Fragen und Antworten zu durchgängiger Cybersicherheit mit Davison Paull und Mike Maletsky

Wir haben uns mit Davison Paull von Dashlane und Mike Maletsky von Embroker unterhalten, um alles über ihre Karriere im Bereich Cybersicherheit zu erfahren. Lesen Sie weiter, um zu sehen, wie sie in die Branche gelangt sind, welche Aha-Momente sie hatten und welche Veränderungen sie im Bereich Sicherheit und Cyberbedrohungen für Menschen und Unternehmen erwarten.

F: Wie haben Sie in der Cybersicherheits/Tech-Branche angefangen?

MM: Mein Hintergrund im Unternehmen war schon immer das Underwriting mit einem Schwerpunkt auf Management und berufliche Haftung. In den letzten sechs Jahren saß ich an der Schnittstelle zwischen Technologie und dem Underwriting solcher Versicherungslinien über digitale Produkte und Plattformen. Dass ich Anfang 2022 bei einem Anbieter von Versicherungstechnologie wie Embroker eingestiegen bin, war ein natürlicher Schritt, um mich stärker auf den technischen Aspekt von Insurtech zu konzentrieren.

DP: Meine ganze juristische Karriere habe ich im übergeordneten Technologiebereich verbracht. Mit Cybersicherheit beschäftigte ich mich ernsthaft aber erst seit meinem Einstieg bei Dashlane 2018. Man kann keine effektive Rechtsberatung anbieten, ohne das Geschäft sein er Klienten genau zu kennen. Also begann ich, mich genauer damit zu beschäftigen. Ich muss sagen, dass ich Technologie zum Teil schon magisch finde.  

F: Was war ein wichtiger Aha-Moment, den Sie persönlich oder beruflich in Bezug auf Cybersicherheit hatten?

MM: Mein Aha-Moment bestand darin zu erkennen, dass Sensibilisierung das wichtigste Tool ist, das einem Unternehmen zur Verfügung steht. Manche Verletzungen der Cybersicherheit sind wie Kinofilme, in denen ein Schurke „den Großrechner hackt“. Die meisten Verletzungen sind aber darauf zurückzuführen, dass Mitarbeiter vielleicht nur eine Sekunde lang nicht richtig aufgepasst haben. Ein kürzlich veröffentlichter Bericht meines Arbeitgebers Embroker kam zu dem Schluss, dass im Jahr 2022 50 % der befragten Unternehmer der Meinung waren, dass ihre Versicherungspolicen sie im Falle einer Verletzung nicht ausreichend abdecken würden. Im Jahr zuvor lag dieser Wert noch bei 27 %. 

Die Sorgen nehmen also zu. Außerdem ist die Fähigkeit von Mitarbeitern, E-Mails oder andere Risikovektoren mit einer Cybersicherheitsbrille oder den Augen eines Underwriters zu betrachten, der bestmögliche Schutz, den ein Unternehmen haben kann.

DP: Zu verstehen, dass man ohne das Risiko von Verlusten nicht sicher sein kann. Damit meine ich Folgendes: Wenn Benutzer die einzigen Personen sind, die in einem System wie z. B. einem Passwort-Manager auf ihre Daten zuzugreifen können (sei es über Biometriefunktionen, ein Master-Passwort oder eine andere Weise), ist das deutlich sicherer als ein System, in dem es eine „Hintertür“ oder andere Mittel gibt, mit denen andere Personen die entsprechenden Daten wiederherstellen können, wenn die Anmeldedaten des Benutzers verloren gehen. Andererseits gibt es viele Situationen, in denen das betriebliche Risiko eines Datenverlusts die Notwendigkeit maximaler technischer Sicherheit überwiegt. Ein ausgewogenes Verhältnis zwischen den beiden Anforderungen ist für ein effektives Cybersicherheitsprodukt von entscheidender Bedeutung. 

F: Welche Fragen werden Ihnen in Ihrer Rolle in Bezug auf Cybersicherheit immer wieder gestellt wird?

