IT-Sicherheit ist ein Prozess

Geheimhaltungspflichten in der privaten Kranken-, Unfall- und Lebensversicherung

Prof. Dr. Marco Mansdörfer vom Lehrstuhl für Strafrecht einschließlich Wirtschaftsrecht und Strafprozessrecht an der Universität des Saarlandes und Franz-Josef Schillo, Rechtsanwalt in der Kanzlei Schillo, führten in ihrem Vortrag sehr deutlich auf, warum die Versicherer ihr Augenmerk besonders auf das Thema IT-Sicherheit richten müssen: Es gilt, die Daten der Versicherungsnehmer  zu schützen, auch über das Ableben hinaus. Sobald man Kenntnis einer Schwachstelle hat, muss man diese schließen, sonst macht sich das Unternehmen strafbar. Bei Outsourcing- und Cloud-Lösungen gibt es eine Ausnahme. Hier darf ein erweiterter Personenkreis Kenntnis von den Daten haben. Der Geheimnisschutz muss auch bei der Verlagerung der Arbeit in das eigene Homeoffice gewährleistet werden. Das stellt die Unternehmen vor neue Herausforderungen, insbesonder zu Pandemie-Zeiten. Die Schutzpflicht liegt in diesem Fall bei Arbeitgeber und Arbeitnehmer. Der Arbeitgeber muss gewährleisten, dass der Sicherheitsstandard im Büro dem im Homeoffice entspricht. Zudem betonen die Rechtsexperten, dass auch weiterhin die eigenen Mitarbeiter das Hauptproblem sind. Hier insbesondere der unachtsame Umgang mit Informationen. So treffen in den Unternehmen IT-unerfahrene ältere Kollegen auf Digital Natives, die im Umgang mit den eigenen Daten teilweise recht unbedacht sind. Zudem birgt die Datensammelei im Rahmen von KI-Anwendungen ein weiteres Risiko.

IT-Sicherheit in der Praxis: Learnings und Herausforderungen

Die Konferenz startete in diesem Jahr mit einem Blick über den Tellerrand: Florian Jörgens, CISO bei LANXESS Deutschland, zeigte, wie der Chemiekonzern seine Mitarbeiter für IT-Sicherheit sensibilisiert. 70 Prozent der verzeichneten Angriffe zielen auf den Faktor Mensch ab, 30 Prozent auf das System. Grund genug, viel Zeit in die Mitarbeiter-Sensibilisierung zu investieren. So wurde mit einer Gewinnspielnachricht im Namen des Unternehmens die Achtsamkeit der Mitarbeiter auf die Probe gestellt: Mit einem Klick auf einen Link in der Gewinnspielnachricht kamen diese auf eine angebliche Lanxess-Seite, wo der Mitarbeiter seine Daten eingeben musste. Anschließend öffnete sich eine Videobotschaft des CEO zum Thema Informationssicherheit. Die Geschäftsführung steht hinter den Maßnahmen der IT-Sicherheitsbeauftragten und signalisierte durch ihren Beitrag ihre Unterstützung für das Thema. Ein wichtiges Zeichen, wie man aus den Diskussionen der Teilnehmer entnehmen konnte. So funktioniert IT-Sicherheit nur, wenn die Geschäftsführung zu 100 Prozent dahintersteht. Da waren sich die Experten einig.

Die Phishing-Kampagne war als Wachrüttler angedacht. Darauf aufbauend startete Lanxess weitere Maßnahmen: So werden alle Mitarbeiter, ob im Büro oder in der Produktion, zum Thema IT-Sicherheit geschult. Sensible Informationen müssen nicht immer digital sein, sondern liegen in Form von Ordnern auch analog vor. Zudem hat Lanxess das erste weltweit verpflichtende E-Learning in Landessprachen zur eigenen IT-Sicherheit entwickelt. Die Teamleiter müssen Sorge dafür tragen, dass die Mitarbeiter das E-Learning-Angebot wahrnehmen. Als kleinen Anreiz gibt es einen Gamification-Ansatz: Die Teams können sich in ihrem Fortschritt gegenseitig vergleichen und müssen begründen, warum Teammitglieder die Schulung noch nicht wahrgenommen haben.

Zudem hat das Unternehmen eine Handlungsmatrix entwickelt, um die Klassifizierung von Dokumenten zu erleichtern. Die Vision ist, zukünftig feststellen zu können, was mit Dokumenten einer hohen Geheimhaltungsstufe passiert, um so unerlaubten Datentransfer unterbinden zu können.

Nicht zum ersten Mal dabei, aber trotzdem immer wieder spannend, war der Einblick von Tobias Caspar, Cyber Risk Engineer bei AIG Europe SA. Er berichtete von dem Trend, dass Angriffe auf Unternehmen verkauft werden: So entdecken Angreifer mögliche Schwachstellen und loten das IT-Sicherheitssystem des Unternehmens aus. Anschließend verkaufen sie die Informationen im Darknet. So können zwischen dem ersten und dem zweiten Angriff Monate vergehen, in denen sich der Käufer der Angriffsoption auf einen erneuten Agriff intensiv vorbereitet – dieser ist deutlich professioneller und häufig KI-unterstützt. Ziel des Angreifers sind die Domain-Admin-Rechte, um ein Maximum an Daten abgreifen zu können. Service-Accounts sind dabei häufig das Einfallstor für das Erlangen der Admin-Rechte. Es empfiehlt sich daher, ein Tierd-Access-Model einzubinden, um Zugriffe lokal zu binden.

Weitere Möglichkeiten sind die Zwei-Faktor-Authentifizierung, eine Reduzierung der Domain-Admin-Accounts oder das Monitoring des „Active Directory“. 100 Prozent IT-Sicherheit können nie gewährleistet werden. Die Sicherheit, die man hat, ergibt sich jedoch aus der Menge an ergriffenen Maßnahmen. Jede Maßnahme ist dabei ein Fallstrick, der dabei helfen kann, den Angreifer frühzeitig zu bemerken. Jede Maßnahme für sich allein bietet jedoch keinen ausreichenden Schutz.

Die nächste Fachkonferenz IT-Sicherheitsmanagment in Versicherungen findet am 12./13. Mai 2022 in Leipzig statt. Schauen Sie gern vorbei und dikutieren Sie mit uns Ihre Herausforderungen in der IT-Sicherheit.

Die Themenschwerpunkte werden sein:

• regulatorische sowie gesetzliche Anforderungen und deren Auswirkungen auf die IT-Sicherheit
• aktuelle Bedrohungsszenarien
• Best Practices in der Informations- und IT-Sicherheit (u.a. mit SIEM, Incident Response, Notfallmanagement)
• Blick über den Tellerrand: IT-Sicherheitsmanagement in anderen Branchen
• Blick in die Zukunft: Trends im IT-Sicherheitsmanagement und in der relevanten Regulierung der Versicherungsbranche