Die richtige OT Cybersecurity-Lösung ist immer noch der beste Schutz vor Cyberangriffen. Trotzdem ist die Cybersecurity-Versicherung ein wesentlicher Bestandteil des OT-Cybersecurity-Risikomanagements, denn für Risikomanager in Unternehmen ist es eine Herausforderung, alle Bedrohungen zu erkennen und zu bekämpfen.
Wenn alle Verteidigungsmaßnahmen versagen, kann eine Cybersecurity-Versicherung zur Deckung von Verlusten eingesetzt werden und Unternehmen bei der Schadensbehebung helfen. Diese Versicherungen werden häufig als Risikotransfer-Strategie betrachtet, ein Trend zur Risikominderung, der sich auch im Bereich der Informationstechnologie immer mehr durchsetzt. Obwohl der Markt für OT (Operational Technology)-Cybersicherheitsversicherungen noch relativ klein ist, zeigt er schnelles Wachstum. OT Cybersecurity Anbieter TXOne Networks erklärt, worauf bei Cybersecurity-Versicherungen zu achten ist, wo ihre Vorteile, aber auch ihre Grenzen liegen.
In der Vergangenheit konzentrierte sich die IT-Cybersicherheit auf den Schutz der Daten Dritter und die Haftung für den Datenschutz. Die Cyberkriminalität hat sich jedoch weiterentwickelt, und die jüngsten Attacken zeigen eine deutliche Verlagerung in Richtung direkterer Bedrohungen, wie z. B. Lösegeldforderungen, Geschäfts- oder Rufschädigung und sogar physische Schäden. Ransomware ist zur bevorzugten Waffe für Angriffe auf OT-Umgebungen geworden, und Cyberangreifer können jetzt Plug-and-Play-Ransomware-Kits im „Dark Web“ erwerben, was zu vermehrten Vorfällen durch so genannte Ransomware-as-a-Service (RaaS) beiträgt. Diese gezielten Angriffe könnten insbesondere anfällige kleine und mittlere Unternehmen betreffen, die dann schlimmstenfalls mit längeren Ausfallzeiten, höheren Kosten für die Betriebsunterbrechung, vermehrten Rechtsstreitigkeiten und gesetzlichen Strafen rechnen müssen.
OT-Cybersecurity-Versicherungen verstehen
Obwohl die Opfer von Ransomware eine gewisse Entschädigung durch eine Cyberversicherung erhalten, ist zu beachten, dass nicht alle Verluste abgedeckt werden. In einer Versicherung können Ausschlüsse enthalten sein, wie zum Beispiel Ausschlussklauseln für Krieg, terroristische Bedrohungen, Verletzung von geistigem Eigentum, Körperverletzung oder Sachschäden. Es gibt immer noch Probleme, die die Entwicklung des Versicherungsmarktes für Cybersicherheit beeinträchtigen. Deshalb müssen klare Standards festgelegt werden, um diese Probleme zu lösen und somit die Genauigkeit von Risikoeinschätzungen sowie die Zuverlässigkeit von Cybersecurity-Versicherungen zu verbessern. Dies gilt es bei der Entscheidung für eine solche Versicherung zu verstehen und zu beachten.
Differenzierte Versicherungsleistungen
Es wird immer wahrscheinlicher, dass Unternehmen, die eine mangelhafte IT- oder OT-Cybersicherheit aufweisen, ungünstigere Versicherungspreise und -bedingungen oder überhaupt keine Versicherung erhalten. So untersuchen etwa Versicherungsunternehmen, ob Organisationen gewisse Cybersecurity-Richtlinien, Sicherheitskontrollen und bestimmte Grundvoraussetzungen erfüllen. Bei der Bewertung des Versicherungsbedarfs konzentrieren sich die Versicherungen in der Regel auf unterschiedliche Informationen – zum Beispiel auf die Menge und Art der vom Antragsteller verarbeiteten Daten, die OT-Infrastruktur oder die IT/OT-Sicherheitsbudgets.
Sie berücksichtigen auch einige schwieriger quantifizierbare Informationen, wie z. B., ob der Versicherte Fragen auf der Grundlage der aktuellen Bedrohungslage beantwortet und ob es dort Experten gibt, die an relevanten Cybersicherheitsarbeiten beteiligt sind. So bewerten Versicherungsgesellschaften die Cybersicherheitsrisiken von Unternehmen, um zu entscheiden, ob sie eine Versicherung anbieten und um die Prämien festzulegen.
