Cyber-Angriffe werden immer komplexer, raffinierter und häufiger. Sie kosten die Weltwirtschaft derzeit fast $ 400 Mrd. pro Jahr. Und jährlich fallen mehr als 550 Mio. Menschen Cyber-Verbrechen zum Opfer - das sind 18 Personen pro Sekunde.
Der stetige Anstieg dieser Zahlen unterstreicht, wie stark die Informationstechnologie heutzutage im Zentrum der Wertschöpfungskette eines jeden Unternehmens verankert ist. Die Grösse der Unternehmen an sich spielt dabei keine Rolle.
Umgang mit neuen Risiken
Das moderne, digitalisierte Geschäft ist zunehmend Cyber-Angriffen, Verstössen gegen das Privatgeheimnis und Verletzungen des Datenschutzes ausgesetzt. Damit müssen sich Unternehmen mit neuen Risiken für Eigen- und Drittschadenhaftpflicht, Betriebsunterbrechung, aufsichtsrechtlichen Konsequenzen und Reputationsschäden auseinandersetzen müssen.
Die Branchen, die am häufigsten zur Zielscheibe für Netzkriminalität werden, sind die Fertigungsindustrie, die Finanzdienstleistungsbranche, Behörden und Energieunternehmen. Allerdings sind generell alle Sparten gefährdet. Betroffen sind zunehmend kleinere Unternehmen, denn ihre IT-Sicherheitsvorkehrungen sind oft schwächer. Zudem bedeuten sie als Zulieferer für grössere Konzerne einen einfachen Zugang zu deren Systemen. Während Angriffe früher vor allem von unabhängigen Hackern kamen, hat man es heute immer häufiger mit organisierter Kriminalität und Wirtschaftsspionage zu tun.
Ausserdem kann man feststellen, dass sich die Qualität der Angreifer und der Angriffe im Laufe der Zeit verändert hat: Traten früher meist unabhängige Hacker auf, hat man es heute immer häufiger mit organisierter Kriminalität und Wirtschaftsspionage zu tun. Es geht nunmehr um gezielte Angriffe und Datenklau, nicht mehr nur darum «Rauschen im Netz» zu produzieren. Zudem haben Hacker wenig Respekt vor den einstigen geografischen Grenzen.
Auswirkung einer einstündigen Betriebsunterbrechung
Globale Schäden in Höhe von USD 388 Mrd. führen nur allzu deutlich vor Augen, dass Netzwerkausfälle, Verluste von Daten, Einnahmen und geistigem Eigentum durch Cyber-Angriffe für die betroffenen Firmen ernsthafte finanzielle Konsequenzen haben. So kann laut AGCS beispielsweise eine einstündige Betriebsunterbrechung zu einem finanziellen Schaden von EUR 100.000 bis hin zu EUR 3 Mio. führen - je nach Grösse des betroffenen Unternehmens und dem Grad, zu dem kritische Geschäftsanwendungen in Mitleidenschaft gezogen wurden.
Kaspersky Lab geht davon aus, dass Grossunternehmen infolge von Cyber-Kriminalität durchschnittlich Schäden in Höhe von USD 649.000 erleiden. In Europa liegt der Betrag bei USD 627.000 Bei Firmen in Nordamerika steigt er auf USD 818.000.
Bewusstsein ausserhalb von Amerika nimmt rasch zu
Bisher machen Cyber-Attacken in den USA den grössten Teil der Schadenaktivitäten aus. Allerdings ist hinsichtlich der Kaspersky-Studie auch interessant, dass die höchsten durchschnittlichen Schäden durch Netzangriffe von kleinen und mittelständischen Unternehmen in Asien/Pazifikraum verzeichnet werden - und USD 96.000 betragen, gefolgt von Europa mit USD 55.000. Das Bewusstsein für diese Gefahr steigt auch in Europa stetig an. Einige hoch mediatisierte Angriffe haben die Themen Netz- und Datensicherheit zweifellos noch weiter in den Vordergrund gerückt.
