Aus dem Unterricht des ​CAS Digital Insurance 2019 ​​zum Thema Cybersecurity and cyberinsurance mit ​Dozent Tiago Henriques (CEO @ BinaryEdge)​ berichtet ​Meinrad von Reding​:

Die Digitalisierung birgt sehr grosse Chancen, was jedoch auch zu nicht unterschätzenden Gefahren führt. Eine davon ist die Cyberkriminalität, welche zu Reputationsverlust, Stillegung des laufenden Unternehmens oder Geldforderungen führen kann. Daher ist in der digitalen Transformation genügend Gewicht auf die Sicherheit der Zugänge und Devices zu legen.

Risiken sind überall vorhanden

Dadurch, dass die Technologien überall mit verschiedenen Endgeräten (inkl. Internet of Things) in teilweise unterschiedlichen Versionen vorhanden und nutzbar sind, können vorhandene Lücken schnell auch für kriminelle Zwecke ausgenutzt werde. Sei dies mit der “Stillegung” oder “Ausserkraftsetzung” des Endgerätes, Blockierung des Endgerätes mit Lösegeldforderung (meist in Bitcoin) oder mit Hinterlegen eines “Trojanischen Pferdes” für jederzeitigen unberechtigten Zugang auf das Endgerät. Ein weiteres Risiko besteht darin, dass durch den Zugang auf das Endgerät, Passwörter oder Login abgefangen werden können und somit unterlaubte Zugriffe auf Profile und Internetseiten (z.B. Banking, Versicherung etc.) zum Missbrauch genutzt werden. Immer wieder ist aus den Medien zu erfahren, dass Daten missbraucht wurden. Beispiele dazu wurden im Unterricht Cybersecurity and cyberinsurance aufgezeigt.

Beispiel der Ansicht einer Ransomeware-Anwendung (Quelle Präsentation T. Henriques, 17.08.2019):

Datenmissbrauch hat viele Gesichter

Da Daten heute für den Missbach sehr wichtige Grundlagen sind, ist für die Sicherheit deren, grosse Beachtung zu schenken. Nicht nur in Endgeräten sind “Datenlecks” möglich, sondern auch in der physischen Welt gibt es diverse “Schwachstellen“. Das folgende Bild – Quelle Präsentation T. Henriques, 17.08.2019 – zeigt einige Schwachstellen (in Gelb), die zu Datenmissbräuchen führen können. Vorsicht ist geboten, wer sich vor Missbrauch schützen will.

Penetration Tests für Schutz vor Missbrauch

Anhand von verschiedenen Beispielen wurde aufgezeigt, wo “Datenlecks” im Internet oder den Endgeräten vorhanden sind und wie man diese schützen oder eindämmen kann. Zudem gibt es Firmen, die Security Test (Penetration Tests) machen, was eine Art “hacking” der zu testenden Verbindung oder Schnittstellen ist. Dabei sollen Schwachstellen gesucht und geprüft werden, die für den Missbrauch ausgenützt werden können. Zudem sollen Passwörter nicht einfach aufgebaut und logisch sein sowie nicht auf die jeweilige Person Rückschlüsse ergeben (z.B. Geb.-Datum, PLZ, Name etc.). Mit einem guten Passwort Manager kann die Anwendung sicherer Passwörter einfach angewandt werden; das lohnt sich.

Kritische Systeme

Natürlich ist auch Cyberkriminalität bei Privatpersonen sehr ärgerlich, jedoch so richtig kritisch wird es bei Systemen, die zu grossen Folgen einer Region, Land oder Global führen können. Das sind z.B. Atomkraftwerke, die Rüstung/Militär etc. In diesen Systemen braucht es zusätzliche Schutzmassnahmen, damit solche Katastrophen verhindert werden.

Quelle: Website BynaryEdge - https://www.binaryedge.io/data.html

Prüfen der Schwachstellen unserer Unternehmen

Im Verlauf des Nachmittags konnten wir via einem Tool von BinaryEdge die Internet Zugänge unserer Unternehmen prüfen. Es zeigte sich, dass es bei verschiedenen Unternehmen diverse Schwachstellen (teilweise sehr geringe) gibt, die allenfalls zu Missbrauch führen könnten. Ein stetiges Prüfen dieser Schwachstellen, gute Firewalls, Spamfilter und konsequente Ausführung von Updates vermindet die Angreifbarkeit.

Ich nehme aus diesem Kurstag mit, dass neben den vielen Vorteilen der Digitalisierung der Verhinderung des Missbrauch ebenfalls grosse Beachtung geschenkt werden sollte. Ein solcher Missbrauch kann im schlimmsten Falle zu einer Geschäftsauflösung/Konkurs führen; Vorsicht ist besser als Nachsicht.

Und zum guten Schluss möchte ich mich bei Tiago Henriques für den lehrreichen Tag zum Thema Cybersecurity and cyberinsurance bedanken.