Vorteile von Multifaktor-Authentifizierung und Cyber-Versicherung
Im Jahr 2022 waren die Kosten für Datensicherheitsverletzungen so hoch wie nie zuvor, mit durchschnittlich 4,35 Mio. USD. Angesichts der Tatsache, dass die Kosten für Cyber-Kriminalität Schätzungen zufolge um 15 Prozent pro Jahr ansteigen werden, geht ein Bericht von Cybersecurity Ventures davon aus, dass die globalen Kosten bis 2025 bei 10,5 Mrd. USD liegen werden. Die Kosten für unzureichende Cyber-Sicherheit enden jedoch nicht bei den finanziellen Verlusten. Neben den Rufschäden leiden Unternehmen auch unter dem Vertrauensverlust ihrer Geschäftspartner und Kunden und sehen sich eventuell schweren rechtlichen Folgen gegenüber.
In diesem Blog-Beitrag sprechen wir über die Wichtigkeit guter Sicherheitsverfahren und erfahren, wie Multifaktor-Authentifizierung (MFA) nicht nur dazu eingesetzt wird, Cyber-Angriffe abzuwehren, sondern auch als Strategie zur Ermöglichung weiterer Schutzmaßnahmen und zur Nutzung der Vorteile einer Cyber-Versicherung.
Die Beziehung zwischen MFA und Cyber-Versicherung
Cyber-Versicherung, die auch als Cyber-Haftpflichtversicherung bezeichnet wird, deckt die Haftpflicht eines Unternehmens bei Cyber-Kriminalität ab. Diese Art von Zwischenfällen ist normalerweise durch die allgemeinen Unternehmens- oder Gebäudeversicherungspolicen nicht gedeckt. Organisationen schließen also eine zusätzliche Cyber-Versicherungspolice ab, um die Kosten im Zusammenhang mit Dateneinbrüchen zu decken. Hierzu zählen unter Anderem Betriebsunterbrechungen, Datenverlust, rechtliche Kosten usw.
Ähnlich wie eine Person bestimmte Voraussetzungen erfüllen muss, um eine Lebensversicherung zu einem vernünftigen Preis abschließen zu können (Raucher beispielsweise zahlen aufgrund der bekannten Risiken mehr für eine Lebensversicherung als Nichtraucher), gilt dieses Prinzip auch bei einer Cyber-Versicherung – und hier kommt MFA ins Spiel. MFA erzwingt die Verwendung mehrerer Verifizierungsmethoden, wenn sich Benutzer bei ihren Konten und Anwendungen anmelden. Eine MFA-Strategie hilft also, Kontoübernahmeversuche zu verhinden und ist nachweislich hocheffektiv dahingehend, identitätsbezogene Datensicherheitsverletzungen zu verhindern. Da gestohlene Anmeldedaten als der gängigste Angriffsvektor gelten (und über 80 % der Datensicherheitsverletzungen mit einem geknackten oder preisgegebenen Passwort beginnen), fordern Cyber-Versicherungsunternehmen MFA, bevor sie eine Police ausstellen. Deshalb erhalten Organisationen, die sich gegen MFA entscheiden, keine Deckung, während jene, die schwächere Authentifizierungsmethoden einsetzen – wie SMS oder E-Mail im Gegensatz zu Sicherheitsschlüsseln oder Push-Benachrichtigungen – wahrscheinlich höhere Versicherungsprämien zahlen müssen.
Ein kooperativer Lösungsweg zum Thema Cyber-Sicherheit hat viele Vorteile
Mit steigender Häufigkeit, Schwere und Kosten von Cyber-Angriffen suchen Cyber-Versicherer nach Wegen, wie sie mit der Situation umgehen können. Ein jüngst veröffentlicher Bericht des U.S. Government Accounting Office (GAO) stellte fest, dass die „Stabilität bei Prämiensätzen und der Zugang zu Policen im Wandel ist und dass Versicherer Maßnahmen einleiten, um ihre Verlustrate zu senken.“ Das Ergebnis dieses Dilemmas lässt sich mit einem „Hilfst Du mir, helfe ich Dir“-Ansatz vergleichen – im Gegenzug zu einer Cyber-Versicherungspolice (mit einem vernünftigen Prämiensatz), die bei einem Angriff Unterstützung bietet, muss eine Organisation eine starke Sicherheitsstruktur einführen und bewährte Sicherheitsverfahrensweisen implementieren. Davon profitieren alle Beteiligten, da es das Risiko senkt und die Erfolgswahrscheinlichkeit sowohl für Versicherer als auch für die Organisation steigert.
