Cybersecurity Basement – der Podcast für echten Security-Content
Herzlich Willkommen im Cybersecurity Basement. In unserem Podcast spricht Michael Döhmen alle 14 Tage mit spannenden Gästen über Themen aus dem Bereich Cybersecurity. Dabei legen wir großen Wert auf Objektivität gelegt. Kein suresecure-Feature-Fucking, sondern ein seriöser, authentischer und ehrlicher Austausch aus Theorie und Praxis.
Der Podcast richtet sich an IT- und Security-Entscheider und alle, die es mal werden wollen. Hier gibts kein Blabla, sondern Security als Handwerk. Ehrlich auf den Tisch. Dabei übersetzen die Protagonisten Security in Business-Sprache und umgekehrt.
Zudem werden auch Gäste eingeladen, um andere Blickwinkel oder auch Kundenstimmen einzufangen. So geht es noch mehr in die Praxis und der Podcast bewegt sich auf Augenhöhe mit dem Zielpublikum.
Cybersecurity Basement – der Podcast für echten Security-Content
Der heilige Gral - SOC + Cyberversicherung ohne Risikodialog
In dieser Episode von Cybersecurity Basement sprechen Michael Döhmen und Philipp Skucha über ein bislang einzigartiges Bundle auf dem deutschen Markt: die Kombination aus Security Operations Center (SOC) und Cyberversicherung - und das ganz ohne klassischen Risikodialog. Die beiden Experten erklären, warum diese Kombination so wirkungsvoll ist, wie der Versicherer vom SOC überzeugt wurde und welche Unternehmen besonders davon profitieren können. Außerdem geht es um die konkreten Leistungsbausteine der integrierten Police, den Verzicht auf aufwendige Fragebögen, die Vorteile aus einer Hand sowie die praxisnahe Risikoberechnung mit echtem Mehrwert für Entscheider. Ein Muss für alle, die Cybersicherheit ganzheitlich denken - technisch, organisatorisch und finanziell.
🎧 Weitere spannende Folgen zum Thema:
Mit Cyberaudit und IT-Sicherheit auf der sicheren Seite
Los SOCos 🔥 Incident Management im Security Operations Center
📰 secure mag: Die Kombination aus SOC + Cyberversicherung im Unternehmenskontext
🌐sure[secure]: Managed SOC inkl. Cyberversicherung
Wir freuen uns auf dein Feedback!
Möchtest du mehr über unseren Podcast wissen? Dann wirf einen Blick in unser Media Kit. Dort findest du alles Wichtige:
Cybersecurity Basement - Media Kit
Du findest uns auch auf:
(2) suresecure GmbH: Ihr Unternehmen | LinkedIn
@suresecure_de • Instagram-Fotos und -Videos
suresecure (@suresecure_de) | TikTok
Herzlich willkommen im Cybers ecurity Basement. So würde sich die Begrüßung anhören, wenn wir einen normalen Podcast hätten. Doch bei uns gibt es kein suresecure-Feature-Fucking und auch kein Blabla, sondern echten Security-Content. Willkommen im Keller. Und nein, du kannst jetzt nicht wieder raus.
Philipp Skucha:Das SOC ist eben ich sag jetzt mal der heilige Gral, der diese Überwachung gewährleisten kann.
Michael Döhmen:Hallo und herzlich willkommen zu einer neuen Ausgabe von Cybers ecurity Basement, dem Podcast für echten Security Content. Heute wollen wir uns einem extrem wichtigen und spannenden Thema widmen. Einzelne Bestandteile davon haben wir schon mal in diversen Podcast-Folgen behandelt. Es soll heute primär gehen um das Thema der Cyberversicherung und dem Security Operations Center. Dies beides in Kombination ist etwas, was man am Markt so noch kaum finden kann. Wir haben jetzt ein Bundle aus beidem geschaffen, und da ich euch das alleine relativ schlecht erklären kann, habe ich mir natürlich Expertise eingeladen. Ich begrüße ganz herzlich Philipp CIO, der suresecure und Geschäftsführer der securance. Philipp, schönen guten Morgen.
Philipp Skucha:Guten Morgen Michael. Vielen Dank, dass ich wieder hier sein darf.
Michael Döhmen:Die Freude ist ganz meinerseits. Das stimmt, du bist nicht zum ersten Mal da, freut mich immer wieder, wenn du zu Gast bist. Erstmal, Philipp, wie geht es dir heute?
Philipp Skucha:Ja, ganz gut, Vielen Dank. Ich hatte eine kleine Männergrippe. Für alle da draußen, die wissen, wie hart das ist. Ich habe es gerade so überlebt, und ja, deswegen freue ich mich, wieder zum einen fit zu sein und heute zu diesem Thema dir sprechen zu können.
Michael Döhmen:S ehr schön.
Michael Döhmen:Was könnt ihr, liebe Zuhörerinnen und Zuhörer, heute von der Folge erwarten? Wir wollen eben sprechen über dieses Bundle. Warum macht das Sinn? Wie kann das überhaupt funktionieren? Denn ich teaser da schon mal einen Punkt: ihr habt hier die Möglichkeit, eine Cyberversicherung zu erhalten, ohne Risikodialog. Jetzt fragen sich viele: ja klar wie soll das denn gehen? Und darüber wollen wir heute im Besonderen sprechen. Philipp vielleicht zum Einstieg: wie kam es denn überhaupt dazu, dieses Bundle aufzusetzen? Was war die Grundidee dahinter?