Versicherungsvorbereitung und Risikoprüfung
Um festzustellen, ob versicherbare Risiken akzeptiert und entsprechende Versicherungsverträge abgeschlossen werden, verwenden Versicherungsunternehmen meist einen Prozess, der als Underwriting oder Risikoprüfung bezeichnet wird. Der Prozess umfasst die Beschaffung von Informationen über die Cybersecurity-Praktiken des Versicherten, eine Risikobewertung und -quantifizierung, Interviews, die Bewertung der Geschäftsrisiken, sowie die Entscheidung über die Annahme des Risikos und die Festlegung angemessener Risikoprämien.
Zunächst muss das versicherte Unternehmen dem Versicherer Informationen zur Verfügung stellen, die bei der Risikoquantifizierung hilfreich sein können, darunter:
- Detaillierte Informationen über IT/OT-Systeme und eventuelle Outsourcing-Vereinbarungen
- Einzelheiten zum IT/OT-Sicherheitsmanagementsystem
- IT/OT-Sicherheitsbudget und -ausgaben
Dem aktuellen ENISA-Bericht zufolge verwenden die Versicherungsgesellschaften hierfür meist Fragebögen, Besuche vor Ort, dokumentengestützte Daten, und nur in wenigen Fällen Bewertungen durch Dritte. Hierbei wird der Bereich OT vermehrt als Ausschlussklausel aufgeführt oder als unabhängige Versicherung betrachtet, sodass eine Organisation, die ihre OT-basierten Produktionsanlagen versichern möchte, einen weiteren OT-Zusatzantrag stellen muss. Typische Beispiele für Bewertungsfragen sind hierbei:
- Verfügen Sie über eine OT-Sicherheitsrichtlinie, die auch die Cybersicherheit umfasst?
- Führen Sie ein vollständiges und aktuelles, zentral geführtes Inventar Ihrer OT-Anlagen?
- Ist Ihre OT-Umgebung von Ihrer(n) IT-Umgebung(en) abgegrenzt?
- Erlauben Sie Mitarbeitern oder Dritten Fernzugriff auf Ihre OT-Umgebung? Wenn ja, setzen Sie für den Fernzugriff eine Multi-Faktor-Authentifizierung (MFA) durch?
- Verfügen Sie über einen Prozess zur Verwaltung von Sicherheitslücken und Patches und führen Sie Backups Ihrer OT-Umgebung durch?
Unabhängig davon, ob ein Unternehmen Standards wie NIST CSF, ISO 27001 oder IEC 62443 verwendet, gibt es Anforderungen, wie z. B. Inventarisierung von Anlagen, Netzwerktopologie Pläne, Tabletop-Übungen, Patches für Sicherheitslücken, Zugangskontrolle, Trennung von Netzsegmenten und andere Schutzmaßnahmen. Außerdem werden die OT-Überwachung, die Fähigkeit, auf OT-Cyberangriffe mit Hilfe von Richtlinien und Verfahren zu reagieren, und die Wiederherstellung mit Hilfe aktueller Backups bewertet. Diese Bewertungspunkte stammen üblicherweise aus international anerkannten Best-Practice-Richtlinien für die IT und werden nun auch im IT-Bereich eingesetzt.
Reaktion auf katastrophale Cybersecurity-Vorfälle
Eine der größten Kontroversen bei der OT-Cybersecurity-Versicherungen war bis jetzt die Frage, wie auf katastrophale Cybersecurity-Katastrophen, wie z. B. das Colonial Pipeline, reagiert werden soll, die riesengroße wirtschaftliche Auswirkungen haben. Bei dieser Art von Ereignissen gelten häufig Ausnahmen für Terrorismus oder Krieg, was eine der größten Herausforderungen für OT Cybersecurity-Versicherungen darstellt. Daher müssen Unternehmen die Versicherungsfragen im OT-Umfeld genau verstehen und sich Gedanken darüber machen, was sie im Vertrag versichern und was sie ausschließen möchten.
Der Analysebericht des U.S. CSC empfiehlt auch eine staatlich unterstützte Rückversicherung, um Cybersecurity-Katastrophen zu bewältigen. Einfach ausgedrückt, bietet die Rückversicherung Schutz für die Versicherungsunternehmen und nimmt ihnen einen Teil des Risikos ab. Die Rückversicherung erhöht die Stabilität der Versicherungsunternehmen, hilft bei der Risikodiversifizierung, und ermöglicht es, weiterhin in großem Umfang OT Cybersecurity-Versicherungen anzubieten.
