Bericht zur Cyber-Resilienz 2023

Das ist Artikel Teil 12 von 14 In diesem Bericht.

August 16, 2023 / 7 Lesezeit in Minuten

Lateinamerika: drei entscheidende Risikokontrollbereiche

Hinsichtlich des Cyber-Risiko-Reifegrades sind lateinamerikanische Unternehmen ähnlich gut gerüstet wie die Unternehmen in der EMEA-Region und im Vereinigten Königreich, dennoch sind drei wesentliche Diskrepanzen zu erkennen: Third Party Management, geschäftliche Resilienz und Anwendungssicherheit.

Wesentliche Erkenntnisse

  1. Im Allgemeinen sind Unternehmen in Lateinamerika ähnlich gut gegen Cyber-Risiken gewappnet wie Unternehmen im Vereinigten Königreich und in der EMEA-Region. Scheinbar hinken sie jedoch diesbezüglich mit vergleichbaren US-amerikanischen Unternehmen hinterher.
  2. Am schwächsten schneidet dabei der Bereich Third Party Management ab. Den Unternehmen ist daher anzuraten, dass sie die wirtschaftlichen Auswirkungen der von diesen Anbietern eingeschleppten Cyber-Risiken besser modellieren.
  3. Die Anwendungssicherheit muss noch gemanagt werden. Unternehmensleiter sollten Sicherheitsschulungen für alle Entwickler anordnen, einschließlich regelmäßiger Auffrischungen, um sich besser auf neue Bedrohungen einstellen zu können.

Auch wenn alle Länder der Welt gleichermaßen von Cyber-Angriffen bedroht zu sein scheinen, ist der Grad der Vorbereitung manchmal unterschiedlich. Lateinamerika ist eine dieser Regionen, die den uns vorliegenden unseren Daten zufolge inkonsistente Fortschritte bei der Bewältigung von Cyber-Risiken gemacht hat.1 Laut Kundenberichten, die dem Aon Cyber Quotient 2022 (CyQu)2 zu entnehmen sind, ist jedoch der allgemeine Cyber-Reifegrad von Unternehmen in der LATAM-Region mit dem von Unternehmen in der EMEA-Region und im Vereinigten Königreich vergleichbar. Die Daten zeigen allerdings, dass die lateinamerikanischen Unternehmen in einigen wichtigen Bereichen hinter vergleichbaren US-Unternehmen zurückbleiben.


CyQu Regionale Risikowerte

Bei der Betrachtung des allgemeinen Cyber-Reifegrads weisen die Unternehmen in Lateinamerika Schwächen bei drei kritischen Kontrollbereichen auf: Third Party Management (TPM), geschäftliche Resilienz und Anwendungssicherheit. Diese drei Bereiche weisen lediglich den Reifegrad „basic“ auf.

Aus den CyQu-Daten geht hervor, dass nur 15 Prozent der Unternehmen bei der Durchführung der Due-Diligence-Prüfung von Dritten einen höheren Risikoreifegrad als „basic“ angeben, und wenn es um das Management von Risiken Dritter durch rechtliche Vereinbarungen geht, geben nur 17 Prozent einen Risikoscorewert von mehr als 2,5 von möglichen 4,0 Punkten an. Die Daten zeigen, dass Unternehmen Dritte möglicherweise nicht an Service-Level-Vereinbarungen binden, keine formale Richtlinie zur Festlegung von Cyber-Sicherheitsstrategien für Dritte haben, Dritte nicht in Prüfungen der Geschäftskontinuität und der Notfallwiederherstellung einbeziehen und die wirtschaftlichen Auswirkungen in Verbindung mit den Risiken Dritter nicht bewerten.

Was die geschäftliche Resilienz betrifft, so gab nur ein Viertel der Unternehmen an, dass ihr Risikoprofil in Bezug auf die Geschäftskontinuität höher als „basic“ ist oder dass sie über einen Notfallplan verfügen, der sich auf die Wiederherstellung und die Quantifizierung der finanziellen Auswirkungen konzentriert. Nur 35 Prozent der Unternehmen meldeten ein höheres Risikoprofil als „basic“ für die Incident-Response-Planung und für Tabletop-Übungen.

Auch in einem anderen kritischen Kontrollbereich, nämlich der Anwendungssicherheit, meldeten die Kunden Mängel. Weniger als 35 Prozent der Unternehmen meldeten ein Risikoprofil, das höher als „basic“ eingestuft wurde, und die Unternehmen handhaben das Autorisierungsverfahren von Softwareanwendungen, die Schulung von Softwareentwicklern in Sicherheitsfragen und die Durchführung dynamischer Analysen und Penetrationstests für Anwendungen nicht angemessen.

Branchen im Blickwinkel

In diesem Jahr haben wir drei Branchen auf der ganzen Welt genauer unter die Lupe genommen: Finanz- und Versicherungswesen, Gesundheitswesen und die verarbeitende Industrie. Laut den von den Kunden selbst gemeldeten CyQu-Daten schnitten die Unternehmen in Lateinamerika in allen drei Sektoren im Vergleich zu vergleichbaren Unternehmen in der EMEA-Region, im Vereinigten Königreich und in den USA relativ gut ab. Für das Jahr 2022 meldeten sie eine insgesamt „managed“ Cyber-Lage.