Philipp Skucha:Also wie das eben häufig so ist, hatten wir diese Idee schon vor bestimmt zwei Jahren, in abgewandelten Formen. Wir haben, wenn wir Security Beratung gemacht haben
Philipp Skucha:oder im speziellen auch SOC Beratung, kam immer mal auch der Einwand: Ja gut,
Philipp Skucha:aber selbst dieses Produkt ist ja keine hundertprozentige Absicherung. Und auf
Philipp Skucha:der anderen Seite bei der Beratung der Cyberversicherung haben die Leute gesagt,
Philipp Skucha:ist ja schön, wenn wir den Schaden bezahlt bekommen, aber soweit wollen wir
Philipp Skucha:es ja gar nicht so weit kommen lassen. Und diese beiden Sachen irgendwie sich einzeln genommen, sind ja richtig, und wir haben nach einer Lösung gesucht, wie wir das ja dieses Problem lösen können, zumindest zum größten Teil lösen können. Dazu kam dann noch, dass sehr, sehr viele Partner und Kunden keine Cyberversicherung bekommen haben, aus den unterschiedlichsten Gründen da werden wir noch bestimmt heute drüber sprechen. Und denen wollten wir einfach auch eine Möglichkeit bieten, eine Cyberversicherung zu bekommen, eben jetzt mit dem SOC zusammen, damit eben dieses finanzielle Risiko abgedeckt werden kann, und ja, das sagen heute immer noch sehr, sehr viele auch damit man halt beruhigter schlafen kann. So ist der Grundgedanke entstanden, mit eben dann verschiedenen Möglichkeiten. Jeder, der irgendwie weiß, wie so eine Versicherung funktioniert, das ist jetzt nicht unbedingt bekannt dafür, wahnsinnig flexibel zu sein oder richtig, immer Lust auf was Neues zu haben und vor allem logischerweise nicht ins hohe Risiko gehen zu wollen.
Philipp Skucha:Und wie du es gerade schon richtig angeteasert hast, eine Cyberversicherung ohne Risikodialog erscheint auf den ersten Blick oder wenn man es das erste Mal hört, de facto unmöglich. Es war auch ein langer Weg mit vielen, vielen Gesprächen, mit Tests und POC-Phasen und diversen Sachen, die zu so einem Produktlaunch gehören oder zu einer Produktentwicklung, haben wir fast jetzt ein Jahr daran gearbeitet, im gesamten Team, und ja, sind jetzt soweit, dass wir
Michael Döhmen:Und jetzt ist es da
Philipp Skucha:Genau mit Stolz verkünden können, dass es da ist. Die Teamarbeit von vielen, vielen Personen, einmal bei uns in der sures ecure X securance, aber auch auf Seiten der Versicherer.
Philipp Skucha:Des Versicherers muss man hier sagen also dann haben wir jemanden gefunden, der dann doch neue Wege gehen will und bereit ist, sich Sachen anzugucken, Und da sind wir sehr, sehr froh drum, auch über den Partner.
Michael Döhmen:Perfekt, bevor wir hier an der Stelle weitermachen, vielleicht nochmal zwei, drei Schritte zurück. Das Thema Risikodialog und Policierung. Wir können ja nicht davon ausgehen, dass alle die anderen Folgen zum Thema Cyberversicherung schon konsumiert haben. Große Empfehlung an der Stelle, aber lass uns nochmal ganz kurz darauf eingehen wie läuft das denn aktuell ab, also wie viel Arbeit ist es, eine solche Cyberversicherung eben zu erhalten?
Philipp Skucha:Na gut,
Philipp Skucha:das kommt jetzt sehr auf die Größe des Unternehmens an, was es zu versichern
Philipp Skucha:gilt, die Branche, aber grundsätzlich - für die Zuhörerinnen und Zuhörer
Philipp Skucha:- kann man sagen, dass es so ähnlich ist wie ne Krankenversicherung oder
Philipp Skucha:ne Berufsunfähigkeit. Das heißt, das Unternehmen entschließt sich dazu eine
Philipp Skucha:Cyberversicherung anzufragen oder möchte eine Cyberversicherung haben. Und dann gibt es erstmal so eine Anamnese, bedeutet, es wird eben geprüft, wie sicher ist das Unternehmen aufgestellt? Da gibt es entweder Risikofragebögen, externe Scans, Risikodialoge, alles drei kombiniert oder nur einzelne Baustellen davon, wie gesagt, wieder abhängig von der Größe. Dann prüfen die Versicherer eben, ob das Risiko einzudecken ist. Einzudecken bedeutet hier, ob man eben eine Cyberpolice bekommen kann.
Philipp Skucha:Dieser Prozess kann sich von wenigen Wochen bis hin über mehrere Monate, auch Jahre ziehen. Es kommt, wie gesagt, hier sehr stark auf die Branche, auf das Unternehmen an, wie viel versichert werden muss, weil auch wenn man denken würde, ja, mehr Versicherungsbeitrag bezahlen und mehr absichern, sollte ja gar kein Problem bei Versicherern sein. Dem ist hier nicht so. Es gibt immer gewisse Kapazitätsgrenzen einzelner Versicherer, und wenn ein Unternehmen mehr braucht, muss man auch auf mehrere Versicherer zugehen. Das macht es zu einem sehr aufwendigen Prozess. Zusätzlich ist es so, dass der immer nur, ja die Versicherung in den meisten Fällen immer nur ein Jahr gilt, und nach einem Jahr muss man in das sogenannte Renewal, das heißt, man hat zumindest einen Teil der Risikofragen wieder, verändert sich ja auch eben viel auf dem Cybermarkt, sodass man eigentlich immer einen dauerhaften Prozess ist, diese Cyberversicherung zu halten. Anders vielleicht, als man es kennt, von Versicherungen, die drei oder fünf Jahre laufen.
Michael Döhmen:Dieser Risikodialog, vielleicht mal ganz kurz, was umfasst der alles? Also, da gibt es ja nicht nur Fragen zu den technischen Beschaffenheiten, also welche Technologien sind im Einsatz, welche Systeme, sondern da geht es ja auch weit darüber hinaus.
Philipp Skucha:Ja, wir sagen immer es ist technisch, organisatorisch. Also grundsätzlich gibt es immer so ein paar Key Indicator, die wichtig sind für eine Versicherung, um überhaupt eine Versicherungssumme und auch eine Prämie zu kalkulieren. Das ist standarderweise Mitarbeiterzahl, Umsatz, wie viele Standorte. Und dann wird eben geschaut, technisch, also nicht nur, welche Technologie ist im Einsatz, sondern wie ist sie auch im Einsatz. Da gibt es so Must-Haves wie zum Beispiel eine Multifaktor-Authentifizierung. Das geht dann eben weiter Krisennotfallpläne, Netzwerksegmentierung, Patch-Management, ganz, ganz, ganz viel, was eben in solchen Fragebögen oder auch Dialogen dann abgefragt wird. Der zweite Teil ist eben auch aber organisatorisch. Das ist ein kleines Beispiel, was man nennen kann, alles, was das.
