Zwar führen externe Angriffe auf Unternehmen zu den teuersten Cyberversicherungsschäden. Fehler von Mitarbeitern und technische Probleme sind hingehen zahlenmäßig die häufigste Ursache für Schadenfälle in der Cyberversicherung. Zu diesem Ergebnis kommt der neue Bericht der Allianz Global Corporate & Specialty (AGCS): "Managing The Impact Of Increasing Interconnectivity – Trends In Cyber Risk". Die Studie analysiert 1.736 cyberbezogene Versicherungsansprüche im Wert von 660 Millionen EUR (770 Millionen US-Dollar), an denen AGCS und andere Versicherer zwischen 2015 und 2020 beteiligt waren.
"Schäden durch Distributed Denial of Service (DDoS) oder Phishing- und Ransomware-Angriffe machen heute einen Großteil des Schadenvolumens in der Cyberversicherung aus", sagt Catharina Richter, globale Leiterin des Allianz Cyber Kompetenzzentrums. "Aber obwohl Cyberkriminalität die Schlagzeilen beherrscht, sind es vielfach alltägliche Systemausfälle und menschliche Fehler, die Unternehmen große Probleme bereiten, selbst wenn ihre finanziellen Auswirkungen meistens nicht so gravierend sind. Arbeitgeber und Arbeitnehmer müssen deshalb zusammenarbeiten, um das Bewusstsein für diese Gefahren zu schärfen und die Cyber-Resilienz zu erhöhen."
Die Zahl der Cyberversicherungsschäden, die AGCS gemeldet wurden, ist in den letzten Jahren stetig gestiegen: von 77 im Jahr 2016 auf 809 im Jahr 2019. Im Jahr 2020 wurden der AGCS in den ersten drei Quartalen bereits 770 Schäden gemeldet. Dieser stetige Anstieg der Schadenfälle ist zum Teil auf das Wachstum des globalen Cyberversicherungsmarktes zurückzuführen, der sich nach Schätzungen von Munich Re derzeit auf 7 Milliarden US-Dollar beläuft. AGCS startete 2013 mit dem Angebot von eigenständigen Cyberversicherungen und erwirtschaftete 2019 weltweit mehr als 100 Millionen EUR an Bruttoprämieneinnahmen in diesem Segment. Zugleich verweist die Studie darauf, dass in den letzten fünf Jahren die durchschnittlichen Folgekosten durch Cyberkriminalität für betroffene Organisationen um rund 70 % auf 13 Millionen US-Dollar gestiegen ist und Sicherheitsverletzungen um rund 60 % zugenommen haben (Accenture).
Cyberschäden, die auf externe Vorfälle wie DDoS-Angriffe oder Phishing-/Malware- oder Ransomware-Kampagnen zurückzuführen sind, machen dem Bericht zufolge den Großteil der Schadensummen (85 %) aus, gefolgt von böswilligen internen Aktionen (9 %) – die zwar selten sind, aber kostspielig enden können.
Unbeabsichtigte interne Vorfälle, wie Mitarbeiterfehler bei der Erledigung der täglichen Aufgaben, IT- oder Plattformausfälle, Probleme bei der Migration von Systemen und Software oder Datenverluste verursachen mehr als die Hälfte der analysierten Cyberschadenfälle (54%) gemessen an der Zahl der Schadenmeldungen. Im Vergleich zur Cyberkriminalität – 43 % der registrierten Schadenfälle – sind ihre finanziellen Auswirkungen aber meistens begrenzt.
Betriebsunterbrechungen sind der Hauptkostentreiber für Cyberschäden und machen etwa 60 % der Schadensummen aus, an zweiter Stelle stehen Kosten für die Bewältigung von Datenpannen.
Das Umfeld für Cyberrisiken werde in Zukunft nicht einfacher werden, so die Studie. Unternehmen und Versicherer sehen sich einer Reihe von Herausforderungen gegenüber: Cyber-Betriebsunterbrechungen werden kostspieliger, Ransomware-Angriffe nehmen weiter zu, Mega-Datenlecks haben schwerwiegende Folgen aufgrund der verschärften Regulierung und mehr Gerichtsprozessen; politische Differenzen werden zunehmend im Cyberspace ausgetragen.
Auch die enorme Zunahme von Arbeiten im Home-Office aufgrund der Coronavirus-Pandemie begünstigt Cyberangriffe und schafft neue Möglichkeiten für Cyberkriminelle, Zugang zu Netzwerken und sensiblen Informationen zu erhalten. Berichte zeigen, dass Malware- und Lösegeldangriffe seit Anfang 2020 um mehr als ein Drittel zugenommen haben – darunter sind auch Covid-19-bezogene Online-Betrügereien und Phishing-Kampagnen. Gleichzeitig könnten auch die potenziellen Auswirkungen von Mitarbeiterfehlern oder technischem Versagen durch die Arbeit im Home-Office verstärkt werden.
