In der Februar-Ausgabe von Com! professional sind Cyberversicherungen ein großes Thema. Der Artikel ist als Leseprobe kostenlos abrufbar – und bietet einen sehr guten einführenden Überblick über das Produkt und den Markt.
SDM, das Standard-Datenschutzmodell, liegt seit einiger Zeit in der Version 0.9 vor. Hinter dem Kürzel verbirgt sich ein Katalog an Maßnahmen, um einen Standard für die Datenschutz-Compliance in Unternehmen und Behörden zu gewährleisten. Bei Projekt29.de gibt es eine gute Zusammenfassung zu SDM. Das Handbuch dazu kann man beim Landesdatenschutzbeauftragen Nordrhein-Westfalen als PDF herunterladen.
Dauerthema IoT und Sicherheit: Die US-Handelsaufsicht FTC hat dem Internet of Things und seinen Risiken einen umfassenden neuen Bericht (Englisch) gewidmet. Wenn Geräte und Dinge von der Industriemaschine bis hin zum tragbaren Pulsmesser miteinander in einem riesigen Netzwerk verbunden sind, Daten erheben, auswerten und austauschen, dann sind die Chancen und Möglichkeiten zwar riesig. Eine McKinsey-Studie sprach letztes Jahr von 11 Billionen Mehrwert weltweit bis 2025. Die potenziellen Probleme – Störungen, Manipulationen, Datendiebstahl etc. – sind aber nicht weniger gigantisch.Die FTC empfiehlt trotzdem vorerst keine gesetzlichen Maßnahmen, sie beschränkt sich darauf, an die Unternehmen zu appellieren: Die sollen sich an Best-Practice halten. Aber wer in irgendeiner Weise mit den USA Geschäfte macht, kann sich sicher sein, dass die liability lawyers, sprich auf Schadenersatz spezialisierte Anwälte, zu denjenigen gehören, die sich mit am meisten auf das Internet am Dinge freuen …
A propos IoT: Vereinfacht könnte man sagen, dass Industrie 4.0 das Stichwort ist, unter dem das Internet der Dinge in die Industrieproduktion und Logistik Einzug hält. Es soll für enormes Rationalisierungspotenzial sorgen und beispielsweise Fertigung in Kleinstserien rentabel machen.In letzter Zeit wurden die diesbezügliche Euphorie zwar durch manche Stimmen gedämpft, jetzt malt eine neue Studie jedoch wieder große Perspektiven aus: Bis zu 12 Prozent mehr Produktivität soll diese Entwicklung in Deutschland bringen – nachdem die Produktivitätsentwicklung jahrelang mehr als mau verlaufen ist. Das erwarten zumindest die Analysten der DZ-Bank, wie die FAZ berichtet.(Dass eine Industrieproduktion, in der jedes Element der Liefer- und Fertigungskette steuerbar wird, Daten verarbeitet und weitergibt, ganz neue Risiken eröffnet, muss ich jetzt dazu sagen. Das ist schließlich mein Beruf – ich sorge dafür, dass Unternehmens solche Risiken sinnvoll versichern können.)
In manchen Branchen sind Cyber-Versicherungen fast komplett angekommen. Ich glaube nicht, dass es noch viele deutsche Geschäftsbanken gibt, die keine solche Police haben. Und das zusätzlich zum hohen Niveau ihrer technischen und organisatorischen IT-Sicherheit.In anderen Branchen ist dagegen noch wenig passiert. Krankenhäuser, Public Health und Gesundheitsversorger gehören nach meinem Gefühl dazu. Und das, obwohl die Cyber-Bedrohung gerade dort ebenfalls hoch ist. Das gilt für die gesamte Palette an Cyber-Risiken, von der Software-Fehlfunktion eines Behandlungsgeräts über den Hacker, der Patientendaten stiehlt bis hin zum (Computer-) Virus, der den Betrieb lahmlegt. Letzteres ist gerade in einer Klinik in Los Angeles passiert. Presseberichten zufolge musste sie Bitcoins im Wert von rund 15.000 € an Erpresser bezahlen, um den Trojaner wieder loszuwerden. Gleichzeitig gab es laut WDR allein in sechs Krankenhäuser in Nordrhein-Westfalen ebenfalls Trojanerattacken, die zu verschlüsselten Dateien führten. Gegen biologische Krankenhauskeime sind die Kliniken versichert. Aber was ist mit den virtuellen Schädlingen?
Nicht nur Krankenhäuser, sondern die breite Bevölkerung sucht ein Trojaner mit dem schönen Namen Locky heim. Ein Fraunhofer-Institut hat er auch schon befallen. Auch er verschlüsselt sämtliche Dateien auf dem Rechner, auch auf Cloud-Speicherplatz im Internet. Den Schlüssel zum Wiederlesbarmachen soll man dann teuer kaufen, ohne Garantie, dass der einem die Dokumente wieder zurückgibt.Einfallstor sind Microsoft-Office-Dokumente. Da hilft als Sofortmaßnahme vor allem: Alle per E-Mail zugesandte Dokumente mit ausgeprägtem Misstrauen behandeln. Gegebenenfalls beim Versender nachfragen. Wenn man die Anhänge doch öffnen muss, dann mit Libre Office oder OpenOffice.org. Und: Microsoft Office so einstellen, das die Ausführung von Makros in jedem Fall gesondert bestätigt werden muss. Außerdem dafür sorgen, dass das alle im Unternehmen bzw. Netzwerk so machen.
IT-Sicherheitsdienstleister Gemalto hat seinen Breach Level Index (englisch, auf Deutsch findet man die Meldung bei Industrial-Internet.de) für das Jahr 2015 vorlegt. Diese Auswertung der IT-Sicherheitsverletzungen weltweit verzeichnet, dass es in 53 Prozent der Fälle und bei 40 Prozent der betroffenen Datensätze um Identitätsdiebstahl ging. Interessanter Trend: 43 Prozent aller Verletzungen ereigneten sich im Bereich der öffentlichen Verwaltung. Ebenfalls stark betroffen war der Gesundheitssektor, auf den sich 23 Prozent der Angriffe richtete. Der Anteil des Einzelhandels und der Finanzbranche an den Fallzahlen ging dagegen zurück. (Nachtrag, 23.02.)