Philipp Skucha:Thema Überweisung angeht. Wir kennen ja auch dieses Thema President Fraud oder gefälschte E-Mails, die dann ankommen, die sehr, sehr echt aussehen. Mittlerweile Dass man zum Beispiel eben ab einer Überweisung über 10.000 Euro das nach einem Vier-Augen-Prinzip macht. Dann werden sich auch Notfallpläne angeguckt. Wie granular sind die? Immer mehr wird getestet, also einen Plan zu haben, unabhängig ob es jetzt ein Notfallplan ist oder andere Pläne, werden die getestet? In welcher Abfolge werden die getestet? Also, die Versicherer haben mittlerweile verstanden, dass es nicht nur reicht, eine Firewall zu haben, sondern wie die eingestellt ist, dass es nicht nur reicht, einen Krisen-Notfallplan zu haben, sondern wird dieser auch erprobt, wird dieser regelmäßig aktualisiert? All diese Dinge werden in den Risikodialogen eben auch abgefragt, wobei ich weise gerne nochmal darauf hin, das kommt natürlich auch auf die Größe des Unternehmens an.
Michael Döhmen:Klar, diese Risikodialoge können von bis sein, aber das Ziel dahinter ist es ja, ein möglichst genaues Verständnis von dem jeweiligen Risiko zu erhalten, damit die Versicherung eben auch sagen kann okay, ja, das versichern wir jetzt auch an der Stelle. Das ist quasi die eine Sicht auf die Dinge. Und auf der anderen Seite haben wir jetzt das Security Operations Center, also ein Service, den ich als Unternehmen einkaufen kann, die eben meine Log-Dateien, meine Systeme 24x7 überwachen, und das bringen wir jetzt quasi in diesem Bundle als Sicherheit mit. Die Versicherung sagt hey, cool, okay, wenn ihr das SOC bei suresecure habt, dann ist das uns genug, um diese Police freizugeben.
Philipp Skucha:Ja, das hast du eigentlich perfekt erklärt, muss ich sagen. Also ich weiß nicht was. Also es war natürlich im Hintergrund viel Arbeit, den Versicherer davon zu überzeugen. Also wir haben uns unser SOC gemeinsam angeguckt, wie wir Verfahren in Sicherheitsvorfällen, wie wir monitoren, wie wir Alerts auslösen, was für Playbooks wir haben, wie wir mit unseren Partnern zusammenarbeiten, wie wir im Austausch sind. Und zur ganzen Wahrheit gehört natürlich auch, wenn ein Unternehmen sich für ein Managed SOC entscheidet, ist es ja meistens nicht der erste Schritt. In den meisten Fällen hat man dann schon eine gewisse Grundbasis an Cyber Resilienz aufgebaut. Aber was ist denn für eine Versicherung eigentlich ausschlaggebend? Also, diese Police zu stellen und abzubuchen, ist gar nicht so schwierig, das können die alle. Gut, entscheidend ist es einem eigentlich, was passiert im Schadenfall, sprich Erstattung. Und eine Versicherung möchte als erstes natürlich überhaupt den Schaden verhindern. Deswegen diese Risikodialoge. Wie sind die Unternehmen aufgestellt? Aber das zweite Wichtigste ist dann, dass der Schaden natürlich möglichst gering bleibt. Wenn es dann zu einem Schaden kommt, und das kann eben das SOC Ja.
Philipp Skucha:Also, das SOC erkennt Anomalien, erkennt Sachen, die nicht so sein sollen wie sie, die nicht so sind, wie sie sein sollten, kann eben entweder einschreiten, alarmieren, man kann Eingriffe sehr, sehr schnell eindämmen und sie eben auf ein Minimum reduzieren. In den meisten Fällen wehrt man sie sogar ab. Und das ist für eine Versicherung eben relevant, dass, wenn es denn zu einem Angriff kommt, dass der möglichst klein ausfällt beziehungsweise der Schaden möglichst klein ausfällt.
Michael Döhmen:Und das leistet eben ein SOC, und das leistet vor allem unser SOC, und da konnten wir eben unsere Partner davon überzeugen. Ich glaube, das ist nochmal ein ganz wichtiger Punkt, dass dies eben nicht möglich ist mit jedem SOC, sondern das spricht natürlich auch für die Qualität unseres SOCs, denn das wurde natürlich genauestens geprüft. Wie arbeiten wir hier, wie gehen wir um mit Detection Rules, was haben wir an Personal da, welche Prozesse haben wir, wie eskalieren wir, wie führen wir Incident Response durch und all diese Dinge, und dann erst kann man ja zu der Entscheidung okay, das passt für uns als Absicherung dieser Cyberpolice.
Philipp Skucha:Genau.
Michael Döhmen:Der Markt an sich ich hatte das im kurzen Intro ja schon erwähnt kennt das Bundle aus SOC und Cyberversicherung aktuell noch so gut wie gar nichts, zumindest der deutsche Markt. Es gibt teilweise Angebote mit Managed Detection and Response Services. Würde das bei uns auch denkbar sein, mit einem MDR zu koppeln?
Philipp Skucha:Stand heute nicht. Wir haben ja in suresecure zum zum einen einen sehr, sehr hohen Qualitätsanspruch. Heißt jetzt nicht, dass ein MDR etwas Schlechtes ist aber um eben dieses Vertrauen, was du gerade gesagt hast, vom Versicherer zu bekommen. Wir stehen ja auch mit unserem Namen dafür, dass wir sagen, wenn jemand bei uns ein SOC abschließt, gibt es keinen Sicherheitsvorfall. Es gibt keinen Sicherheitsvorfall, der gravierend ist auf jeden Fall. Und deswegen bekommen wir diese Police eben auch. Und wie die Marktbegleiter das machen mit dem MDR, das ist sehr unterschiedlich. Es gibt sehr viele unterschiedliche Angebote in dem Bereich. Aber bei uns ist es eben so, dass wir ja sicherstellen wollen, dass wir eine möglichst große Visibilität haben, dass wir möglichst viele du hast es gesagt von diesen Logs, von den Events monitoren können, dass wir ein Gesamtbild auf das Unternehmen haben und nicht eingeschränkt sind, was ein MDA ja in nichts zu haben.