Finanz- und Versicherungswesen

Die Finanz- und Versicherungsunternehmen in der LATAM-Region meldeten einen durchschnittlichen Scorewert von 2,7 bzw. „managed“, was bedeutet, dass bei diesen Risikomanagementtechnologien und -verfahren im gesamten Unternehmen eingeführt sind. Dieses Niveau des Risikomanagements spiegelt das regulatorische Umfeld wider, in dem der Sektor tätig ist. In dieser Branche bilden bewährte Verfahren und Vorhersageindikatoren die Grundlage für Cyber-Sicherheitspraktiken in den meisten Unternehmen. Außerdem werden Strategien und Verfahren festgelegt, wie vorgesehen umgesetzt und überprüft. Es wurden konsistente Methoden etabliert, um wirksam auf Risikoveränderungen zu reagieren. Um jedoch das Sicherheitsniveau vergleichbarer US-Unternehmen zu erreichen, sollten sich Finanz- und Versicherungsunternehmen in Lateinamerika auf die Bereiche konzentrieren, in denen sie unterdurchschnittlich abgeschnitten haben, wie z. B. Zugriffskontrolle, geschäftliche Resilienz, Endpunkt- und Systemsicherheit sowie Third Party Management.

Die meisten Finanz- und Versicherungsunternehmen verfügen über ausgereiftere Netzwerkumgebungen, was bedeutet, dass trotz des notorisch hohen Volumens an alten Anwendungen eine robuste Architektur, starke Verteidigungsmechanismen gegen Verletzungen der Perimeter-Sicherheit und eine wichtige Hygiene im Bereich der Netzwerksicherheit vorhanden sind. Bei vielen Finanzinstituten steht jedoch die vollständige Due-Diligence-Prüfung Dritter nach wie vor aus. In Anbetracht der jüngsten öffentlichkeitswirksamen Ereignisse in Bezug auf Drittparteien ist dies ein wichtiger Schritt.


Gesundheitswesen

Laut CyQu-Kundenberichten scheint der Reifegrad für Cyber-Risiken für Unternehmen des Gesundheitswesens im lateinamerikanischen Raum auf dem gleichen Niveau zu liegen wie bei vergleichbaren Unternehmen in den Vereinigten Staaten. Allerdings müssen die Praktiken und Technologien für das Risikomanagement im Bereich der organisatorischen Cyber-Sicherheit in diesem Sektor noch stärker formalisiert werden. Das Risikomanagement scheint eher ad hoc zu funktionieren und mitunter reagiert man erst auf Events, während die Techniken und Technologien im gesamten Unternehmen klarer festgelegt werden müssen.

Um einen höheren Reifegrad zu erreichen, ist den Unternehmen des Gesundheitswesens in der Region anzuraten, ihre Anwendungssicherheit, geschäftliche Resilienz, die physische Sicherheit und das Third Party Management verbessern. Für die meisten Unternehmen des Gesundheitswesens ist das Worst-Case-Szenario ein aktives Bedrohungselement in der operativen Technologie- (OT) Umgebung. Die Implementierung einer starken Multi-Faktor-Authentifizierung in IT-Netzwerken kann von entscheidender Bedeutung sein, da die Offenlegung von Passwörtern nach wie vor zur Preisgabe sensibler Daten führen kann oder sich dadurch Eindringlinge Zugang verschaffen können.

Durch zuverlässige Due-Diligence-Prüfungen von Drittparteien können Risiken für vertrauliche Daten, Lieferkettensysteme und kritische OT-Infrastrukturen vermieden bzw. identifiziert werden, weil sich damit die Risiken für Pharmakovigilanz- und Vertriebssysteme und für betriebliche Produktionsprozesse verringern lassen.


Fertigung

Die Unternehmen der verarbeitenden Industrie in Lateinamerika schneiden in den meisten Bereichen ähnlich gut ab wie vergleichbare US-Unternehmen, wenn es um das Management ihrer Cyber-Risiken geht. Wie auch im Gesundheitswesen sind die Verfahren und Technologien für das Risikomanagement im Bereich der Cyber-Sicherheit in Unternehmen in der Regel nicht formalisiert, sie sind nur in begrenztem Umfang vorhanden, und das Risikomanagement erfolgt eher ad hoc und man reagiert eher nur auf Ereignisse.

Die kritischsten Punkte für Fertigungsunternehmen in Lateinamerika sind Third Party Management, Anwendungssicherheit und geschäftliche Resilienz. Die Hersteller sind hier vermutlich von vielen Dritten abhängig, die als Mitspieler in der Wertschöpfungskette agieren. Dennoch führen viele dieser Unternehmen weiterhin Ad-hoc-Rollouts durch und scheinen einen konsistenteren Due-Diligence-Ansatz für die gesamte Branche zu benötigen.