Aus einer anderen Studie der Symantec Corporation geht hervor, dass gezielte Cyber Angriffe letztes Jahr um 42% gestiegen sind. Daher erstaunt es nicht, dass Cyber-Risiken einen immer höheren Stellenwert einnehmen. 2012 wurden allein in Deutschland 60.000 Internetstraftaten registriert (BKA); jedoch gehen Experten davon aus, dass nur einer von 1.000 Cyber-crime-Fällen überhaupt aktenkundig wird. Die Vereinigung der Bayerischen Wirtschaft schätzt den Schaden durch Internetkriminalität auf jährlich EUR 50 Mrd. für die deutsche Wirtschaft.
Computerbetrug häufigstes e-Crime-Delikt in der Schweiz
In Sachen Cyber Crime steht die Schweiz ihren beiden deutschsprachigen Nachbarn in nichts nach: Gemäss einer KPMG-Studie ist circa ein Viertel aller in der Schweiz angesiedelten Unternehmen in den vergangenen zwei Jahren einem Cyber-Angriff zum Opfer gefallen.
2012 gingen bei der KOBIK (der Schweizerischen Koordinationsstelle zur Bekämpfung der Internetkriminalität) 6.639 Meldungen zu e-Crime ein. Die durchschnittliche Schadenhöhe betrug dabei EUR 1.6 Millionen, wobei der höchste Schaden durch Datendiebstahl verursacht wurde.
In Deutschland wie in der Schweiz stellt Computerbetrug das häufigste e-Crime-Delikt dar. Laut KPMG-Studie sind überwiegend folgende Branchen betroffen: Finanzdienstleister, Medien und Verlage, Energie, allgemeine Dienstleistungen, Transport & Verkehr, Elektronik und Software.
Trotz dieser alarmierenden Zahlen muss sich das Bewusstsein für IT-Risiken in der Schweiz noch schärfen. Zwar erwarten 71% der Schweizer Unternehmen, dass das Risiko für e-Crime in den nächsten zwei Jahren steigen wird, doch schätzt nur knapp ein Drittel der Befragten das Risiko hoch bis sehr hoch ein, mit dem eigenen Unternehmen betroffen zu werden. Ein Bewusstsein für e-Crime ist zwar vorhanden, doch offenbar wähnen sich viele Unternehmen noch in Sicherheit.
Lückenfreie IT-Sicherheit wird es nie geben
Allerdings sollte das allgemein wachsende Bewusstsein für die Bedrohung durch Cyber-Angriffe nicht von der Tatsache ablenken, dass das Verständnis für IT-Sicherheit in vielen Fällen noch unterentwickelt ist. Dabei treten Daten- oder Systemausfälle häufig auf. Und die Wiederherstellung ist keine kleine Angelegenheit für Unternehmen.
Phishing-Filter und Anti-Virus-Produkte können Unternehmen nur bis zu einem gewissen Grad schützen. Tatsache ist, dass die Angreifer noch genügend Möglichkeiten haben, sich Zugriff zu den betrieblichen Computersystemen zu verschaffen. Leider stellt eine zunehmende Zahl an Geschädigten erst mit erheblicher Verzögerung fest, dass sie Opfer eines Angriffs geworden sind. Das Resultat ist ein erhöhter finanzieller Schaden. Alle Geschäftspartner müssen daher zusammenarbeiten und versuchen, durch die jeweils aktuellste Software, IT-Infrastruktur, Firewalls usw. die Internet-Gefahren zu minimieren. Auch wenn ein Restrisiko dennoch bleiben wird. Eine Cyber-Versicherungslösung, wie die der AGCS, lässt den Kunden mit dieser Rest-Gefahr nicht allein, sondern ermöglicht einen Risikotransfer. Es ist die Entscheidung des Kunden, das Cyber-Risiko selbst zu tragen und mit Kapital zu hinterlegen oder zu transferieren. Mit wachsendem Markt werden solche Transferlösungen zunehmend günstiger als die Eigentragung.