Philipp Skucha:Aber das SOC ist eben ich sage jetzt mal der heilige Graal, der mit vielen anderen Maßnahmen, die natürlich auch in place sein müssen, aber der dann diese Überwachung gewährleisten kann. Und unsere Zahlen sprechen ja auch für uns, was das Thema Risiko angeht und auch was das Thema Schäden angeht. Deswegen ist es bei uns nicht angedacht, das zu können und das zu machen, gerade wo die Zukunft hingeht, in welcher Form es vielleicht Möglichkeiten geben kann. In Zukunft kann ich natürlich heute nicht sagen, aber aktuell ist das beschränkt auf das SOC, weil wir auch nur da die Qualität und unsere Versprechen auch an die Versicherer und auch an natürlich unsere Partner und Kunden geben können. Wenn ihr ein SOC und Managed SOC bei bei uns habt, dann können wir eben diese Police zur Verfügung stellen, und dann können wir eben auch ja, ich sage immer auf dem Weg, weil das hört man nicht gerne auf dem Markt.
Philipp Skucha:100%ige Risikoabdeckung, die gibt es ja nicht, das bin ich auch immer noch bei, aber zumindest auf dem Weg in Richtung 100%ige Risikoabsicherung, auch wenn natürlich davon ein Teil nur eine finanzielle Risikoabdeckung ist.
Michael Döhmen:Ja, genau, du hast es ja eben auch schon gesagt. Es geht ja darum, dass man also Cyberangriff verhindern kannst du nicht, aber du kannst sie halt so früh erkennen, so schnell mitigieren, dass sie eben keinen hohen Impact haben, also keinen großen Schaden auslösen. Das ist ja genau das, was den Versicherern dann am Ende auch entgegenkommt. MDR und SOC hier nochmal als kleiner Hinweis, das sind ja Begriffe, die jetzt nicht irgendwie komplett ausdefiniert und vollständig beschrieben sind, was da enthalten sein muss, damit es einer ist. Also hier lohnt sich immer mal der Blick unter die Motorhaube. Also, was versteckt sich eigentlich hinter einem MDR-Service oder hinter einem SOC? Welcher Technologie-Stack wird benutzt, welche Komponenten sind da verbaut, Und vor allem auch, welches Personal ist bei dem jeweiligen Unternehmen denn vorhanden, um diesen Service zu erbringen? Das sind ganz wichtige und entscheidende Kriterien dafür, ob der Service dann eben auch die Erwartungen, die man als Unternehmen hat, erfüllt oder eben nicht. Jetzt gibt es ja heute auch schon Cyberpolicen ohne SOC, und es gibt Unternehmen, die haben ein SOC und keine Cyberversicherung. Welche Unternehmen siehst du denn hier als Hauptzielgruppe für dieses Bundle?
Philipp Skucha:Also grundsätzlich kann mehr oder weniger jedes Unternehmen ein SOC kaufen, und auch jedes Unternehmen kann eine Cyberversicherung kaufen. In der Realität ist es so, dass wir sehen, dass ab dem Mittelstand etwas größeren Unternehmen das SOC zum Tragen kommt oder sich Unternehmen für das SOC entscheiden. Bei Cyberversicherung ist das anders. Da fängt es schon viel, viel weiter unten an, dass Unternehmen eine Cyberversicherung abschließen, also unten vom Umsatz, Mitarbeiterzahl, von diesen Key Indicators, die ich jetzt schon genannt hatte. Grundsätzlich bieten wir es ja so an, dass wir sagen unser SOC hat immer eine Cyberversicherung inkludiert. Dementsprechend ist es auch für jedes Unternehmen relevant, so etwas zu haben, weil es eben dann auf dem Weg zur hundertprozentigen Risikoabdeckung nochmal dieses weiche Kissen gibt, wo man sagen kann selbst wenn jetzt etwas passiert, seid ihr durch uns auch finanziell geschützt.
Philipp Skucha:Wir können aber vielleicht hervorheben, wo es besonders interessant ist. Das sehen wir natürlich vor allem in Unternehmen, die zum einen gar keine Cyberversicherung bekommen. Das liegt entweder an einem vielleicht Schaden, der in den letzten ein, zwei, drei Jahren passiert ist, der größer war. Das mag aber auch an bestimmten Branchen liegen. Wir sehen viele Kritisbereiche, die schwieriger zu versichern sind Ich würde heute nicht mehr sagen unmöglich, unmöglich ist nichts mehr. Aber deutlich schwieriger zu versichern sind. Oder Unternehmen, die in Ländern aktiv sind, wo es auch schwer ist, eine Cyberversicherung zu stellen. Das sind so die Bereiche, die wir sehen, wo es ja am sinnvollsten ist und wir den Partnern dann eben auch am besten helfen können mit diesem Produkt, weil die eben ja sonst auf einem freien Markt nenne ich es jetzt mal Schwierigkeiten haben, eine Cyberversicherung zu bekommen.
Michael Döhmen:Und wenn ich als Unternehmen also angenommen, ich interessiere mich dafür, ich habe aber jetzt schon eine Cyberversicherung, die jetzt einen nicht näher definierten Leistungsumfang hat. Ich brauche ja jetzt nur ein SOC. Jetzt komme ich zu euch und sage ja, ich hätte jetzt gern das SOC. Wie gehen wir denn da vor? Also, wir haben ja dann das Bundle. Stellen wir dem entgegen hier, du kannst direkt mit Cyberversicherung haben. Und jetzt erklär doch mal kurz, wieso es auch durchaus Sinn machen kann, eine zweite Cyberversicherung eben mit reinzunehmen, die vielleicht einen anderen Leistungsumfang hat.
Philipp Skucha:Ja, ich, kann es einfach auch mal aus unserer Cyberversicherungsberatung aus der Brille mal erzählen oder da mal anfangen. Wir stellen immer mehr fest, dass wir sogenannte Tower bauen müssen oder auf Exzedenten-Versicherungen zurückgreifen müssen. Zur kurzen Erklärung ein Unternehmen möchte eine Versicherungssumme X haben, ein Versicherer einzeln bietet aber nur Y an. Das heißt, sie müssen aufstocken, müssen also schon zu einem zweiten Partner gehen, um weitere Versicherungssumme zu bekommen. Man spricht hier also, man kann unterschiedliche Arten der Berechnungen zugrunde legen, aber wenn ein Unternehmen zum Beispiel 25 Millionen Euro an Versicherungssumme haben will, ist es in den meisten Fällen nicht über einen Versicherer abdeckbar. Das bedeutet, man geht dann schon zum zweiten oder sogar nach Branche auch zum dritten und baut einen sogenannten Tower.
