:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/90/f7/90f77fbb7d45ab622971a24ea53da577/0111572690.jpeg "Kritische Informationen können über Schwachstellen in der Open Time Series Database abfließen. (Bild: <a href=https://pixabay.com/de/users/moritz320-1260270/>moritz320</a>)")
:quality(80)/p7i.vogel.de/wcms/2b/2b/2b2b99a6d3d8e6ea3cc8f88382fb19fb/0111189707.jpeg "Ransomware-as-a-Service (RaaS) ist eine Form von Cybercrime-as-a-Service bei der Teile von Ransomware-Kampagnen als Dienstleistung eingekauft werden können. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/42/f8/42f892d7d2c6dd755e4c5b0cfdb7fa7c/0111847725.jpeg "Die Methoden und die Ausführung haben sich bei Ransomware in den letzten Jahren deutlich weiterentwickelt. Früher ging es um Profit, heute geht es um viel mehr als das. (Bild: Andrey Popov - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b0/09/b00951f70ae122ab3b6706b07c40503c/0111698906.jpeg "Künstliche Intelligenz (KI) und maschinelles Lernen (ML) bieten enorme Möglichkeiten für die Cybersicherheit. (Bild: sabida - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/57/a4/57a4e6276b930350b50582363804c855/0111698941.jpeg "Kim Braunias ist Informationssicherheitsbeauftragte bei der Kölner FLOYT Mobility GmbH und Keynote-Speakerin auf der ISX IT-Security Conference 2023. (Bild: Privat)")
:quality(80)/p7i.vogel.de/wcms/e2/d7/e2d76ee2b2cb837444082fa333c883b2/0111569267.jpeg "Die CloudGuard Network Security von Check Point bietet Unternehmen ein verbrauchsbasiertes Angebot, das nahtlos in den Azure Virtual WAN Hub integriert ist. (Bild: bluebay2014 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f4/f9/f4f9e3c1460bf363f97d92be0d5a4b7a/0111847742.jpeg "Kriminelle suchen generell nach den schwächsten Zielen. Es nützt also wenig, wenn das TK-Unternehmen bestens aufgestellt ist, Cyberkriminelle aber über junge Zielgruppen, Endgeräte hacken. (Bild: sitthiphong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e5/0f/e50f3478e3e1d50e6785b5989363af5a/0111527874.jpeg "Nach erfolgreichen Cyber-Angriffen drängt die Zeit. Die Backup-Strategie muss sich deshalb an der Wiederherstellung orientieren – und nicht an der Sicherung. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/be/4a/be4a3ff7421db282ea323adc388b40b8/0111572655.jpeg "Mit der optimierten Integration von Ivanti zielt Check Point darauf ab, Schwachstellen automatisch zu erkennen, zu priorisieren und zu patchen, um Angriffsflächen zu minimieren und die betriebliche Effizienz zu verbessern. (Bild: ArtemisDiana - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/eb/0b/eb0bb7ab7ff77490e91062e1b52f86f9/0111572670.jpeg "Apps können anomales Verhalten annehmen, auch wenn sie vertrauenswürdig scheinen. Bitdefender bietet nun einen Zusatzschutz, der helfen soll, bösartige Verhaltensmerkmle schnell zu erfassen. (Bild: SergeyBitos - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/6d/aa/6daa5aa29b25141662484e5704d48298/0111398469.jpeg "In diesem Tool-Tipp zeigen wir, welche Möglichkeiten die Linux-Distrtibution Tails für sichere und anonyme Verbindungen zum Internet bietet. (Bild: sarayut_sy - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0b/6b/0b6bf208569e3cc4cc80ea59da56d22a/0111697439.jpeg "Mit Passage von 1Password können Unternehmen Passkey-Funktionen mit wenigen Zeilen Code in ihre Apps implementieren (Bild: Hein - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2b/15/2b15a08e13f7973b6a2ced3f57867735/0111274612.jpeg "Das Unternehmen Grammarly beschloss den Wechsel von OTP- zu FIDO2-Authentifizierung. Was waren die Gründe für die Umstellung, die technische Anforderungen und welche zentralen Key-Learnings gab es? (Bild: greenbutterfly - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f2/e8/f2e8387ef3cf06898b1122263188a7ba/0111212748.jpeg "Über Gruppenrichtlinien ändert die Microsoft-Lösung LAPS (Local Administrator Password Solution) lokale Kennwörter zu sicheren Zeichenfolgen ab. Der Zugriff auf diese Passwörter ist nur berechtigten Administratoren im Active Directory möglich. (Bild: Urupong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b3/c6/b3c641a4d3910d7e2aecfe566eacc8ef/0111572419.jpeg "Durch Cyberversicherungen versuchen viele Unternehmen das Geschäftsrisiko digitaler Bedrohungen abzufedern – doch Konditionen und Anforderungen steigen. (Bild: VideoFlow - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/93/84/9384bb94ea017e26e687483b37d810c5/0111697481.jpeg "Die ISO 27001-Norm ist ein lohnenswerter und unerlässlicher Standard, vor allem für Unternehmen im Finanzsektor. (Bild: WrightStudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/25/37/25379f26b78cbb4f91e3e8446f5aa637/0111189642.jpeg "(Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/6d/d7/6dd79933ebb02e829960e12ea0e7ae09/0111189555.jpeg "Bei BaaS (Backup-as-a-Service) erfolgt die Datensicherung über Netzwerkverbindungen auf einem Cloud-Storage. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Logistik-IT: Interview mit Dietrich Winter, Haftpflichtexperte für IT-Dienstleister bei der Allianz Nach dem Stromausfall – wer versichert eigentlich die Cloud?