MM: Ist das von der Police abgedeckt? Das ist die häufigste Frage, die mir gestellt wird, wenn es um Versicherungen im Allgemeinen geht. Die Antwort lautet meist: Es hängt davon ab. Sie müssen die fünf W-Fragen stellen (was, wann, wo, wer und warum) und dann die spezifische Situation mit den allgemeinen Bedingungen der Police vergleichen, was sehr verwirrend sein kann. Gab es eine Verletzung in Ihrem System oder im System eines Anbieters, den Sie verwenden? Kam es durch einen Fehler von Ihnen bzw. von Ihrem Anbieter zu der Verletzung? Bei diesen Fragen kommen Versicherungsexperten wie ich und InsurTech-Anbieter wie Embroker ins Spiel. Wir helfen Ihnen, die Schwachstellen Ihres Unternehmens zu bewerten und eine Richtlinie zu erstellen, die zu Ihren heutigen und zukünftigen Anforderungen passt.

DP: Wie funktioniert Zero Knowledge? Wie kann es sein, dass ein Unternehmen, das meine Passwörter speichert, sie niemals sehen kann? Ich muss dazu sagen, dass ich das in meiner Eigenschaft als Anwalt selten direkt gefragt werde. Dieser Aspekt ist aber oft grundlegend für die Fragen, die unsere Klienten und Benutzer stellen. Ich verbringe viel Zeit damit, zu erklären, wie diese Architektur viele der Positionen untermauert, die wir in unseren Verträgen einnehmen. 

F: Was ist die alarmierendste Statistik, die Sie kennen und die dafür sorgen sollte, dass sich Menschen in Zukunft mehr um Cybersicherheit kümmern?

MM: In einer Umfrage von Embroker zu Cyberrisiken 2022 haben wir ermittelt, dass 68 % der befragten Gründer bereits einen Cyberangriff auf eines ihrer Unternehmen erlebt hatten. Interessanterweise meinten jedoch 50 % der Befragten, dass ihre vorhandenen Versicherungspolicen sie im Fall eines Angriffs oder einer Verletzung nur teilweise abdecken würden. Diese Ergebnisse zeigen, wie schnell sich Technologie wandelt und wie wichtig Schutz durch durchgängige Cybersicherheit ist. Eine Versicherung allein wird nicht alle Ihre Probleme lösen. Das gilt genauso für Cybersicherheitstools und -technologien. Die beiden Elemente müssen zusammenarbeiten, um alle Cyberrisikovektoren von Unternehmen aller Größen abzudecken.

DP: Dass es zu den meisten Sicherheitsverletzungen in Unternehmen kommt, weil ein schwaches Passwort einer einzelnen Person ausgenutzt wird. Angesichts der verteilten Natur von Arbeits- und Betriebsinfrastruktur (überlegen Sie, wie viele SaaS-Tools Ihr Unternehmen nutzt) gibt es in den meisten Unternehmen im herkömmlichen Sinne von IT-Hardware-Sicherheit keinen echten Perimeter mehr. Jede Schnittstelle von Benutzern mit einem Tool stellt ein Risiko dar. Die kosteneffektivste Methode zur Begrenzung dieses Risikos besteht darin, jede Schnittstelle zu schützen, indem dafür gesorgt wird, dass Anmeldedaten einzigartig, stark und geschützt sind.

F: Wie versuchen Sie, den Bereich Cybersicherheit zu „entmystifizieren“?

MM: Cyberrisiken werden oft missverstanden. Wie viele andere beunruhigende Dinge in unserer heutigen Welt kann man die Risiken leicht vergessen, da sie weitgehend außer Sicht sind. Bis Ihnen oder Ihrem Unternehmen etwas passiert, lässt es sich vielleicht schwer rechtfertigen, sich die Zeit zu nehmen, um zu erfahren, wie riskant die digitale Welt sein kann. Mein Team bei Embroker arbeitet mit unseren Klienten und der Geschäftswelt zusammen, um ihre Gefühle bezüglich Cybersicherheit (oder deren Abwesenheit) zu verstehen und Ressourcen bereitzustellen, die ihnen helfen. Wir erstellen Berichte, entwickeln Umfragen, arbeiten mit tollen Unternehmen wie Dashlane zusammen und machen unsere Daten so transparent wie möglich, um die Geschäftswelt so gut wie möglich über die Risiken und Chancen digitaler Umgebungen zu informieren.

