Anlässlich der it-sa 2022, sprach »manage it« mit den Cyberrisiko-Spezialisten von Dyrisk. Sven Sigel, COO stand uns Rede und Antwort über sein Unternehmen, die Dynamic-Cyber-Risk-Intelligence-Software sowie die Situation des deutschen Mittelstands.
Wie kam Ihnen die Idee zu Ihrem Unternehmen?
Unser CTO Alexander Slepitschka und ich hatten die Idee bei unserem ehemaligen Arbeitgeber, nachdem wir festgestellt hatten, dass es in der Branche bislang noch keine Lösung für das Problem der Bewertung von Cyberrisiken gab. Mit unserem Produkt konzentrieren wir uns auf den deutschen Mittelstand, der zumeist in diesem Bereich noch mit Excel-Tabelle agiert. Dyrisk steht dann auch für Dynamic Risk. Wir sind im November 2021 gestartet und unser Hauptsitz ist München. Wir sind eine 100-prozentige Tochter der Munich RE.
Sven Sigel,
Cyberrisiko-Spezialist
von Dyrisk
Was bieten Sie Unternehmen an?
Wir haben eine Dynamic-Cyber-Risk-Intelligence-Software zur Analyse von Cyberrisiken entwickelt, da werden verschiedene Expertensysteme wie Netzwerk-Firewalls angebunden. Die Daten dieser Systeme werden normalisiert, standardisiert und gehen dann in ein dynamisches Risikomodell ein. Wir zeigen anhand von methodischem Wissen Schadenserwartungswerte auf und was das für die Unternehmen bedeutet. Danach helfen wir ihnen an den richtigen Stellen anzusetzen und zu investieren. Es geht darum den Unternehmen aufzuzeigen, dass sie mit dem wenigen Geld was sie haben zum richtigen Zeitpunkt das Richtige tun. Wir fangen da bei Unternehmen mit mehr als 500 Mitarbeitern an.
Worum geht es bei Dynamic Cyber Risk Intelligence?
Dahinter steckt ein Dreistufenkonzept. Eine Kombination aus intelligenter Analyse- und Bewertungssoftware, Experten-Know-how und Umsetzungsunterstützung durch das Dyrisk Partnernetzwerk. Im ersten Schritt geht es um eine kontinuierliche Analyse der Schwachstellen, Bedrohungen, Assets und deren Auswirkungen. Danach erfolgt eine technologische Analyse und dann werden softwaregestützte Empfehlungen zusammen mit den Verantwortlichen im Unternehmen ausgerollt. Oft werden hier auch externe Partner hinzugezogen, beispielsweise wenn beim Unternehmen die Fachexperten fehlen. Die Ergebnisse helfen den Unternehmen das Cyberrisiko zu verringern und der Geschäftsführung ein besseres Verständnis zu geben, damit hier wiederum der Risikoappetit definiert werden kann. In bisherigen Projekten hat dies sogar dazu geführt, dass wir mit den Verantwortlichen einen Notfallplan erarbeitet haben.
Bei mittelständischen Unternehmen muss zunächst immer erst ein Cyber-Sicherheitsvorfall vorliegen, bevor Investments in IT-Sicherheit getätigt werden, deckt sich das mit Ihren Erfahrungswerten?
Ja, das deckt sich. Vielfach fehlt das Wissen, wo muss ich eigentlich zuerst ansetzen und was hilft mir wirklich. Der Fachkräftemangel sorgt hier für ein grundlegendes Problem. Mit Assessments zur Ermittlung der Schadenserwartungswerte können wir Orientierung geben, an welcher Stelle die Verantwortlichen beginnen müssen und mit welchen Investments sie rechnen müssen.
Was sind aktuell die größten Cyberbedrohungen? Ist es Phishing und ist KRITIS hier am meisten betroffen?
Hier hat sich seit der Corona-Pandemie etwas verschoben, dies können wir feststellen. Mittelständische Unternehmen haben nun vor allem das Problem, dass die Idee ihre Risiken über Cyberversicherungspolicen abzusichern nicht mehr funktioniert. Viele Versicherungen erwarten nun, dass Unternehmen bereits wissen, wo ihre größten Cyberrisiken liegen und das bereits grundlegende Maßnahmen ergriffen wurden. Dies hat sich elementar gewandelt.
Wie bieten Sie ihre Lösungen an, über die Cloud oder über On-Premises?
Viele unserer Kunden sind noch On-Premises, allerdings entwickeln sich gerade viele hybride Landschaften, der Weg führt also in die Cloud, aber es wird beides weiter geben. Jeder Cloud-Anbieter hat Standards, nach denen er sich richten muss, nach diesen Standards können wir ebenfalls arbeiten. Unsere Software kann beide Welten bedienen.
Was ist ihr USP?
Wir haben eine Software entwickelt, die kontinuierlich und datengetrieben Risiken erfasst. Wir haben ein Modell, dass auf der Erfahrung von Versicherungsmathematikern und Risikoexperten fußt und zum deutschen Mittelstand passt. Wir haben den Vorteil, dass wir, weil wir von einem Rückversicherer kommen, auf Erfahrungen zurückgreifen können. Darüber hinaus haben wir ein junges Team und haben einen frischen Blick auf das Thema Cyberrisiken.
Herr Sigel, wir danken Ihnen für das Gespräch!