Hackerangriffe werden immer mehr zum Problem. Alexander Bockelmann, Chief Technology Officer der Baloise-Gruppe, erklärt, was der Versicherer dagegen tut und warum die IT nun ein strategischer Erfolgsfaktor ist.
muula.ch: Herr Bockelmann, Firmen und Behörden, ja sogar die Medien, sind ständig Cyberattacken ausgesetzt. Die Baloise-Gruppe war unlängst von einem Hackerangriff betroffen. Was ist genau passiert, und was haben Sie gemacht?
Bockelmann: Wir hatten im April vergangenen Jahres die Situation, dass wir unerwünschte Besucher in unseren IT-Systemen festgestellt hatten. Über eine Mustererkennung unserer Cyberabwehr- und Monitoring-Systeme hatten wir gesehen, dass es ein auffälliges Verhalten gab.
Sofort identifizierten interne und externe Spezialisten, welche Bereiche betroffen waren, und aufgrund der frühzeitigen Erkennung konnten wir recht zügig die Einfallstore schliessen, ohne unsere IT weiträumig stilllegen zu müssen.
Betroffene haben bei einem Verdacht auf einen Cyberangriff eigentlich nur zwei Möglichkeiten. Entweder sie fahren ihre IT komplett herunter und sind weg vom Markt.
Oder sie können, wie bei uns, die betroffenen Teilbereiche isolieren und chirurgischer gegen die Cyberattacke vorgehen.
Was wollen Angreifer bei einer Schweizer Versicherungsgruppe?
Wenn die Attacken nicht politisch motiviert oder reine Wirtschaftsspionage sind, spielt die Industrie mittlerweile keine Rolle mehr. Es geht darum, wer wie einfach verwundbar ist.
Der Angriff auf Baloise ist von einer Gruppe ausgeführt worden, die innerhalb kürzester Zeit in Europa und Nordamerika erfolgreich über 30 Unternehmen der unterschiedlichsten Branchen angegriffen hat. Denen ging es darum, sich in ihrem Metier einen Namen zu machen, weil sie neu waren, und Lösegeld zu verlangen. Sie wollten quasi Trophäen sammeln.
In der Zwischenzeit ist eine professionelle kriminelle Industrie entstanden, die mit ihren Angriffen auf Profit aus ist. Früher gab es bei der IT-basierten Cyberkriminalität nur die Kompetenz, einen Rechner zu verschlüsseln. Das tat nicht wirklich weh.
Über verschiedene Entwicklungsschritte hat sich diese Industrie aber so professionalisiert, dass sehr schnell ganze Unternehmen lahmgelegt werden, und es sogar Vertriebsabteilungen sowie eine Kundenbetreuung auf Seiten der Angreifer gibt.
Wie machen die Kriminellen ihr Geld, kaum eine Firma würde doch zahlen, oder?
Ursprünglich machten Cyberkriminelle ihr Geld mit dem Verschlüsseln. Wenn Betroffene ihre Daten wieder nutzen wollten, müssten sie bezahlen.
Das ist so, als würde ich die Fahrzeugschlüssel klauen und das Auto steht noch da, aber Sie können es nicht nutzen.
Das klassische Model war, dass Betroffene zum Erhalt ihrer Autoschlüssel einen Geldbetrag gezahlt haben. Mittlerweile gibt es aber den Trend hin zur doppelten Erpressung. Die Verschlüsselung der Daten und die Veröffentlichung der Daten. Beides hat unterschiedliche Konsequenzen für das betroffene Unternehmen.
«Schwierige ethische Entscheide»
Normalerweise will man ja nicht zahlen. Jedoch sind Fälle bekannt, wo sich die Verantwortlichen anders entschieden haben.
Wenn das Geschäft in Extremsituationen vollkommen tot wäre und man die Türe komplett zusperren müsste, zahlen eben manche, um wieder betriebsfähig zu werden. Es hängen meist viele Arbeitsplätze daran.
Aber das sind schwierige ethische Entscheide, weil es zwar ein krimineller Akt ist, aber die Firmen auch Verantwortung für ihre Gesellschaften und das Personal haben. Im Zweifel müssten sie ohne eine Zahlung ihr Unternehmen liquidieren.
Können Firmen den Wettkampf um die bessere Technologie gegen Cyberkriminelle überhaupt gewinnen, ohne dass sie zahlen müssen?
Der Ansatz für Firmen lautet, einen holistischen Cyberschutz von Vorsorge über Identifikation zur Vereitelung bis hin zum Reparieren aufzubauen.