Wenn Organisationen eine robuste Sicherheitsstruktur aufbauen, zeigen sich die Vorteile des Einsatzes einer MFA-Lösung und/oder Cyber-Versicherung auch in anderen Bereichen. Beispielsweise wächst in geschäftlichen Vereinbarungen und Verträgen der Trend, ein bestimmtes Cyber-Sicherheitsniveau sicherzustellen. Cyber-Kriminelle halten häufig kleine und mittlere Unternehmen (KMU) für leichte Ziele, weil sie davon ausgehen, dass KMU über weniger Ressourcen verfügen und dort mehr Lücken im Wissen um Cyber-Sicherheit und Cyber-Abwehrsysteme bestehen, und diese deshalb nicht so robust sind wie jene größerer Organisationen. Deshalb wird der Einsatz von MFA zu einer wichtigen Sicherheitsmaßnahme für ein KMU (selbst, wenn eine Cyber-Versicherungspolice nicht erforderlich ist). Mit robusten Authentifizierungsmethoden und -richtlinien hilft MFA, die meisten Angriffe zu vereiteln und ist dafür ausgelegt, neue und innovative Angriffsmethoden, die die Authentifizierungsmaßnahmen umgehen sollen, zu verhindern.
Regierungen überall auf der Welt engagieren sich durch verschiedene Vorschriften zu dem Thema und versuchen, Cyber-Sicherheitsmaßnahmen zu stärken und ihre Bürger, Unternehmen und die nationalen Interessen zu schützen. In diesem Jahr erwägt die U.S. Securities and Exchange Commission (SEC) die Einführung von Cyber-Sicherheits-Offenlegungsvorschriften für öffentliche Unternehmen, um mit den neuen Cyber-Sicherheitsrisiken Schritt zu halten. Die Offentlegung der Cyber-Sicherheitsrichtlinien und -verfahren sowie der Abdeckung zu fordern würde es Unternehmen ermöglichen, gute Sicherheitsmaßnahmen und gutes Risikomanagement nachzuweisen und jede Person bzw. jedes Unternehmen kann sich ein Bild davon machen, wie eine Organisation mit wachsenden Cyber-Risiken umgeht. Mit einer ähnlichen Zielsetzung, also der Forderung guter Cyber-Sicherheitsmaßnahmen, verpflichtet das deutsche IT-Sicherheitsgesetz 2.0 aus dem Jahr 2021 Unternehmen, die im öffentlichen Interesse arbeiten, ab dem 1. Mai 2023 stärkere Sicherheitsmaßnahmen zur Erkennung von Cyber-Einbrüchen zu implementieren.
Ähnlich wie die Flut alle Boote anhebt, wird das gesamte Sicherheits-Ökosystem widerstandsfähiger, kann Bedrohungen besser bekämpfen und Risiken abmildern, wenn alle Beteiligten gemeinsam darauf hinarbeiten, wirksamere Cyber-Sicherheitsplanungen und -management zu fördern. Optimistisch betrachtet könnte es so kommen, dass mit dem Erstarken dieses Ökösystems durch Anreize und Vorschriften die Cyber-Angriffe mit weitreichenden Schäden abnehmen – wie beispielsweise der Colonial Pipeline-Ransomware-Angriff (der aus einem offengelegten Passwort entstand) – eines Tages als „Katastrophenszenarien aus grauer Vorzeit“ gelten.
