IT-Sicherheit: Alte Gefahren, neue Sorgen
Das erhöhte Risiko staatlich gesponserter Angriffe von Cyberkriminellen, Environmental-, Social- und Governance-Anforderungen (ESG) und der Mangel an Cybersicherheitsexperten bereiten Firmenlenkern schlaflose Nächte. Doch es gibt Möglichkeiten, sich zu wehren.
Am Freitag, dem 13., um sieben Uhr stand bei dem deutschen Modelabel Marc O’Polo plötzlich alles still. Telefone blieben stumm, die E-Mail funktionierte nicht mehr, die Scanner und Kassensysteme in den Läden des Labels waren tot. Durch einen Hacker-Angriff waren die IT-Systeme der Modekette verschlüsselt. Es wurde Lösegeld verlangt. Die Modefirma zahlte vor drei Jahren den Betrag. Es dauerte trotzdem knapp vier Wochen, bis der Normalbetrieb wiederhergestellt war.
Ein neuer Trend: Mehr Doppel- und Dreifacherpressungen
Marc O’Polo steht in einer Reihe vieler kleiner und grosser Firmen, die bereits Opfer einer sogenannten Ransomware-Attacke geworden sind. Aktuell stellen diese Angriffe mit System- und Datenverschlüsselung und Lösegeldforderungen eines der grössten Cyberrisiken für Unternehmen weltweit dar. Laut dem aktuellen Cyber-Report der Allianz Global Corporate & Specialty (AGCS) gab es im Jahr 2021 weltweit einen Rekord von 623 Millionen Ransomware-Angriffen, doppelt so viele wie im Jahr 2020. Obwohl die Häufigkeit in der ersten Jahreshälfte 2022 weltweit um 23 % zurückgegangen ist, übersteigt die Gesamtzahl der Ransomware-Angriffe im bisherigen Jahresverlauf immer noch die der Jahre 2017, 2018 und 2019: In Europa sind die Angriffe in diesem Zeitraum sogar stark angestiegen. Es wird prognostiziert, dass Ransomware bis Ende 2023 weltweit Schäden in Höhe von 30 Milliarden US-Dollar verursachen wird. Aus Sicht der AGCS machte der Wert von Versicherungsschäden durch Ransomware, an denen das Unternehmen zusammen mit anderen Versicherern in den Jahren 2020 und 2021 beteiligt war, weit über 50 % aller Kosten für Schäden in der Cyberversicherung aus.
Die Kosten für Ransomware-Angriffe sind auch deshalb gestiegen, weil die Kriminellen grössere Unternehmen, kritische Infrastrukturen und Lieferketten ins Visier genommen haben. Ausserdem haben die Kriminellen ihre Taktik verfeinert, um mehr Geld zu erpressen. Doppel- und Dreifacherpressungsangriffe sind jetzt die Norm – neben der Verschlüsselung von Systemen werden zunehmend sensible Daten gestohlen und als Druckmittel für Erpressungsforderungen an Geschäftspartner, Lieferanten oder Kunden verwendet.
Zunahme von Deep-Fake-Taktiken
Die Schwere der Ransomware-Angriffe wird eine Hauptbedrohung für Unternehmen bleiben, angeheizt durch die zunehmende Raffinesse der Banden und auch die steigende Inflation, die sich in den erhöhten Kosten für IT- Sicherheitsspezialisten niederschlägt. Zudem werden auch kleinere und mittelgrosse Unternehmen, denen es oft an Ressourcen für Investitionen in die Cybersicherheit mangelt, ebenfalls zunehmend ins Visier von Ransomware-Banden geraten. Diese setzen eine breite Palette von Erpressungstechniken ein, stimmen ihre Lösegeldforderungen auf bestimmte Unternehmen ab und setzen erfahrene Verhandlungsführer ein, um den Gewinn der kriminellen Aktivitäten zu maximieren.
Im Cyber-Bericht hat sich eine Reihe weiterer Bedrohungen herausgestellt, auf die sich Schweizer Unternehmen vorbereiten sollten. So nimmt die Betrugsmasche Business E-Mail Compromise (BEC) weiter zu. Begünstigt wird dies durch die zunehmende Digitalisierung und Verfügbarkeit von Daten, die Verlagerung von Arbeitsplätzen ins Homeoffice und durch die Verbreitung von Deep-Fake-Technologien. Nach Angaben des FBI belaufen sich BEC-Betrügereien von 2016 bis 2021 weltweit auf insgesamt 43 Milliarden US-Dollar, wobei die Zahl der Betrügereien allein zwischen Juli 2019 und Dezember 2021 um 65 % anstieg. Die Angriffe werden immer raffinierter und gezielter, da die Kriminellen nun virtuelle Meeting-Plattformen nutzen, um Mitarbeiter zur Überweisung von Geldern oder zur Weitergabe vertraulicher Informationen zu bewegen. Zunehmend werden diese Angriffe durch künstliche Intelligenz ermöglicht, die über Deep-Fake-Audio oder -Video leitende Angestellte täuschend echt imitiert. Letztes Jahr überwies ein Bankangestellter aus den Vereinigten Arabischen Emiraten 35 Millionen Dollar, nachdem er von der geklonten Stimme eines Unternehmensleiters getäuscht worden war.