Fazit
Sowohl Versicherte als auch Versicherungsunternehmen sehen sich häufig mit einer Herausforderung konfrontiert: Das tatsächliche Risiko von Cyberangriffen auf digitalisierte physische Systeme wird häufig missverstanden oder unterschätzt. Um ein besseres Bewusstsein für solche Risiken zu entwickeln, müssen beide Parteien die tatsächlichen Risiken von OT-Angriffen besser verstehen und erkennen.
Erstens müssen klare Anforderungen an die OT-Cybersicherheit festlegt werden. Etablierte Versicherungsanbieter haben angesichts des raschen Anstiegs der Schadensfälle damit begonnen, von ihren Kunden die Einhaltung robuster Sicherheitspraktiken zu verlangen. Im OT-Bereich sind diese Anforderungen an die Cybersicherheit jedoch nicht eindeutig. Zwar gibt es spezifische OT-Rahmenwerke und Richtlinien wie IEC62443, doch müssen Versicherungsunternehmen und Versicherte die Grundlage immer noch anpassen, um den spezifischen Endgeräten, Prozessen und Risiken von OT-Systemen gerecht zu werden.
Zweitens ist ein proaktiver Ansatz für das Management von OT-Systemen nötig. Derzeit werden die meisten OT-Umgebungen nicht angemessen verwaltet, insbesondere jene OT-basierten Produktionsanlagen, auf denen veraltete Betriebssysteme laufen. Bei diesen Anlagen werden häufig keine angemessenen Patches installiert, es gibt uneinheitliche Backup-Praktiken, und es mangelt an wirksamen Maßnahmen gegen Angriffe auf die Lieferkette. Um einen kontinuierlichen Betrieb an den Produktionsstandorten zu gewährleisten, müssen Fabriken Endgeräte-Erkennung und proaktive Verteidigungslösungen nahtlos integrieren, die sowohl alte als auch neue OT-Geräte abdecken.
Diese Integration sollte eine effektive Sicherheitsanalyse jedes Gerät ermöglichen und anomale Verhaltensweisen aufdecken, die die betriebliche Zuverlässigkeit und Stabilität gefährden könnten. Die Cyber-Physical System Detection and Response (CPSDR)-Lösung von TXOne Networks kann Unternehmen dabei unterstützen, unvorhergesehene Systemveränderungen effektiv zu verhindern, Warnungen auszusprechen und umfassende Analysen durchzuführen, bevor der OT-basierte Produktionsbetrieb beeinträchtigt wird. Dies ist entscheidend für die Aufrechterhaltung der grundlegenden Anforderungen eines effizienten OT Cybersecurity-Versicherungsmarktes.
Die IT/OT-Verantwortlichen sollten jedoch einen Paradigmenwechsel in ihrem Sicherheitsansatz vollziehen. Unternehmen sollten den einzigartigen Kontext und die individuellen Eigenschaften der OT-Umgebung nutzen. Auf diese Weise können sie proaktiv hochpräzise Frühwarnungen für Systemanomalien erstellen, bevor sich eine Bedrohung manifestiert. Um dies zu erreichen, müssen modernste Cybersicherheits-Tools, Fachwissen und Methoden eingesetzt werden, die den Feinheiten der OT-Landschaft gerecht werden.
Zudem sollten Unternehmen in der Lage sein, wichtige Sicherheitsdaten auf einer OT Cybersicherheits-Plattform zusammenzufassen. Die bloße Überwachung von Netzwerkanomalien oder die Speicherung von Informationen auf Betriebsebene in lokalen Datenbanken ist nicht ausreichend. Die Konsolidierung von OT-Daten auf derselben Plattform ermöglicht es dem Management, die gesamte Risikosituation zu überblicken und die richtigen Versicherungsentscheidungen zu treffen. Einige Versicherungsunternehmen bieten ihren Kunden sogar Preisnachlässe an, wenn sie mittels dieser Plattform nachweisen können, dass ihre Sicherheitsumgebung ausgereift ist.
Um die Genauigkeit von Versicherungsentscheidungen zu verbessern und die Cyberrisiken zu verringern, sollten Organisationen also die Gefahren von OT-Angriffen besser verstehen und entsprechend wirksame Maßnahmen und technische Lösungen formulieren und umsetzen. In diesem Prozess spielen klare OT-Cybersicherheitsgrundlagen, proaktive OT-Systemmanagementmethoden und Datenkonsolidierungsstrategien eine wichtige Rolle.