Philipp Skucha:Ähnlich ist es eben hier in unserem SOC und Versicherungsprodukt, wenn ein Unternehmen schon eine Cyberversicherung hat. Es gibt hier so etwas wie ich sage mal zu viel versichern, doppelt versichern in dem Fall nicht. Natürlich muss jedes Unternehmen für sich auch nochmal selber eruieren und schauen wie viel habe ich jetzt, was will ich denn haben? aber da das bei uns im SOC inklusive ist und auch sehr, sehr gut und günstig für die Partner kalkuliert ist, haben die entweder die Möglichkeit, diese Police, die in unserem SOC schon drin ist, wie du schon gesagt hast, zusätzlich zu haben zu der Cyberversicherung, die sie haben, oder sie können natürlich auch ihre Cyberversicherung um diesen Teil reduzieren und sagen, ich mache das hier in dieser Kombination mit dem SOC, weil das für mich eben Sinn macht.
Philipp Skucha:Also, am Ende des Tages ist es immer eine Entscheidung des Unternehmens. Da unterstützen wir aber auch immer in der Beratung und schauen uns gesamtwirtschaftlich an, wo liegt das Risiko? Wir haben da spezielle Berechnungsmethoden, um deutlich genauer, als die meisten Marktbegleiter es machen, zu schauen, wie hoch ist denn ein potenzieller Schaden? Weil auch das merke ich in der Beratung immer wieder. Das sind Fragen, die kommen, weil immer diese Richtwerte so und so viel Prozent vom Umsatz das ist leider sehr, sehr in die Glaskugel schauen. Also, das können wir schon deutlich besser berechnen, und dann schaut man eben wie passt das cyberversicherungstechnisch für mich in mein Gesamtpaket Vielleicht auch nochmal andersrum gesprochen? Wir haben, als wir dieses Produkt entwickelt haben, natürlich auch mit Kunden und Partnern gesprochen, um zu schauen, wie kommt sowas an? Und viele haben uns gefragt kann man denn aus dieser Versicherung später aufstocken, kann man die noch erhöhen, kann man die größer machen, kann man die upgraden?
Philipp Skucha:Und ich denke, das ist auch ein wichtiges Thema, dass man sagt, zum einen bieten wir eine Cyberversicherung in dem SOC inkludiert an. Zum anderen,
Philipp Skucha:wenn der Kunde und Partner sich dazu entscheidet, ich möchte jetzt aber noch viel, viel mehr versichern, viel mehr Bausteine dazu nehmen, kann er das
Philipp Skucha:eben über uns auch machen, mit einem stark, stark vereinfachten Prozess, weil
Philipp Skucha:auch hier kennt der Versicherer den Kunden, kennt das Versicherungsprofil, hat
Philipp Skucha:die Ergebnisse aus dem SOC und hat dann eben nicht nur monetäre sondern auch
Philipp Skucha:prozessuale Vorteile.
Michael Döhmen:aber vielleicht kennt man es auch von den Kreditlinien. Da gehst du ja auch nicht zu einer Bank und nimmst 30 Millionen, sondern du verteilst es ja in der Regel auch auf mehrere Banken, damit eben eine Bank nicht das komplette Risiko trägt, sondern das ebenfalls geteilt wird. Du hast jetzt gerade über die Berechnung vom möglichen Verlust gesprochen. Da nochmal kurz einhaken Wie machen wir das denn? Haben wir da Tools?
Philipp Skucha:Ja, wir haben da Tools, die wir nutzen. Also das ist eine Basis, wo wir sagen, wir geben die Grundunternehmensdaten ein, also auch hier wieder Unternehmensname, Umsatz, Mitarbeiterzahl, in welcher Branche ist das Unternehmen aktiv, und auf der Basis gibt es so eine Grundberechnung wie hoch ist der zu erwartende Schaden. Das sind aber erstmal nur Branchenkennzahlen. Das heißt, wenn jetzt ein Unternehmen, weiß ich nicht, Wurst herstellt, in einer bestimmten Größe ist, und dann schaut man okay, was für Wursthersteller in der Größe, wie groß waren denn so die Schäden in Deutschland, Europaweit oder je nachdem auch weltweit wird geschaut. Und das reicht uns aber nicht, weil das ja erstmal immer nur so ein Branchenindex ist, bedeutet, der eine Wursthersteller kann ja sehr, sehr gut aufgestellt sein Cyberresilienztechnisch, der andere sehr sehr schlecht.
Philipp Skucha:Dementsprechend unterschiedlich hoch werden die Schäden.
Michael Döhmen:Das heißt aber nochmal zum Verständnis. Da ist eine Datenbank, und diese Datenbank erfasst reale, entstandene Schäden von Unternehmen.
Philipp Skucha:Ja.
Michael Döhmen:und auf diese Datenbank greifen wir erstmal zu.
Philipp Skucha:Genau, im ersten Schritt greifen wir auf diese Datenbank zu. Wenn wir das gemacht haben, fahren wir eine sogenannte Analyse mit unserem Cyberaudit, das heißt, wir untersuchen das Unternehmen auf prüfen es auf Herz und Nieren Das ist auch wieder technische, organisatorische Parts. Dann entsteht aus dieser Überprüfung, die dann auch zur Folge hat, dass wir mehrere Consultant-Gespräche führen, das heißt, über die einzelnen Punkte aus unserer Evaluierung, aus unseren Bögen deutlich genauer und tiefer reingehen. Bei den wichtigsten Punkten. Eben darüber sprechen. Jetzt auch jeder hier das Thema Krisennotfallplan. Wir schauen uns die Granularität an, wird das geprüft? und wir schauen, dass wir die Standardisierung der Bögen von Audits und Risikodialogen auf die Individualität der einzelnen Unternehmen münzen, bedeutet, dass wir dann wirklich schauen, wie ist es denn hier in diesem Unternehmen? Weil nicht jede allgemeine Sicherheitslücke oder ich sage jetzt mal jedes Problem, was ein Versicherer sieht, ist auch wirklich eins in einem Unternehmen, wenn man es vielleicht anders mitigiert hat oder isoliert hat.
