Können Anbieter von IT-Sicherheitsprodukten ähnliche Garantien bieten wie etwa Hersteller von Kühlschränken oder Toastern? Tomer Weingarten vom US-Spezialisten SentinelOne wagt sich an das Gedankenexperiment.
2016 war definitiv das Jahr der Ransomware – zumindest aus Sicht der IT-Branche und vieler Sicherheitsverantwortlicher in Unternehmen weltweit. So verging seit Beginn des Jahres kaum eine Woche, in der die Medien nicht von einem neuen Angriff gefährlicher Verschlüsselungs-Trojaner berichtet haben.
Die Spannweite der Opfer war vielfältig: von Privatanwendern bis zu Unternehmen, von kleinen Stadtverwaltungen bis zu Microsoft oder der BBC. Welche Ausmaße das Problem Ransomware mittlerweile angenommen hat, zeigt auch eine aktuelle Untersuchung von SentinelOne, im Rahmen derer rund 500 mittlere und große Unternehmen aus Deutschland, Frankreich, UK und den USA zum Thema Cyber-Erpresser befragt wurden. 48 Prozent der Unternehmen gaben demnach an, in den vergangenen 12 Monaten einem Ransomware-Angriff zum Opfer gefallen zu sein.
Zahlen wie diese, aber auch der jüngste BSI-Lagebericht, der ähnliche dramatische Entwicklungen im Bereich der Cyberkriminalität in Deutschland zu Tage brachte, sorgen bei den Sicherheitsverantwortlichen der Unternehmen mehr und mehr für Verunsicherung. Immerhin können Datenverluste und die finanziellen Schäden, die Cyber-Angriffe nach sich ziehen, für die betroffenen Unternehmen ungeahnte Ausmaße annehmen – von schlechter Presse, Reputationsverlust, personellen Konsequenzen bis hin zur Insolvenz. Die Frage nach effektiver Angriffsprävention und Absicherung gegen potenzielle Schäden beschäftigt daher viele Unternehmensverantwortliche.
Cyberversicherungen auf dem Vormarsch
Unternehmen, denen technische Präventionsmaßnahmen im Kampf gegen Ransomware nicht genügen, beziehungsweise deren internes Sicherheits-Management an seine Grenzen stößt, entscheiden sich immer öfter für eine Cyber-Versicherung. Sieben von zehn Unternehmen haben laut der Befragung von SentinelOne bereits eine derartige Police abgeschlossen, weitere 17 Prozent planen den Abschluss in naher Zukunft. Für die Versicherungen ist das ein zukunftsträchtiges und lohnendes Geschäft.
Immer mehr Versicherungskonzerne haben in den letzten Jahren Cyber-Policen am Markt positioniert und die Branche weiß, dass hier noch viel Potenzial steckt. So prognostiziert der weltweit führende Rückversicherer Munich Re dem Markt für Cyber-Versicherungen bis zum Jahr 2020 ein weltweites Volumen von acht bis zehn Milliarden US-Dollar. Für die Unternehmen ist der Abschluss einer Cyber-Versicherung natürlich mit weiteren Kosten verbunden und sorgt dennoch nicht in allen Fällen für eine absolute finanzielle Sicherheit im Schadenfall. Die Auswahl der richtigen, dem eignen Versicherungsbedarf entsprechenden Deckung ist nicht immer leicht, die Beratungen der Versicherungsmakler oft mangelhaft.
Wer von der Wirksamkeit seiner Produkte überzeugt ist, garantiert dies, oder?
Ein Thema, das in der Diskussion rund um Cyber-Bedrohungen meiner Meinung nach noch zu kurz kommt, sind Sicherheitsgarantien und finanzielle Entschädigungen der Anbieter. Die Idee dahinter ist einleuchtend: Wer wirksamen Schutz vor Ransomware & Co verspricht und sich das auch bezahlen lässt, sollte diese Wirksamkeit auch garantieren. Und doch sind Sicherheitsgarantien beziehungsweise die Gewährleistung von Sicherheit für die Industrie bis heute ein Tabuthema.
Das liegt vielleicht daran, dass sich die Anbieter und Distributoren selbst nicht absolut sicher sind, wie gut ihre eignen Produkte und Lösungen tatsächlich funktionieren und wie gut sie insbesondere hochentwickelten Cyberangriffen und raffinierten Manipulationen zum Beispiel durch nationale Geheimdienste standhalten können. Selbst Produkttests unabhängiger und bekannter Testinstitute sind heute nur noch bedingt aussagekräftig, da sie oftmals nicht das gesamte Spektrum unserer heutigen Bedrohungslandschaft im Blick haben. Eine offizielle Garantie ist dann natürlich schwierig.
IBM und IoT – Alles dreht sich um Watson
Bei IBM dreht sich das gesamte IoT-Geschäft um die kognitive Plattform Watson IoT. Sie soll zusammen mit Bluemix, einer Art Cloud-Service-Baukasten, die unterschiedlichsten analytischen Dienste und Anwendungen ermöglichen.
Einige Skeptiker werden nun einwenden, dass es eine hundertprozentige Sicherheit niemals geben kann. Dem muss ich fairerweise zustimmen, denn alles ist theoretisch und praktisch angreifbar. Darum geht es meiner Meinung nach aber gar nicht: Denn beim Kauf eines neuen Laptops, Autos oder Kühlschranks schließen die Hersteller mögliche Schäden oder Fehler ja auch nicht von vorneherein aus und bieten ihrem Kunden dennoch standardmäßig Garantien. Tatsächlich erwarten die Kunden diese Garantien. Warum also sollte die IT-Sicherheitsbranche einen anderen Weg gehen?
Kunden würden Sicherheitsgarantie begrüßen
Wie Kunden über eine mögliche Sicherheits-Garantie bei IT-Sicherheitsprodukten denken, zeigt wiederum der bereits erwähnte Ransomware-Report. Fast alle Befragten (90 Prozent) würden Garantien auf IT-Sicherheitsprodukte und -Services demnach begrüßen. Und immerhin 79 Prozent der Befragten sind der Meinung, dass Anbieter ihren Kunden eine Garantie anböten, wären sie von der Wirksamkeit ihrer Produkte überzeugt.
Für Security-Anbieter bedeuten Sicherheits-Garantien natürlich auch Risiken, keine Frage, langfristig gesehen können sie ihnen aber auch Chancen bieten: So sind Anbieter noch mehr dazu gezwungen, die Wirksamkeit ihrer Produkte zu optimieren und akute Probleme zu optimieren. Zudem sind sie eine gute Möglichkeit, um sich von Wettbewerbern ohne Gewährleistung abzusetzen, wie auch der Report zeigt: 85 Prozent der befragten IT-Manager würden zu einem Sicherheitsanbieter wechseln, der eine Garantie anbietet, sollten die bisher eingesetzten Produkte versagen und das Unternehmen erfolgreich von Cyber-Angreifern attackiert werden.