Während die Gefährdung zunimmt, kann die Coronavirus-Krise nicht als unmittelbarer Treiber für Cyberversicherungsfälle bestimmt werden. AGCS hat einige erste Cyberschadenfälle beobachtet, die indirekt auf die Pandemie zurückzuführen sind, wie beispielsweise Ransomware-Angriffe im Remote-Working-Umfeld. Allerdings lässt sich noch kein eindeutiger Trend bestätigen.
Raffinierte Ransomware-Angriffe
Ransomware-Schadsoftware ist weiter auf dem Vormarsch und führt zu steigenden Verlusten – die Angriffe gegen Unternehmen werden immer raffinierter, die Erpressungsforderungen für die Freigabe verschlüsselter Daten oder Systeme explodieren. Im vergangenen Jahr wurden weltweit fast eine halbe Million Cybererpressungen gemeldet. Allein die Bezahlung der Lösegeldforderungen soll mindestens 6,3 Milliarden US-Dollar gekostet haben, die Gesamtkosten für die Bewältigung dieser Vorfälle addieren sich auf mehr als 100 Milliarden US-Dollar.
"Durch die zunehmende Kommerzialisierung der Cyberkriminalität sind High-End-Hacking-Tools auf breiterer Basis verfügbar. Kriminelle Softwareentwickler ‚lizensieren‘ die von ihnen entwickelte Malware an andere Angreifer, die dann in geschützte Netzwerke eindringen und die Unternehmen erpressen", sagt Jens Krickhahn, Cyberversicherungsexperte bei AGCS Zentral- und Osteuropa. Erpressungsforderungen seien jedoch nur ein Teil des Schadens. Die ganz oder teilweise Stilllegung des Betriebs verursache ebenfalls hohe Schäden – wobei die Ausfallzeiten immer länger werden – und auch die Kosten für die Wiederherstellung von Systemen und Daten könnten schnell in die Höhe schießen.
Abhängigkeiten von Online-Verkäufen und digitalen Lieferketten
"Ob durch Lösegeld, menschliches Versagen oder einen technischen Ausfall, der Verlust kritischer Systeme oder Daten kann ein Unternehmen in der heutigen digitalisierten Wirtschaft in die Knie zwingen", betont Jörg Ahrens, der bei AGCS weltweit für Haftpflichtschadenfälle verantwortlich ist. "Kann ein Unternehmen nicht auf Daten zugreifen oder fällt eine Online-Plattform aus, kann das große Verluste nach sich ziehen – insbesondere dann, wenn Unternehmen im Online-Handel aktiv sind oder digitale Lieferketten haben."
Datenschutzverletzungen und staatlich geförderte Angriffe
Die Kosten in Folge großer Datendiebstähle oder -pannen steigen mit der zunehmenden Komplexität von IT-Systemen sowie der Zunahme von Cloud- und Drittanbieterdiensten. Die Datenschutzbestimmungen, die vor kurzem in vielen Ländern verschärft wurden, sind ebenfalls ein Schlüsselfaktor, der die Kosten in die Höhe treibt, ebenso wie die wachsende Haftung gegenüber Dritten und die Aussicht auf Sammelklagen. Sogenannte Mega-Datenpannen (die mehr als eine Million kompromittierte Datensätze betreffen) verursachen aktuell Kosten von durchschnittlich 50 Millionen US-Dollar – eine Steigerung um 20% gegenüber 2019.
Auch die zunehmende Beteiligung von Nationalstaaten an Cyberangriffen gibt Anlass zur Sorge. Große Ereignisse wie landesweit stattfindende Wahlen und die Covid-19-Pandemie bieten gute Möglichkeiten für Angreifer. Laut Google mussten im Jahr 2020 pro Quartal über 11.000 staatlich gesponserte potenzielle Cyberangriffe blockiert werden. In den letzten Jahren wurden kritische Infrastruktureinrichtungen wie Häfen und Terminals sowie Öl- und Gasanlagen von Schadsoftware und Cybererpressungen heimgesucht.
Vorbereiten, üben und verhindern
Die Vorbereitung und regelmäßige Schulung von Mitarbeitern kann die Folgen von Cybervorfällen erheblich verringern, insbesondere bei Phishing und Business E-Mail Compromise. Bei Ransomware-Angriffen können sichere Daten-Backups den Schaden begrenzen. Bei der Sicherheit von Fernarbeit spielen Zugangs- und Authentifizierungs-management eine zentrale Rolle; zudem sollten Unternehmen über ausreichend Netzwerkkapazität verfügen, um bei einem Ausfall den Schaden begrenzen zu können.
Der branchenübergreifende Austausch und die Zusammenarbeit zwischen Unternehmen – wie durch die Charter of Trust – ist ebenfalls von entscheidender Bedeutung, um der in hohem Maße kommerziell organisierten Cyberkriminalität die Stirn zu bieten, gemeinsame Sicherheitsstandards zu entwickeln und die Cyber-Widerstandsfähigkeit zu verbessern.