Philipp Skucha:Und das machen wir eben in diesen Gesprächen, und daraus ergibt sich dann ein Report und ein sogenannter Cyber-Score. Das ist dann eben der zweite Faktor, den wir mit dieser Erstberechnung, mit dieser Basisberechnung matchen. Also umso besser der Faktor, der Cyber Score ist klar umso unwahrscheinlicher ist ein erfolgreicher Angriff oder umso geringer wird der zu erwartende Verlust. Und als drittes kommt dann eben noch dazu, dass wir eben bestimmte Key Indicator formuliert haben aus unserer Erfahrung aus dem SOC, aus unserer Erfahrung aus den Incidents, aber auch aus unserer Erfahrung mit den Cyberversicherungen und dann den reellen Schäden.
Philipp Skucha:Das bedeutet, wenn wir jetzt zum Beispiel das Thema SOC wieder nehmen, wenn ein Unternehmen ein SOC hat, dann sinkt automatisch der zu erwartende Verlust in unserer Kalkulation. Wenn das Unternehmen einen Incident Response Plan hat, sinkt der zu erwartende Verlust in unserer Kalkulation. Wenn das Unternehmen Incident Response Plan hat, sinkt der zu erwartende Verlust. Das sind alles Sachen, die wir eben aus unserer Erfahrung heraus ziehen, aber auch merken, umso besser man vorbereitet ist, umso kleiner ist der Verlust. Ich sage jetzt mal im Case, wenn das zu einem Angriff gekommen ist. Natürlich in der Preparation Phase kann man auch sagen, wenn ein Unternehmen ein vernünftiges AD-Konzept hat, ein vernünftiges Rechte-Konzept hat, vernünftig eingestellte Firewalls, hat
Michael Döhmen:Cyberbasics, quasi
Philipp Skucha:Die Basics, sage ich mal, die sind schon mal gut.
Philipp Skucha:Die sind schon mal gut, und es fließt alles dann eben in diese Berechnungen rein. Wir sagen, wir nehmen all diese Faktoren zusammen, korrelieren die und haben dann ein Ergebnis, was natürlich immer noch nicht auf den Cent genau sagen wird. Das wird ein Verlust bei einem erfolgreichen Angriff, weil wir können immer noch nicht hervorsehen, wird zum Beispiel nur ein Standort verschlüsselt oder werden alle verschlüsselt? Aber es ist deutlich genauer. Auch das Feedback, was wir bekommen, sind unsere Partner sehr, sehr glücklich darüber, weil die sagen, das ist endlich mal eine Zahl, mit der ich arbeiten kann. Wir machen das sehr transparent, was das Thema, wie wir bewerten, angeht. Wir sprechen da auch mit unseren Partnern drüber und erklären auch bei bestimmten Sachen warum hat das denn Einfluss auf die Schadenhöhe oder auf die potenzielle Schadenhöhe, sodass die eben gut abgeholt sind. Und ich sage mal, alle, die in Unternehmen sich mit dem Thema Risikomanagement beschäftigen, ja, die freuen sich darüber, mal eine Zahl zu bekommen, die eine vernünftige Basis hat zur Berechnung.
Michael Döhmen:Ja, weil damit kann man ja auch gut hausieren gehen, um sich vielleicht eine Lobby zu erarbeiten für Investitionen in dem Cybersektor.
Philipp Skucha:Genau.
Michael Döhmen:Jetzt lass uns nochmal über dieses Bundle sprechen. Bei einem Managed SOC wissen wir ja ganz gut, was wir bekommen. Das ist definiert, beschrieben und am Ende Preis natürlich, ein bisschen abhängig vom Volumen. Was ich mitbringe als Unternehmen, habe ich denn in dieser Cyberversicherung, die jetzt mit diesem Bundle kommt denn jeder, der sich schon mal mit einer Cyberversicherung beschäftigt hat, der weiß ja, es gibt da Module, es gibt ganz, ganz unterschiedliche Leistungsumfänge, die ich in diese Police mit reinpacken kann. Ist es so, dass ich quasi hier auch in diesem Bundle eine Cyberversicherung habe, und ich kann mir die frei gestalten? Oder sind hier einfach ganz wichtige Basics mit drin, und manche Bestandteile sind aber auch bewusst rausgelassen, weil man die eben nicht einfach so mitversichern kann?
Philipp Skucha:Also, als wir das Produkt angefangen haben zu konzipieren und überlegt haben, okay, welche von diesen vielen Bestandteilen wie du schon richtig gesagt hast die eine Cyberversicherung hat, wollen wir eigentlich damit reinnehmen. Dann sind wir eben aus der Perspektive rausgegangen okay, unser SOC monitort, überwacht, alarmiert, greift ein, wenn es zu einem Sicherheitsvorfall kommt. Und wenn es denn zu einem Sicherheitsvorfall dann kommt, dann wollen wir, dass das Unternehmen eben die Gewährleistung hat, dass wir eben auch dann, wenn wir eingreifen, dass die Kosten dafür gedeckt sind. Und das war eben unsere wichtigste Prämisse, aus der wir rausgegangen sind, weil natürlich könntest du jetzt hier wieder alles mit reinnehmen. Dann entstehen aber immer wieder Probleme auf der anderen Seite, wenn wir wieder zum Thema Doppelversicherung gehen oder hat schon eine Cyberversicherung.
Philipp Skucha:Also, wir haben uns auf das Incident Response konzentriert. Das bedeutet, angefangen von der Forensik den sicheren Wiederaufbau, Verbesserungskosten, Krisenkommunikation, Kosten für Anwälte, also den ganzen Legal-PR-Bereich in dieser Cyberversicherung mit enthalten sind. Und wir haben uns eben bewusst dafür entschieden, andere Bestandteile rauszulassen, weil die wieder sehr, sehr individuell sind. Also wir wollten etwas, was jedes Unternehmen, was ein SOC kauft, oder eigentlich jedes Unternehmen braucht, weil auch aus unserer Cyberversicherungsberatung haben wir die einen Unternehmen wollten keine Lösegelder versichern, die anderen Unternehmen brauchten oder wollten keine Betriebsunterbrechung haben, die anderen keine Datenschutzverstöße oder Bußgelder. Also es war sehr, sehr unterschiedlich.