DP: Ich glaube sehr, dass wir Dinge einfach und verständlich erklären müssen. Ich schätze das selbst sehr, da ich Menschen brauche, die mir technische Details so erklären können, dass ich sie passend in Verträge übersetzen kann. Ich bin inzwischen gut darin, technische Ausdrücke zu hören und dann in klare, verständliche Sprache zu übersetzen. Zudem versuche ich dafür zu sorgen, dass ich die wichtigen Teile in meinen Verträgen wiedergebe, ohne sie zurück in juristische Sprache zu übersetzen. Ich mag Fachsprache gar nicht. Das verändert zwar die Welt nicht, macht es aber viel einfacher zu erklären, warum wir unsere vertraglichen Positionen einnehmen, wenn die verwendete Sprache nicht überfordert.

F: Gibt es dieses Jahr größere Veränderungen, die zeigen, dass Menschen den Bereich Cybersicherheit ernster nehmen?

MM: In letzter Zeit sind mir zwei Dinge aufgefallen.

Die US-Regierung hat dieses Jahr mehrere Schritte unternommen, die der Bedeutung des Problems Rechnung tragen. Am 1. März 2023 hat die Biden-Regierung eine National Cybersecurity Strategy veröffentlicht und damit ihr Engagement unterstrichen, das Land in der digitalen Welt zu unterstützen. Für Unternehmen und Technologieanbieter bringt diese Strategie jedoch auch ein neues Maß an Verantwortung mit sich. Die Verpflichtung hat sich von den unbeabsichtigten Handlungen einzelner Personen zu den Systemen und Technologien verlagert, die von den Unternehmen entwickelt werden, auf die wir uns beim Zugriff auf den Cyberspace verlassen. Das ist ein wichtiger Schritt, und wir werden die Folgen davon in den Bereichen Cybersicherheit und Cyberversicherungen sicher über Jahre sehen.

Die zweite, noch aktuellere Geschichte war das Urteil der SEC, nach dem Unternehmen jährlich Informationen zu Vorfällen, Risiken, Risikomanagement, Strategien und Governance rund um Cybersicherheit bereitstellen müssen. Diese Offenlegungsregeln, die Licht auf oft versteckte Vorfälle, von denen Kunden, Mitarbeiter und Investoren betroffen sind, werfen sollen, werden der Öffentlichkeit Einblicke in Sicherheitslücken bieten. Das soll dazu beitragen, zukünftige Angriffe besser zu verhindern und Unternehmen auf verantwortliche Weise zur Rechenschaft zu ziehen. Der Aspekt der Verantwortlichkeit steht im Zusammenhang mit der National Cybersecurity Strategy und kann Führungskräfte und Unternehmensleitungen einem größeren Haftungsrisiko aussetzen.

DP: Genau das, was Mike gesagt hat. 

F: Was inspiriert Sie bei der Arbeit in Ihrem Unternehmen aktuell am meisten?

MM: Anderen Unternehmen beim Wachstum zu helfen. Ein Unternehmen zu gründen und zu führen, kann ein beängstigendes Unterfangen sein. In Umfragen und Berichten haben wir festgestellt, dass die meisten Unternehmer sich als risikoscheu betrachten. Ich finde, es braucht aber eine Menge Mut, um ein Unternehmen zu gründen. Man muss viel Arbeit hineinstecken. Außerdem gibt es viele Risiken, die Geschäftsinhaber überblicken müssen, um Erfolg zu haben. Unsere Aufgabe bei Embroker ist es, dazu beizutragen, Unsicherheit hinsichtlich der Aspekte, die Unternehmen einfach nicht vermeiden können, aus dem Weg zu räumen. Angst ist eine starke Kraft, und wir geben Unternehmern das Vertrauen, große Dinge zu tun.

DP: Dieser Bereich ist interessant, wichtig und verändert sich schnell. Mit vielen inspirierenden, engagierten Mitarbeitern an einer wichtigen Aufgabe zu arbeiten, ist sehr belebend. Mir wird es nie langweilig.