternehmen meist einen Prozess, der als Underwriting oder Risikoprüfung bezeichnet wird. Der Prozess umfasse die Beschaffung von Informationen über die Cybersecurity-Praktiken des Versicherten, eine Risikobewertung und -quantifizierung, Interviews, die Bewertung der Geschäftsrisiken, sowie die Entscheidung über die Annahme des Risikos und die Festlegung angemessener Risikoprämien. Zunächst müsse das versicherte Unternehmen dem Versicherer Informationen zur Verfügung stellen, die bei der Risikoquantifizierung hilfreich sein können, darunter:
- Detaillierte Informationen über IT/OT-Systeme und eventuelle Outsourcing-Vereinbarungen
- Einzelheiten zum IT/OT-Sicherheitsmanagementsystem
- IT/OT-Sicherheitsbudget und -ausgaben
Dem aktuellen ENISA-Bericht zufolge verwendeten die Versicherungsgesellschaften hierfür meist Fragebögen, Besuche vor Ort, dokumentengestützte Daten, und nur in wenigen Fällen Bewertungen durch Dritte. Hierbei werde der Bereich OT vermehrt als Ausschlussklausel aufgeführt oder als unabhängige Versicherung betrachtet, sodass eine Organisation, die ihre OT-basierten Produktionsanlagen versichern möchte, einen weiteren OT-Zusatzantrag stellen muss. Typische Beispiele für Bewertungsfragen seien hierbei:
- Verfügen Sie über eine OT-Sicherheitsrichtlinie, die auch die Cybersicherheit umfasst?
- Führen Sie ein vollständiges und aktuelles, zentral geführtes Inventar Ihrer OT-Anlagen?
- Ist Ihre OT-Umgebung von Ihrer(n) IT-Umgebung(en) abgegrenzt?
- Erlauben Sie Mitarbeitern oder Dritten Fernzugriff auf Ihre OT-Umgebung? Wenn ja, setzen Sie für den Fernzugriff eine Multi-Faktor-Authentifizierung (MFA) durch?
- Verfügen Sie über einen Prozess zur Verwaltung von Sicherheitslücken und Patches und führen Sie Backups Ihrer OT-Umgebung durch?
Unabhängig davon, ob ein Unternehmen Standards wie NIST CSF, ISO 27001 oder IEC 62443 verwendet, gebe es Anforderungen, wie z. B. Inventarisierung von Anlagen, Netzwerktopologie Pläne, Tabletop-Übungen, Patches für Sicherheitslücken, Zugangskontrolle, Trennung von Netzsegmenten und andere Schutzmaßnahmen. Außerdem würden die OT-Überwachung, die Fähigkeit, auf OT-Cyberangriffe mit Hilfe von Richtlinien und Verfahren zu reagieren, und die Wiederherstellung mit Hilfe aktueller Backups bewertet. Diese Bewertungspunkte stammten üblicherweise aus international anerkannten Best-Practice-Richtlinien für die IT und werden nun auch im IT-Bereich eingesetzt.
OT-Cybersecurity-Versicherungen beinhalten oft Ausnahmen für Terrorismus oder Krieg
Eine der größten Kontroversen bei der OT-Cybersecurity-Versicherungen war bis jetzt die Frage, wie auf katastrophale Cybersecurity-Katastrophen, wie z. B. das Colonial Pipeline, reagiert werden solle, die riesengroße wirtschaftliche Auswirkungen hätten. Bei dieser Art von Ereignissen gelten häufig Ausnahmen für Terrorismus oder Krieg, was eine der größten Herausforderungen für OT Cybersecurity-Versicherungen darstellt. Daher müssten Unternehmen die Versicherungsfragen im OT-Umfeld genau verstehen und sich Gedanken darüber machen, was sie im Vertrag versichern und was sie ausschließen möchten.
Der Analysebericht des U.S. CSC empfiehlt auch eine staatlich unterstützte Rückversicherung, um Cybersecurity-Katastrophen zu bewältigen. Einfach ausgedrückt, biete die Rückversicherung Schutz für die Versicherungsunternehmen und nimmt ihnen einen Teil des Risikos ab. Die Rückversicherung erhöhe die Stabilität der Versicherungsunternehmen, hilft bei der Risikodiversifizierung, und ermögliche es, weiterhin in großem Umfang OT Cybersecurity-Versicherungen anzubieten.