Wo man beginnt, wenn man erkennt, dass man MFA benötigt
Robuste Sicherheitsstrukturen sind essenziell für alle Arten und Größen geschäftlicher Tätigkeiten, wenn man sich die Risiken vor Augen führt. Bestimmte Branchen sind aber anfälliger als andere für Cyber-Angriffe. Zu den Branchen, die ganz oben auf der Liste stehen, gehören Finanzdienstleistungen, Behörden, Gesundheitswesen, Energie- und Versorgungsunternehmen, Schulwesen, Einzelhandel und Herstellung. Allerdings gilt, dass jede Organisation, die schützenswerte Daten online speichert, digitale Systeme einsetzt oder durch Landes-, Bundes- oder internationale Behörden stark reguliert ist, die Gefahr von Cyber-Angriffen ernst nehmen muss.
Da die Entscheidung für die richtige MFA-Lösung und den richtigen MFA-Anbieter sehr verwirrend sein kann, besteht ein wichtiger erster Schritt darin, die eigenen Cyber-Sicherheitsverfahren auszuwerten und spezifische Lücken sowie Bedarfe oder Einsatzarten, die spezifisch für die eigene Organisation sind, zu ermitteln. Da MFA keine Einheitslösung ist, muss man sich darüber im Klaren sein, welche Unterschiede es gibt, und seine Wahl mit Bedacht fällen. Nachstehend nennen wir drei Schlüsselbereiche, die man bedenken muss, wenn man den höchsten Schutzgrad und optimale Risikominderung erreichen möchte:
- Abwehr von Phishing und Social Engineering – Suchen Sie robuste Authentifizierungsmethoden und -richtlinien, die Phishing, Spamming mit Push-Benachrichtigungen und SIM-Austauschangriffen widerstehen können.
- Verschiedene Benutzervorlieben und Zugriffserfordernisse – Ziehen Sie Lösungen in Betracht, die eine große Bandbreite flexibler Authentifizierungsmethoden bieten (denken Sie beispielsweise daran, ob die meisten Mitarbeiter in Ihrer Organisation Biometrie auf ihren Mobilgeräten zur Authentifizierung verwenden oder ob Ihre Organisation eher auf Authentifizierungs-Smart Cards oder Sicherheitsschlüssel für Benutzer setzt, oder auf eine Kombination aus verschiedenen Optionen?)
- Flexible Zugangskontrollrichtlinien – Stellen Sie die Einsetzbarkeit in Ihrer Organisation sicher, indem Sie eine Lösung wählen, die flexible Umsetzungsoptionen bietet und die entsprechend den benutzer- und/oder rollenbasierten Zugangserfordernissen in Ihrem Unternehmen konfiguriert werden kann
Mit dem massiven Zuwachs bei Cyber-Angriffen weltweit müssen Organisationen die Investition in eine starke und sichere MFA-Lösung in Betracht ziehen, mit einem Partner, der sich gut mit MFA für alle Organisationsgrößen in verschiedenen Branchen auskennt. Es ist nicht nur wichtig, eine Lösung zu finden, die sich komfortabel umsetzen, verwalten und nutzen lässt. Diese Lösung muss auch die Erfordernisse für die Erlangung einer Cyber-Versicherung erfüllen – und insbesondere die Prämien auf einem erschwinglichen Niveau halten.
Um mehr darüber zu erfahren, welche Rolle die Multifaktor-Authentifizierung bei der Cyber-Sicherheit spielt und welche Bedeutung sie für den Abschluss einer Cyber-Versicherung hat, lesen Sie unser Whitepaper How to Lower Cyber Insurance Premiums and Improve Security With Multi-Factor Authentication (Wie man mit Multifaktor-Authentifizierung Cyber-Versicherungsprämien senkt und die Sicherheit steigert).
Eric Williams ist ein Senior Solutions Architect bei HID Global und arbeitet direkt mit Kunden zusammen, um die besten Lösungen für ihre Bedarfe zu ermitteln. Er verfügt über mehr als 20 Jahre Branchenerfahrung unter anderem bei AT&T Research Labs und Yahoo! Music, wo er in den Bereichen System- und Netzwerktechnik tätig war. Vor seinem Wechsel zu HID hatte er eine Position als Vice President of Operations in einem in Asien ansässigen Startup inne. Er kam im Februar 2016 zu HID, als Teil des Pre-Sales-Engineering-Teams, das im Bereich Identitätsmanagement und Authentifizierung tätig ist. Er geht praktische Probleme mit Praxiserfahrung an.