Cyber: Mit MFA Schadenrisiken einfach senken

Ein Beitag von Al Lakhani, Gründer und CEO der IDEE GmbH

Zwar kehrte die Sparte der Cyberversicherungen laut den Angaben des Gesamtverbandes der Versicherer (GDV) im Jahr 2022 in die Gewinnzone zurück, ein Grund zur Entwarnung sei dies jedoch nicht. Denn die Schaden-Kosten-Quote konnte nur deshalb von 124 Prozent auf 78 Prozent gesenkt werden, weil das Prämienvolumen um mehr als 50 Prozent gegenüber 2021 anstieg. Zugleich aber stieg der Schadendurchschnitt. Grund genug für den GDV, an die kleinen und mittelständischen Unternehmen (KMU) zu appellieren, sich besser gegen Cyberattacken zu wappnen und die zum Teil gravierenden IT-Sicherheitslücken zu schließen.

Das ist indes leichter gesagt als getan. Gerade KMU verfügen selten über die Budgets und IT-Fachkräfte, die notwendig wären, um umfangreiche IT-Security sicherzustellen. Zugleich trifft sie eine Cyberangriff besonders hart: Die Kosten für die Wiederherstellung der Geschäftsfähigkeit können schnell an den Rand der geschäftlichen Existenz führen. Ransomware-Angreifer fordern nicht nur Lösegeld, sondern legen mit der Verschlüsselung der Daten ganze Betriebe manchmal über Wochen lahm. Vom Reputationsschaden durch Datenklau ganz zu schweigen.

Multifaktor-Authentifizierung als wichtige Basis

Sieht man sich jedoch die Haupttaktiken der Cyberkriminellen genauer an, wird schnell klar, dass sich mit vergleichsweise einfachen Mitteln die IT-Sicherheit deutlich verbessern lässt. Umfragen und Analysen bestätigen immer wieder, wie zum Beispiel erst kürzlich eine durch den Digitalverband Bitkom erhobene Studie, dass Phishing eines der Hauptprobleme darstellt. Beim Phishing werden Benutzerdaten ausspioniert, etwa in dem Nutzer*innen per E-Mail aufgefordert werden, sich auf einer gefälschten Website einzuloggen. Nicht zuletzt dank Künstlicher Intelligenz sind die Betrugsversuche immer schwieriger zu erkennen.

Mit einer Multifaktor-Authentifizierung (MFA) lässt sich dem entgegenwirken. Wenn nicht mehr nur persönliche Zugangsdaten, sondern zusätzlich der über eine mobile App oder einen Token generierte Code eingegeben werden muss, erhöht das das Sicherheitslevel natürlich. Aber die immer ausgefeilteren Methoden der Hacker sind in der Lage, auch diese Verfahren auszuhebeln: Mit zwischengeschalteten Websites können sie alle Authentifizierungs-Merkmale abfangen (Adversary-in-the-Middle-Attacke) und die gesamte Session kapern.

Idealerweise verhindert eine MFA-Lösung auch das. Moderne Standards, wie etwa der vom Web-Consortium W3C veröffentlichte WebAuthn arbeiten ohne Passwörter und erstellen für jeden Webservice, in den Nutzer*innen sich einloggen wollen, einen eigenen, eindeutigen Account. Sogenannte Zero-Trust-Konzepte, bei denen keinem System vertraut wird, welches nicht vorher eingehend geprüft wurde, liegen dem zugrunde und sorgen für ein dauerhaft hohes IT-Sicherheitslevel.

Cyberversicherungen mit MFA verbinden

Von einer Phishing-sicheren MFA-Lösung profitieren nicht nur die Unternehmen, die sie implementieren, sondern auch die Cyberversicherer und Makler. Das Risiko, dass Kund*innen Opfer eines Cyber-Angriffs werden, sinkt damit deutlich.

Und nicht nur das: Erste Versicherer und Makler bieten eine MFA-Lösung als Option im Cyberversicherungspaket an und weisen ihre potentiellen Kund*innen so ganz proaktiv auf eine sinnvolle IT-Security-Maßnahme hin – denn ein niedriges Cyber-Risiko ist für alle Beteiligten ein Gewinn.