Cloud Computing wird in der Industrie und der Logistik heiß diskutiert. Anwender fragen sich: Was passiert im Fall der Fälle? Eine Versicherung muss im Schadensfall greifen. Bei manchen Cloud-Anbietern sind die Versicherungsbeiträge der drittgrößte Kostenblock. Die Kollegen von MM Logistik sprachen mit Dietrich Winter, Haftpflichtexperte für IT-Dienstleister bei der Allianz.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/62/55/62559fd04668d/delltech-logo-prm-blue-rgb.png "delltech-logo-prm-blue-rgb (Dell Technologies)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087e22313077/fujitsu-300dpi--002-.jpg "Fujitsu 300dpi (002).jpg (Fujitsu)")
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/135400/135488/65.jpg "Insider Research Cover-1400x1400px.jpg ()")
Wie hat sich durch die Cloud das Versicherungsgeschäft für Rechenzentren verändert?
Winter: Die Allianz Versicherungs-AG versichert seit 1999 Rechenzentren. Deren Tätigkeitsprofil hat sich seit dem ständig verändert. Ein erster Schritt in Richtung Cloud war die Dienstleistung Application Service Providing (ASP), bei der Speicherplatz und Software-Miete verknüpft waren. Der erhoffte Siegeszug dieser Dienstleistung ist offenbar an der damaligen Vorsicht der deutschen Unternehmen, ihre Daten vollständig in fremde Hände zu geben, gescheitert.
Mit der weiteren Digitalisierung der Wirtschaft und des Privatlebens größerer Teile der Industrieländer (Musik, TV, persönliche Kontakte alles online über Internet) hat sich der Wunsch nach größeren Speichermengen für Unternehmens- und Privatdaten deutlich nach oben entwickelt. Damit diese Leistung für den Nutzer auch noch bezahlbar bleibt, haben die IT-Dienstleister die vorhandenen oder neu entstehenden „Serverfarmen“ speziell entwickelt bzw. weiterentwickelt, die günstigen Speicherplatz und günstige Zusatzlösungen anbieten.
Das reicht vom reinen Speicherplatz über die speziellen Dienste Software as a Service (SaaS), Platform as a Service (PaaS) und Infrastruktur as a Service (IaaS) und deren Mischformen.
Die geringeren Kosten müssen die Nutzer dieser Dienste aber mit weitaus geringeren Einflussmöglichkeiten auf die angebotenen Service-Level-Agreements in Kauf nehmen – im Gegensatz zu detailliert mit Rechenzentren teurer ausgehandelten SLA und Key Performance Indicators. Die Entscheidung, derartige Dienstleistungen vollständig aus dem Haus zu geben, wird derzeit aus Risikogründen nur von geschätzt rund 10 % aller Unternehmen in Deutschland umgesetzt.
Daher steht offenbar die Errichtung von sogenannten Privat Clouds, bei denen der Dienstleister in den Räumen des Auftraggebers oder in seinen eigenen Räumen, aber nur für seinen Auftraggeber, datentechnisch tätig wird, noch im Vordergrund.
Für rein private Daten hat sich jedoch bekanntlich die „Public-Cloud“ weitaus umfassender durchgesetzt. Aus Sicht der Wirtschaft ist die Datensicherheit durch die in Deutschland am strengsten geregelte Datenschutzgesetzgebung ein nicht zu unterschätzende Voraussetzung für die Nutzung der diversen Formen der Cloud.
Wir als Haftpflichtversicherer versichern alle in Deutschland agierenden Rechenzentren, Cloudbetreiber und deren Mischformen.