Philipp Skucha:Aber was eigentlich immer alle wollten, war das wenn es dann wirklich knallt, möchten wir wieder aufgebaut werden, schnell. Gut, wir wollen sicher wieder aufgebaut werden. Wir wollen, dass diese ganze Kommunikation übernommen wird, dass die dann auch erstattet wird. Das waren so, als wir dann Umfragen gemacht haben und mit Kunden und Partnern gesprochen haben. Das waren so die Themen, die immer kamen, und danach hat es immer variiert, und aus diesem Grund haben wir uns dazu entschieden, dieses Incident Response in den Fokus zu rücken, um eben zum einen den Spagat SOC zu schaffen. Das ist für mich sehr, sehr logisch, dass das dann jetzt so mit da drin ist.
Philipp Skucha:Aber zur ganzen Wahrheit gehört natürlich auch, damit wir einen Scope haben, der für die Versicherung passt. Ja, weil das ist etwas, was kalkulierbar ist. Alles, was das Thema zum Beispiel Betriebsunterbrechung, Lösegelder angeht, ist wieder sehr individuell, und das würde dann so nicht funktionieren. Deswegen haben wir uns für diesen Part entschieden. Und zur Kalkulation das ist auch ich denke mal, ein Riesenvorteil. Wir brauchen eigentlich nur die Mitarbeiter, wir müssen nur wissen, wie viele Mitarbeiter hat das Unternehmen, und wenn wir das wissen, können wir eben dieses Produkt, das SOC, inklusive der Cyberversicherung sehr einfach kalkulieren Top.
Michael Döhmen:Ich fasse mal zusammen Also alles, was mit der direkten Aufarbeitung, Behandlung von Incident zu tun hat, ist in dieser Police dann mit drin.
Philipp Skucha:Genau.
Michael Döhmen:Sehr schön, dann haben wir das doch geklärt. Okay, angenommen, ich habe jetzt dieses Bundle gebucht, und ich habe aber jetzt einen Cyberangriff. Der wurde dann von euch entdeckt. Ihr meldet es der Versicherung, ihr löst auch noch das Incident Response. Es klingt ja nach einem geschlossenen, sehr logischem Kreislauf. Ich habe einen Dienst, der quasi für alles verantwortlich ist. Oder fehlt hier nicht vielleicht ein objektiver Blick von einer Drittpartei?
Philipp Skucha:Also das bleibt nie beim IR-Dienstleister und zwischen Kunde, da BSI, LKA, sonstige Stellen, die informiert werden müssen, die dann sich das eben anschauen. Zum einen, wenn es um den Wiederaufbau geht, gibt es ja eben auch Bereiche, die der Kunde machen muss, beziehungsweise dann noch Drittdienstleister, wenn es zum Beispiel um Netzwerkwiederaufbau geht. Wir haben uns diese Frage auch gestellt. Da gibt es durchaus zwei meiner Meinung nach berechtigte Meinungen dass man sagt, der SOC-Dienstleister sollte den IR nicht machen, damit eben neutraler Blick, wie du es gesagt hast, und bei einem SOC-Dienstleister würde ja dann im Fall sagen nee, das war nicht aufgrund des SOCs. Die andere Sicht ist aber, ein SOC-Dienstleister oder wir jetzt in diesem speziellen Fall, die mit dem Kunden tagtäglich arbeiten, die tagtäglich die Systeme sehen, die die Ansprechpartner kennen, die die Abläufe unternehmen können.
Philipp Skucha:Wir können, wenn es zu einem Sicherheitsvorfall kommt, viel, viel schneller und besser reagieren und diesen Sicherheitsvorfall viel schneller wieder eindämmen, und dass das Unternehmen wieder läuft. Wir haben unsere Playbooks, was die Meldung zur Versicherung angeht. Das heißt, die Versicherung bekommt, die hat ja auch ein Interesse daran, dass das alles sauber ist, dass das alles vernünftig funktioniert. Das heißt auch natürlich, wenn die in einem Sicherheitsvorfall schauen, wie hat da suresecure gearbeitet, wie wird der Kunde sich verhalten? Und es geht ja eigentlich im Sicherheitsvorfall darum, möglichst schnell wieder zu arbeiten. Das bedeutet, ob dann nochmal ein Gutachten gemacht wird. Das kommt ja sowieso aufs Unternehmen an. Das erleben wir ja auch ab und zu, dass dann Investoren sagen, wir wollen nochmal ein neutrales Gutachten.
Philipp Skucha:Haben die Polizei sich das nochmal anguckt, Dem ist ja nichts entgegenzusetzten, das kann man immer gerne machen, aber im Sicherheitsvorfall selber geht´s um Zeit. Und da muss man möglichst schnell reagieren. Wir reagieren sehr, sehr schnell mit unserem SOC. Wir können dann sehr, sehr schnell mit unserem IR-Team reagieren. Und auch die Kommunikation mit dem Versicherer ist ja in Stein gemeißelt und sehr, sehr klar und einfach, sodass die Kunden sich in dem Sicherheitsvorfall auf ihre wesentlichen Geschäftsprozesse fokussieren können. Jeder, der das schon mal mitgemacht hat, weiß, es ist eine extreme Stresssituation, dass sich noch selten so viele Leute in Teamcalls sich teilweise anschreien sehen, und da ist man gut beraten, wenn diese Sachen aus einer Hand kommen, sehr einfach zu koordinieren sind. Man hat klare Ansprechpartner. Also für mich die Frage vielleicht mal kurz zu beantworten überwiegen die Vorteile, das aus einer Hand zu haben. Ich verstehe aber auch durchaus berechtigte Kritik oder andere Meinungen, dass man sagt, man würde es gerne getrennt haben. Für den Sicherheitsvorfall hilft das nicht, wenn man es trennt, für die Aufarbeitung später, wie gesagt, kann man das sowieso immer noch mal machen.