Auswirkungen des Themas Krieg auf die Versicherungen
Auch der Krieg in der Ukraine und die allgemeinen geopolitischen Spannungen sind ein wichtiger Faktor, der die Cyberbedrohungslandschaft verändert: Das Risiko von Spionage, Sabotage und Cyberangriffen gegen Unternehmen mit Verbindungen zu Russland und der Ukraine sowie zu Verbündeten und Unternehmen in Nachbarländern ist erhöht. Staatlich unterstützte Cyberangriffe könnten sich gegen kritische Infrastrukturen, Lieferketten oder Unternehmen richten. Bislang hat der Krieg zwischen Russland und der Ukraine noch nicht zu einem nennenswerten Anstieg der Ansprüche aus Cyberversicherungen geführt, aber er deutet auf ein potenziell erhöhtes Risiko durch Nationalstaaten hin. Obwohl Kriegshandlungen in der Regel von traditionellen Versicherungsprodukten ausgeschlossen sind, hat das Risiko eines hybriden Cyberkriegs die Bemühungen auf dem Versicherungsmarkt beschleunigt, das Thema Krieg und staatlich unterstützte Cyberangriffe in den Versicherungsverträgen zu präzisieren und den Kunden Klarheit über den Versicherungsschutz zu verschaffen.
Weniger Fachkräfte bei IT-Sicherheitskonzepten
Grosse Sorgen bereitet ausserdem, dass der Mangel an Fachkräften die Bemühungen um die Verbesserung der Cybersicherheit behindert. Obwohl das Bewusstsein im Management wächst, ist die Zahl der unbesetzten Stellen im Bereich Cybersicherheit in den letzten acht Jahren weltweit um 350 % auf 3,5 Millionen gestiegen, wie Schätzungen zeigen. Dies ist auch deshalb bedenklich, weil gleichzeitig Cybersicherheit zunehmend durch die ESG-Brille betrachtet wird: Heute interessiert das Niveau der Cybersicherheit von Unternehmen weitaus mehr Interessengruppen als in der Vergangenheit. Cybersicherheitsaspekte werden zunehmend in die ESG-Risikoanalyse von Datenanbietern einbezogen. Es war noch nie so wichtig wie heute, sicherzustellen, dass Richtlinien und Prozesse zur Cybersicherheit vorhanden und auch auf Vorstandsebene verankert sind.
Sind Unternehmen deshalb den Hackern machtlos ausgeliefert? Sicherlich nicht! Wir können bestätigen, dass Unternehmen mit einem hohen Niveau von IT-Sicherheit und einer gut funktionieren Cyberabwehr zwar ebenfalls Opfer von Angriffen werden, diese aber wesentlich besser abwehren können und schnell wieder in den Normalbetrieb zurückkehr. Als Cyberversicherer erleben wir heute eine ganz andere Diskussion über Cyberrisiken und Schutzkonzepte als noch vor einigen Jahren. Wir erhalten über Fragebogen und Risikodialoge viel bessere Einblicke und wissen es zu schätzen, dass die Kunden mit hohem Aufwand daran arbeiten, uns umfassende Informationen zur Verfügung zu stellen. Dies hilft uns umgekehrt dabei, nützliche Hinweise und Empfehlungen zu geben, z.B. welche Kontrollen am effektivsten sind oder wo das Risikomanagement weiter verbessert werden kann. Das Ergebnis dürfte sein, dass Unternehmen weniger – oder zumindest weniger schwerwiegende – Cyberereignisse erleiden – und wir infolge weniger Versicherungsschäden sehen. Eine solche Zusammenarbeit wird dazu beitragen, einen langfristig tragfähigen Versicherungsmarkt zu schaffen, der sich nicht nur auf traditionelle Deckungen stützt, sondern auch zunehmend Cyberrisiken in firmeneigene Versicherungen firmeneigener Risiken und Selbsthehalte sowie andere alternative Risikotransferkonzepte integriert.