Tatsächliches Risiko von Cyberangriffen wird immer noch unterschätzt
Sowohl Versicherte als auch Versicherungsunternehmen sähen sich häufig mit einer Herausforderung konfrontiert: Das tatsächliche Risiko von Cyberangriffen auf digitalisierte physische Systeme werde häufig missverstanden oder unterschätzt. Um ein besseres Bewusstsein für solche Risiken zu entwickeln, müssten beide Parteien die tatsächlichen Risiken von OT-Angriffen besser verstehen und erkennen.
Erstens müssten klare Anforderungen an die OT-Cybersicherheit festlegt werden. Etablierte Versicherungsanbieter hätten angesichts des raschen Anstiegs der Schadensfälle damit begonnen, von ihren Kunden die Einhaltung robuster Sicherheitspraktiken zu verlangen. Im OT-Bereich seien diese Anforderungen an die Cybersicherheit jedoch nicht eindeutig. Zwar gebe es spezifische OT-Rahmenwerke und Richtlinien wie IEC62443, doch müssten Versicherungsunternehmen und Versicherte die Grundlage immer noch anpassen, um den spezifischen Endgeräten, Prozessen und Risiken von OT-Systemen gerecht zu werden.
Zweitens sei ein proaktiver Ansatz für das Management von OT-Systemen nötig. Derzeit würden die meisten OT-Umgebungen nicht angemessen verwaltet, insbesondere jene OT-basierten Produktionsanlagen, auf denen veraltete Betriebssysteme laufen. Bei diesen Anlagen würden häufig keine angemessenen Patches installiert, es gebe uneinheitliche Backup-Praktiken, und es mangele an wirksamen Maßnahmen gegen Angriffe auf die Lieferkette. Um einen kontinuierlichen Betrieb an den Produktionsstandorten zu gewährleisten, müssten Fabriken Endgeräte-Erkennung und proaktive Verteidigungslösungen nahtlos integrieren, die sowohl alte als auch neue OT-Geräte abdecken. Diese Integration sollte eine effektive Sicherheitsanalyse jedes Gerät ermöglichen und anomale Verhaltensweisen aufdecken, die die betriebliche Zuverlässigkeit und Stabilität gefährden könnten.
Paradigmenwechsel der Sicherheitsansätze ist notwendig
Die IT/OT-Verantwortlichen sollten jedoch einen Paradigmenwechsel in ihrem Sicherheitsansatz vollziehen. Unternehmen sollten den einzigartigen Kontext und die individuellen Eigenschaften der OT-Umgebung nutzen. Auf diese Weise könnten sie proaktiv hochpräzise Frühwarnungen für Systemanomalien erstellen, bevor sich eine Bedrohung manifestiere. Um dies zu erreichen, müssten modernste Cybersicherheits-Tools, Fachwissen und Methoden eingesetzt werden, die den Feinheiten der OT-Landschaft gerecht werden.
Zudem sollten Unternehmen in der Lage sein, wichtige Sicherheitsdaten auf einer OT Cybersicherheits-Plattform zusammenzufassen. Die bloße Überwachung von Netzwerkanomalien oder die Speicherung von Informationen auf Betriebsebene in lokalen Datenbanken sei nicht ausreichend. Die Konsolidierung von OT-Daten auf derselben Plattform ermögliche es dem Management, die gesamte Risikosituation zu überblicken und die richtigen Versicherungsentscheidungen zu treffen. Einige Versicherungsunternehmen böten ihren Kunden sogar Preisnachlässe an, wenn sie mittels dieser Plattform nachweisen können, dass ihre Sicherheitsumgebung ausgereift ist.
Um die Genauigkeit von Versicherungsentscheidungen zu verbessern und die Cyberrisiken zu verringern, sollten Organisationen also die Gefahren von OT-Angriffen besser verstehen und entsprechend wirksame Maßnahmen und technische Lösungen formulieren und umsetzen. In diesem Prozess spielten klare OT-Cybersicherheitsgrundlagen, proaktive OT-Systemmanagementmethoden und Datenkonsolidierungsstrategien eine wichtige Rolle.
Weitere Informationen gibt es unter www.txone.com/blog/ot-cybersecurity-insurance/.