Die CyQu-Kundendaten zeigen, dass das Niveau der Authentifizierung und Verschlüsselung bei den LATAM-Herstellern noch relativ niedrig ist. Unternehmen benötigen Hilfe bei der Endpunktprotokollierung und -überwachung, was zu einem unzureichenden Einblick in industrielle Steuerungssysteme und kritische betriebliche Netzwerke führt. Auch die Umsetzung von Incident-Response-Plänen und Geschäftskontinuitätsplänen muss in der gesamten Branche verbessert werden.

Was nun? Vorgeschlagene Aktionspunkte für lateinamerikanische Führungskräfte

Third Party Management. Es wird die Durchführung einer Due-Diligence-Prüfung von Drittanbietern empfohlen, um eine bessere Übereinstimmung mit den Richtlinien Ihres Unternehmens und den Best Practices der Branche zu erreichen, einschließlich Bewertungen und Neubewertungen im Falle der Änderung von Servicevereinbarungen. Es sollten Audits zur Geschäftskontinuität und Notfallwiederherstellung bei Drittanbietern durchgeführt werden, insbesondere nach Veränderungen in der Organisation. Es sollten Prognosen über die wirtschaftlichen Auswirkungen von Cyber-Risiken im Zusammenhang mit Drittanbietern mit Hilfe einer formalen Analyse, die die potenziellen finanziellen Auswirkungen modelliert, erstellt werden. Einführung von Schwellenwerten und Eskalationsprozessen, die dazu beitragen, die Anwendung von Cyber-Sicherheitsstrategien für identifizierte Drittanbieter zu bestimmen, plus Festlegung dieser Schwellenwerte und Eskalationsprozesse. Verwendung mehrerer Messgrößen, konsistenter Managementstrategien und Einbeziehung der obersten Führungsebene.

Geschäftliche Resilienz. Sicherstellen, dass Pläne zur Aufrechterhaltung des Geschäftsbetriebs und zur technischen Notfallwiederherstellung (BCP-/DR-Pläne) mindestens einmal pro Jahr oder gegebenenfalls häufiger umgesetzt und geübt werden. Einbeziehung sämtlicher prozessrelevanten Mitarbeiter, Besetzung aller für die Wiederaufnahme des Geschäftsbetriebs erforderlichen Vorgänge mit entsprechenden Mitarbeitern und ggf. Erstellung von Berichten nach der Durchführung von Übungen, die Empfehlungen für Verbesserungen beinhalten. Sicherstellen, dass der BCP-/DR-Plan des Unternehmens die Wiederherstellung nach einem kritischen Technologie- oder Softwareausfall, dem Ausfall eines kritischen Technologielieferanten oder eines Versorgungsunternehmens, dem Verlust oder der Beschädigung wichtiger Daten und der Offenlegung kritischer sensibler Informationen ermöglicht. Im BCP-/DR-Plan die finanziellen Auswirkungen von Opportunitätskosten, erhöhten Betriebskosten und Ausgaben, Verringerung der Einnahmen oder des äquivalenten Durchsatzwertes, Ineffizienz und Rentabilität, nicht versicherter Anlagenwiederbeschaffung und nicht versichertem Kapitalwert sowie finanzieller Lebensfähigkeit berücksichtigen.

Anwendungssicherheit. Sicherstellen, dass sämtliche Entwickler regelmäßig oder mindestens einmal im Jahr eine Sicherheitsschulung absolvieren, die auch regelmäßige Aktualisierungen zur Anpassung an neue Bedrohungen umfasst. Führen eines Anwendungsinventars, umgehende Stilllegung jeder nicht genehmigten Software und sicherstellen, dass die Liste der zulässigen Anwendungen auch ausführbare Dateien, Codebibliotheken und Skripte, z. B. Makros und .ps1, umfasst.

Referenzen

1 “Raising the Political Priority of Cybersecurity in Latin America.” Hurel, Louise Marie and Devanny, Joe. Council on Foreign Relations. Blog Post. March 16, 2023.

2 Aon’s Cyber Quotient (CyQu). Patent-pending technology.


Versicherungsprodukte und -dienstleistungen werden angeboten von: Aon Risk Insurance Services West, Inc, Aon Risk Services Central, Inc, Aon Risk Services Northeast, Inc, Aon Risk Services Southwest, Inc, und Aon Risk Services, Inc. in Florida sowie deren lizenzierten Tochtergesellschaften.

Die hierin enthaltenen Informationen und Aussagen sind allgemeiner Natur und beziehen sich daher nicht auf die Umstände einzelner Personen oder Rechtsträger. Obwohl wir uns bemühen, genaue und aktuelle Informationen zu liefern und diese aus Quellen beziehen, die unseres Erachtens verlässlich sind, besteht keine Gewähr dafür, dass die Informationen zum Zeitpunkt der Kenntnisnahme korrekt sind und es bleiben werden. Die genannten Informationen sollten nicht ohne eingehende Prüfung der jeweiligen Sachlage und eine vorherige professionelle Beratung als Entscheidungs- oder Handlungsgrundlage dienen.