Michael Döhmen:Genau, und da noch ein nicht unwichtiger Punkt, denn wir kennen das ja auch wenn wir als externer Dienstleister in einem Incident reagieren, und wir kennen das Unternehmen nicht, dann stellt man sich ja erstmal grundsätzliche Fragen: Wie funktioniert das Business? Denn das Business muss ja als erstes wieder irgendwie ans Laufen gebracht werden, man muss wieder Werte schöpfen. Und dann stellt man sich die Frage was sind hier eigentlich die kritischen Geschäftsprozesse? Wenn wir SOC-Dienstleister sind für ein Unternehmen, dann kennen wir das alles bereits. Wir kennen die Abläufe, wir kennen die Ansprechpartner, wir kennen die Systeme, wir kennen die Infrastruktur, und allein dadurch hat man einfach einen riesen Vorteil, hier schnell, gezielt und effizient irgendwie vorzugehen und Incident schnell zu behandeln und zu lösen. Am Ende des Tages.
Philipp Skucha:Ja, sehe ich 100%ig genauso.
Philipp Skucha:Andersrum machen wir ja auch die Erfahrung, dass, wenn zu viele wie nennt man das Köche in der Suppe rumfummeln?
Michael Döhmen:Den Spruch gibt es auf jeden Fall, den gibt es auf jeden Fall irgendwie so in die Richtung.
Philipp Skucha:Das hilft nicht. Also, wie oft kommen wir als Partner da? Dann gibt es aber noch jemanden für die Netzwerke oder jemand, der Kommunikation macht, oder sogar vielleicht gab es schon einen Partner, der angefangen hat, Forensik zu machen, und dann aufgehört hat oder noch dabei ist. Es macht Sinn, dass man das Unternehmen kennt, dass man zielstrebig arbeitet, gewissenhaft natürlich und alle an einem Strang ziehen, und ich glaube, das ist mit dem Produkt hier einfach 100% gegeben. Deswegen habe ich gar keine Sorgen, dass es aus einer Hand hier schlecht ist. Ganz im Gegenteil. Das hilft dem Kunden und dem Partner, hilft auch der Versicherung, weil die wissen, die kriegen ihre Meldungen fristgerecht in der Form ordentliche Berichte. Genau, Berichte wurden natürlich auch von uns geprüft. Also, das ist alles schon, ich sage mal, auf dem Prüfstand bewiesen, oder bleibt es auch dauerhaft natürlich. Auch, wir verändern uns ja und erweitern uns und sind dann Gesetzeskonform, und auch wenn eine Versicherung andere Sachen haben will, teilen wir uns das mit, und wir können dann eben sicherstellen, dass das immer on Point da ist.
Michael Döhmen:Na gut, einen Use Case habe ich noch. Jetzt habe ich SOC und im Bundle.
Michael Döhmen:Ich habe aber auch vorher schon eine Cyberversicherung gehabt. In diesen Policen korrigiere mich, wenn ich falsch liege ist doch in der Regel immer ein Dienstleister eingetragen für das Incident Response. Jetzt hätte ich ja in der Cyberpolice von uns suresecure drin, in der anderen Cyberpolice hätte ich einen anderen. Ist es dann so, dass ich frei wählen kann?
Philipp Skucha:Naja, also bei uns bist du dann suresecure der dabei. Jetzt muss ich sagen, viele Policen haben mittlerweile eine freie Dienstleisterwahl, manche haben einen Pool, aus dem man auswählen kann. Ganz wenige Versicherer haben einen ganz, ganz festen Dienstleister, wo die sagen nur mit dem und mit keinem anderen,
Michael Döhmen:danke für die Korrektur,
Philipp Skucha:kein Problem. Nur um das mal in Relation zu stellen. aber was ich sowieso immer empfehle, auch aus unserer securance-Cyberversicherungsberatung, und das hat nicht mal was mit der suresecure zu tun. Das Unternehmen sollte immer schauen, wenn es einen IR-Dienstleister schon hat oder einen präferierten Partner, mit dem es eben gut zusammenarbeitet, der ihn schon lange kennt. Ich würde mir immer an die Police reinschreiben lassen, dass ich diesen Partner wählen kann, weil, wenn man auf ein Netzwerk zurückgreifen muss, wo man den Unternehmen nicht kennt, ist es aus meiner Sicht immer ein Nachteil.
Philipp Skucha:Und in deinem speziellen Fall, den du jetzt geschildert hast, prüfen wir natürlich auch und beraten unsere Partner dann, dass wir es so machen, dass wir jeder der präferierte Partner sind, der Incident machen soll, dass wir dann mit der schon bestehenden Cyberversicherung sprechen. Wir sind eigentlich mit allen Versicherern so gut gestellt, dass wir das eben verhandeln können. In den meisten Fällen geht es ja um Thema Tagessätze und könnt ihr Incident Response . das sind eigentlich die zwei Fragen, die so ein Versicherer sich stellt, und das passt alles. wir sind bei sehr vielen schon akkreditiert. Wie gesagt, um es kurz zu beantworten wir schauen dann, dass es für den Partner passt und wir dann in dem Fall jetzt in deinem Beispiel den Sicherheitsvorfall gesamtheitlich machen können. um es einfach zu haben und es ganz klar zu haben wenn es dann um das Thema Schadenerstattung geht.
Michael Döhmen:Philipp, ich sage vielen Dank für deinen Besuch. Ich glaube, ich habe alle Fragen bin ich losgeworden, die hast du auch bestens beantwortet.
Philipp Skucha:Ja, sehr gerne.
Michael Döhmen:Ich hoffe, liebe Zuhörerinnen und Zuhörer, das war einerseits spannend, andererseits aufschlussreich, und ihr habt mitgenommen, warum dieses Bundle komplett Sinn ergibt. Und wenn ihr dazu noch weitere Fragen habt, mehr wissen möchtet, wir verlinken euch in den Shownotes, ein Whitepaper zum Produkt sowie auch die Produktseite, die ihr dann anklicken könnt, und dort findet ihr nochmal alle interessanten und relevanten Informationen zu diesem Bundle. Wenn ihr darüber hinaus Fragen habt, kontaktiert uns gerne, und dann werden wir jede Frage beantworten. An der Stelle. Danke fürs Zuhören, Philipp, danke für deinen Besuch,
Philipp Skucha:danke auch
Michael Döhmen:Und ja, bleibt sicher und gesund. Wir hören uns in der nächsten Ausgabe vom Cybersecurity Basement.
Philipp Skucha:Alles Gute, vielen Dank.
Annika Gamerad:Das war es aus dem Cybersecurity Basement Check. die Shownotes folge uns auf Social Media und abonniere den Podcast. Stay safe da draußen.