Es gibt viele Prozessschritte, die eigentlich einen Super-Gau verhindern können. Unternehmen sichern ihre Daten und Systeme stündlich, täglich, wöchentlich oder monatlich. Bei einem Verschlüsselungsangriff versuchen die Kriminellen, alle diese Sicherungen unter ihre Kontrolle zu bringen.
Es gibt dann für Betroffene keine unverschlüsselten Sicherungen mehr, falls dies Erfolg hat.
«Das Schreibrecht verwehren»
Als technologische Antwort darauf bleibt neben den Präventionsmassnahmen, zum Beispiel einen Medienbruch zwischen den Sicherungskopien herbeizuführen. Firmen müssen sie einfach separieren und Sicherungen, etwa auf Festplatten, sollten technologisch voneinander unabhängig sein.
Firmen könnten aber auch nur einen Lesezugriff auf solche Sicherungen gewähren und keine Schreibrechte. Dann haben es Angreifer schwerer, diese zu verschlüsseln.
Um Daten veröffentlichen zu können, müssen sie die Angreifer kopieren, also bewegen. Eine mögliche Gegenmassnahme wäre, das Herausschleusen von Daten zu erschweren. Unternehmen haben nämlich viele Terabyte an Daten und wenn der Transfer gar nicht oder nur sehr langsam möglich ist, würde ein Datenklau extrem lange dauern.
Was sollen Firmen also aus Ihrer Sicht konkret tun?
Ich glaube, es braucht einen holistischen Ansatz für das Problem. Es ist kein Geheimnis, dass der Grossteil der Cyberangriffe heutzutage über Phishing-Attacken erfolgen.
Die Haupteinfallstore in Firmen sind in E-Mails versteckt und nach der Eroberung eines Arbeitsplatzes verbreiten sich die Angriffe im ganzen Unternehmen. Und je mehr im Homeoffice gearbeitet wird, desto mehr technische Angriffspunkte bieten sich.
Es ist daher heutzutage nur eine Frage der Zeit, bis eine Firma oder eine Behörde angegriffen wird. Daher braucht es die Fähigkeit, solche Situationen zunächst zu verhindern, aber Angriffe auch rasch zu erkennen, zu vereiteln und letztlich zu bereinigen.
Es geht nicht mehr darum, eine Burg mit neun Meter dicken Mauern und Wassergraben sowie einer Zugbrücke als einzigen Zugang zu bauen.
«Keinen punktuellen Ansatz wählen»
Essenziell ist das Entwickeln und Pflegen einer Sicherheitskultur, die damit beginnt, dass die Belegschaft für die Problematik über Vorträge und Schulungen sensibilisiert wird. Das bieten wir auch unseren Kunden an.
Firmen dürfen keinen punktuellen Ansatz gegen Cyberkriminelle haben, sondern eine breitgefächerte Sicherheitsstrategie. Es muss immer ein ganzes Bündel an Massnahmen sein, als eine einzige Wette auf eine bestimmte Technologie zum Cyberschutz abzuschliessen.
Das Problem ist allerdings so komplex, dass es keine goldene Regel und keine absolute Sicherheit gibt.
Sie haben bereits das Bild der mittelalterlichen Burg angesprochen. Banken und Versicherer sind traditionell so aufgebaut, dass es dicke Mauern gibt und die Zugbrücke nur für den Vertrieb heruntergelassen wird. Hat sich da überhaupt etwas geändert?
Aber klar. Das System ist vollkommen umgekehrt worden. Vor der Coronavirus-Pandemie arbeiteten rund 80 Prozent innerhalb einer Firma und rund 20 Prozent ausserhalb.
Mit der Pandemie und dem Homeoffice brauchten Unternehmen quasi über Nacht solche Systeme, die von allen Wohnzimmern der Mitarbeiter aus funktionierten. Es fand ein regelrechter Paradigmenwechsel statt.
Die dicken Mauern der Burgen mussten plötzlich durchlässig sein, um überhaupt von aussen nach innen zu kommen. Da waren also Firmen im Vorteil, die, wie wir, frühzeitig auf Megatrends zur Connectivity und auf die Digitalisierung von Arbeitsplätzen gesetzt hatten.
Dabei geht es vor allem um die Skalierung des Zugangs, weil plötzlich sehr viel mehr technische Integrationen und auch Volumen von aussen auf die Organisation zukommen. Gleichzeitig müssen die Unternehmen darauf achten, dass es eine Standardisierung der Zugangspunkte gibt, damit die Komplexität nicht ausufert.