Was versichert die Allianz in einem Cloud-Rechenzentrum?
Winter: Grundsätzlich versichern wir als Haftpflichtversicherer die gesetzliche Haftpflicht unserer Kunden, das heißt, dass sämtliche gesetzlichen Regelungen, die einem Dritten die Möglichkeit geben, Schadensersatz vom Rechenzentrum zu verlangen, dem Versicherungsschutz unterliegen. Diese grundsätzliche All-risk-Deckung in der Haftpflichtversicherung muss je nach Risikogeneigtheit, das heißt, geschätzte Schadenhöhe in Relation zur Schadeneintrittswahrscheinlichkeit je nach Risiko teilweise mit speziellen Regelungen eingegrenzt werden.
Das bedeutet derzeit, dass wir für Cloud Rechenzentren, die Nicht-Verfügbarkeit der Daten für die Cloudnutzer einschließlich der daraus bei diesen eintretenden Vermögensschäden, wie Umsatzausfälle, Betriebsunterbrechungsschäden sowie weitere Vermögensschäden versichern, wenn deren Ursache in Schäden an den elektronischen Geräten der Cloud-Betreiber liegt
- durch Brand, Explosion, Leitungswasser oder Abwasser;
- aufgrund eines Abhandenkommens durch Einbruchdiebstahl oder Raub;
- aufgrund von Über- oder Unterspannung, elektrostatischer Aufladung sowie höherer Gewalt.
Damit haben wir aus unserer Sicht und aus der Sicht unserer speziellen Kunden deren größte Haftpflichtrisiken versichert. Dabei hilft dem Haftpflichtversicherer, dass die Cloudbetreiber nach verschiedenen nationalen und internationalen Standards sowie nach der deutschen Rechtsprechung grundsätzlich verpflichtet sind, die bei ihnen vorgehaltenen Daten, Programme und andere Leistungselemente an einem feuertechnisch getrennten Ort als „Parallel-Welt“ vorzuhalten.
Aus Gründen der Vereinfachung des Zustandekommens einer speziellen Haftpflichtversicherung in Beziehung zu dem für eine individuelle Auditierung, Zertifizierung notwendigen Aufwand durch den Haftpflichtversicherer, gehen wir bis zu Versicherungssummen von wenigen Millionen Euro davon aus, dass die Rechenzentren – aus eigenem Interesse am Erhalt ihres Unternehmens – die für ihre spezielle Dienstleistung erforderlichen Standards selbst erfüllen.
Diese Standards für ein Rechenzentrum abzuprüfen, wäre trotzdem grundsätzlich noch leichter, als für die vielfältigen Tätigkeitsprofile der bei uns versicherten mehreren tausend IT-Dienstleister diese Überprüfungen vorzunehmen.
Die konkrete Analyse der individuellen Sicherheits-, Notfall- und Datenspiegelungsgrundsätze werden nur dann vorgenommen, wenn die Kunden höhere Versicherungssummen vereinbaren möchten. Als Richtschnur für die Beurteilung werden dann unternehmensbezogen die Grundsätze der bundesweit für alle Behörden-Datenzentren geltenden Grundsätze des Bundesamtes für Sicherheit in der Informationstechnik (BSI) oder/ und :
-ISO / IEC 17799 ,
-Britisch Standard 7799,
-ISO TR 13335 oder
-ITSEC / Common Criteria,
-FIPS 140 – 1/2 und andere sich ständig weiterentwickelnde Sicherheitsgrundsätze geprüft.
Unsere Schadenspraxis mit Rechenzentren und Cloudanbietern hat unsere Annahmen über Qualität der Prozessabläufe in den Rechenzentren bisher bestätigt, sodass wir derzeit an einer möglichst schlanken Risikoanalyse festhalten.Wir Haftpflichtversicherer sind wie der Gesetzgeber, die Regierung sowie die IT-Industrie und deren Bundesverbände an der Weiterentwicklung des Risikobewusstseins, der Risikovorsorge und der Einhaltung der Datenschutzregelungen sehr interessiert.
(ID:36892660)
:quality(80)/images.vogel.de/vogelonline/bdb/1937600/1937658/original.jpg "Dank verschlüsseltem Log-in lässt sich bei FIDO2 ein Anmeldevorgang nur mit dem zuvor registrierten Gerät entsperren, wodurch ein deutlich höheres Sicherheitslevel erreicht wird. (peshkov - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1944700/1944703/original.jpg "Auch im Zusammenhang mit der Supply-Chain-Security gilt nach wie vor das Sprichwort: Jede Kette ist nur so stark wie ihr schwächstes Glied. (Romolo Tavani - stock.adobe.com)")