Das gleiche Thema galt aber nicht nur für die Belegschaft, sondern auch für Versicherungsvermittler, Broker und für alle unsere externen Partner, wie den TCS oder die Grossbank UBS.
Mit Externen wollen Versicherer ja nicht bloss Daten austauschen, sondern ganze Services anbieten. Das ist heutzutage ebenfalls alles viel integrierter.
Sagen Sie das nicht bloss, um ihren Verantwortungsbereich eine grössere Bedeutung zu geben?
Nein. Früher war die IT ein Mittel zum Zweck. Die Systeme gab es, um das Arbeitsumfeld intern zu verbessern.
Bei Banken und Versicherern, wo es um virtuelle Geschäftsprodukte geht, ist die IT sogar von einer Support-Funktion zu einer businesskritischen Komponente geworden. Diese Dynamik ist aber in vielen Branchen festzustellen.
Früher hat der IT-Chef an den CFO berichtet und die IT war ein Kostenfaktor. Heutzutage ist die Technologie ein Businessfaktor, genau wie die Mitarbeitenden, der Standort oder wie die Lieferkette.
Eine erfolgreiche IT sichert das Geschäft von heute und morgen. Daher gibt es einen Trend, die Rolle der IT in den Geschäfts- und Konzernleitungen zu verankern, wie wir das bei Baloise auch gemacht haben.
.
Dabei spielt aber noch ein anderer Aspekt eine Rolle. Spätestens seit der Coronavirus-Pandemie arbeiten die Teams viel eigenverantwortlicher und viel vernetzter.
Das ist End-to-End und alles IT-getrieben. Selbst mit externen Partnern gibt es das crossfunktionale Arbeiten. Dies wird durch moderne Kollaborationslösungen ermöglicht.
Die IT ist keine Abteilung mehr, sondern eine Fähigkeit des Business. Wenn man die funktionalen Teams verzahnt und diese agil zusammenarbeiten, also die ganzen Organisationen verschmolzen werden, braucht es diese Integration auch in der Führung.
Hat das auch Auswirkungen auf die technische Architektur?
Selbstverständlich. Wir bieten aus der Konzernzentrale von Baloise die gruppenweiten Services an. Dies umfasst zahlreiche Infrastruktur- aber auch Applikationsdienste.
So haben wir zentral während der Pandemie etwa Videoplattformen für den Vertrieb sehr schnell allen Ländergesellschaften zur Verfügung gestellt. Auch das Thema digitale Unterschrift wurde von Basel aus angegangen.
Die Banken hatten bei der automatischen Identifizierung von Kunden eine Vorreiterrolle gespielt, was die Versicherer dabei direkt nutzen konnten. Das brauchte nicht jede Tochterfirma selbst zu entwickeln, sondern stellt die Zentrale für alle zur Verfügung.
Dezentral betreuen wir dagegen sämtliche kundennahen, also vertriebsnahen Systeme. Die Ländergesellschaften sind viel näher am jeweiligen Markt und das Geschäft ist ohnehin sehr lokal.
Seit dem Ende der Corona-Pandemie haben die physischen Kundenkontakte, also die Interaktionen mit den Kunden, wieder deutlich zugenommen. Dies muss also auch wirklich lokal organisiert sein.
Und wandern die Systeme nicht alle in die Cloud?
Generell sieht man eine technologische Entwicklung von dezentralen Rechenzentren hin zu modernen, grossen Cloud-Anbietern, die Plattform- und Infrastruktur-Services wie das Computing und Storage anbieten.
Wir fahren dabei aber eine hybride Strategie. Baloise will ein zentralisiertes, eigenes Rechenzentrum haben, eine sogenannte Public Cloud. Das geschieht aus Sicherheitsgründen für IT-Lösungen, die wir nicht in die Public Cloud packen können oder wollen, wie etwa aus technischen Gründen beziehungsweise wegen der Systemperformance.
Allerdings gehen wir auch direkt in die Public Cloud und beziehen Systeme als Service, weil diese Plattformen leichter skalierbar und nutzbar sind.
Baloise braucht etwa für Projekte oder während der Quartalsabschlüsse unterschiedliche Kapazitäten, die damit passgenau bereitgestellt werden können. Wir brauchen die Systeme dann auf der operativen Ebene nicht mehr zu betreuen und haben oft verbesserte Security-Situation, weil die Daten beispielsweise innerhalb der Cloud schon End-to-End verschlüsselt sind.
«Gesamtsicht unbedingt behalten»
Software-Anbieter gehen aber auch vermehrt dazu über, ihre Programme nur noch cloudbasiert am Markt anzubieten, wodurch mehr Business-Fähigkeiten in die Cloud wandern.
Aber wir wollen bei der ganzen Architektur die Kompetenzen haben, um die Steuerung in den eigenen Händen zu behalten. Die Verantwortung liegt weiterhin komplett bei uns, auch wenn wir einzelne Systeme extern geben. Die Gesamtsicht und Gesamtsteuerung bleiben bei uns.
Die Steuerung von diesen neuen IT-Betriebsmodellen ist übrigens eine neue Kompetenz, die Firmen heutzutage haben müssen. Bei Versicherern kommt diese Kernkompetenz zum Vertrieb, der Kapitalanlage oder etwa zum Managen von Partnerschaften hinzu.
Was bereitet Ihnen denn Kopfschmerzen, es kann ja nicht alles top laufen?
Eine Herausforderung haben wir beispielsweise in Belgien, wo Baloise binnen kürzester Zeit vier Unternehmen hinzukaufte. Da wurde zwar die Marktposition deutlich gestärkt, aber die Integration ist komplex.
Für die Konsolidierung der IT spielt es eine Rolle, dass die Gesellschaften in unterschiedlichen technologischen Zyklen sind. Das macht die Aufgabe komplexer.
Solche unterschiedlichen Level an Entwicklungsstadien erfordern auch innerhalb der Gruppe viel Koordination. Wir müssen ständig eine Balance finden, wie viel Komplexität wir noch in das Aufräumen stecken und wie viel Neuerungen die Organisationen vertragen.
Die Baloise hat gerade die ganze Gruppe auf eine Marke ausgerichtet. Gab es da Überraschungen auf technischer Seite?
Das Rebranding war eine gute Sache, weil es der Gruppe als Ganzes einen Schub gegeben hat. Die Firmenkultur hat quasi einen Boost erhalten.
Von technischer Seite gab es keine grösseren Schwierigkeiten. Interessant war aber, dass mit der Umstellung aller E-Mail-Adressen auch die Zugangsberechtigungen der Mitarbeitenden innerhalb der ganzen Systeme noch vollständig funktionieren mussten.
Dies hat letztlich auch prima geklappt, war aber ein überraschender Punkt.
Die ganze Welt spricht von künstlicher Intelligenz. Was gibt es da im Versicherungsbereich? Und um das Thema Insurtech ist es ruhig geworden? Wirklich disruptiv scheint nichts bei der Assekuranz zu sein, oder?
Versicherer haben häufig nicht die Innovationskraft und die finanziellen Mittel, um die Branche in völlig neue Zeitalter zu katapultieren. Dies läuft eher evolutionär.
Da haben Insurtechs aber durchaus spezialisierte Lösungen für viele Bereiche hervorgebracht und sind weniger in Konkurrenz als in Partnerschaft mit klassischen Versicherern.
Diese Start-ups sind aber notgedrungen in Nischen unterwegs und mittlerweile schauen die Geldgeber auch mehr auf die Profitabilität. Es stimmt, da ist aber nichts disruptiv, wie bei Uber oder Airbnb, was allerdings auch daran liegen mag, dass Versicherungen erst noch auf dem Weg sind, einfacher zu werden.
«Die KI erkennt Muster»
Was die Künstliche Intelligenz KI angeht, so gibt es durchaus aber schon sehr viele Einsatzgebiete.
KI-Tools nutzen wir beispielsweise schon bei der IT-Sicherheit, um bestimmte Muster zu erkennen und gegebenenfalls Alarm zu schlagen. Also wenn sich etwa ein Rechner plötzlich nach China verbindet oder ein Computer etwas macht, was er in den vergangenen sechs Monaten nicht gemacht hat, wollen wir von der KI informiert werden.
Genau bei solchen Situationen braucht es aber maschinelles Lernen aus Fehlern und die Fähigkeit zu wissen, was konkret zu schützen ist. KI hilft also direkt beim Erkennen von Cyberangriffen.
Letztlich braucht es die IT aber genau dafür als strategischen Businessfaktor.
Herr Bockelmann, wir danken für das Gespräch.
__________________________________
Zur Person: Alexander Bockelmann (Jg. 1974) ist promovierter Geowissenschafter.
Nach seiner Tätigkeit in der strategischen Unternehmensberatung Boston Consulting Group arbeitete er für die Allianz-Gruppe sowie für die österreichische Uniqa.
Seit Februar 2019 verantwortet der Experte für Digitalisierung und Transformationsthemen als Chief Technology Officer die Gruppen-IT beim Versicherungskonzern Baloise.
Der Deutsche ist verheiratet und hat eine Tochter.
16.06.2023/kut.