Umgang mit Reputationsrisiken
Um diese Risiken zu bekämpfen, empfiehlt sich eine IT-Sicherheitsstrategie, die die individuellen Bedrohungen analysiert, wie z.B.: Welche Daten sind sensibel? Welchen potenziellen Angriffen ist das Unternehmen ausgesetzt? Wie lange ist das Unternehmen ohne funktionierende IT-Dienstleistungen überlebensfähig? Erfahrungen der AGCS zeigen, dass in den meisten Fällen interne Ursachen für die Schäden verantwortlich sind.
IT-Sicherheitsmassnahmen nur zu erwägen, ist bei Weitem nicht mehr ausreichend. Ein erfolgreicher Netzangriff könnte dazu führen, dass die Aktienkurse oder Gewinne von Unternehmen in Asien aufgrund von Vertrauensverlust seitens der Kunden oder negativer Berichterstattung in den Medien nach einem solchen Angriff fallen.
Eine stärkere Überwachung seitens der Aufsichtsbehörden sowie die Aussicht auf beträchtliche Geldstrafen bei Verstössen gegen den Datenschutz werden ebenfalls immer wahrscheinlicher - insbesondere vor dem Hintergrund, dass die Rechtsordnungen in Europa dieselben Entwicklungen wie die USA durchlaufen und Schritte ergreifen, um die gesetzlichen Massnahmen gegen die Bedrohung der Privatsphäre zu beschleunigen. In Deutschland wird der Datenschutz weiter gestärkt, z.B. durch die Novelle des Bundesdatenschutzgesetzes 2009 oder die geplante EU-weite Meldepflicht von Hackerangriffen. Damit müssen Unternehmen stets mehr Datenschutz-Vorschriften einhalten, um Bussgelder oder Haftungsfälle zu vermeiden.
Ein ganzheitlicher Risikomanagement-Ansatz ist anzustreben. Netzexperten sind der Auffassung, dass in etwa 80% aller Angriffe durch ein grundlegendes Informations-Risikomanagement verhindert oder begrenzt werden könnte. Jeder ganzheitliche Risikomanagement-Ansatz muss dafür sorgen, dass Unternehmen über ausreichenden Versicherungsschutz gegen potenzielle Gefahren verfügen.
Neue Versicherungslösungen für Cyber-Risiken
Viele traditionelle Sach- und Haftpflichtpolicen schützen kaum oder gar nicht vor der zunehmenden Palette an Eigen- und Fremdschäden. Diese drohen jedoch Unternehmen, wenn sie Netzkriminalität zum Opfer fallen oder von ihren Kunden haftbar gemacht werden.
Mehrere Versicherer, einschliesslich AGCS, reagieren auf diese Deckungslücke mit einer speziellen Cyber-Deckung für Unternehmen. Derzeit konzentriert sich der Cyber-Versicherungsmarkt weitestgehend auf die USA, wo er nach wie vor rapide wächst – um 30% pro Jahr. Und auch weil US-Unternehmen ihre Kunden über jegliche Sicherheitsverstösse unterrichten müssen. Die Prämieneinnahmen beliefen sich im letzten Jahr auf insgesamt USD 1,3 Mrd., was ca. 90% des Gesamtmarkts ausmacht.
In Europa und anderen Teilen der Welt besteht eindeutig Aufholbedarf. Die wachsende Zahl der Risiken und die aufsichtsrechtlichen Veränderungen in der gesamten Region unterstreichen jedoch den steigenden Deckungsbedarf der Unternehmen. Allein in den nächsten beiden Jahren geht die Wachstumsprognose für den Gesamtmarkt von jährlich 50% aus. AGCS ist überzeugt, dass sich Cyberversicherungen auch hierzulande zu einer eigenständigen Produktgattung in der Industrieversicherung entwickeln werden. Und will dieses neue Marktsegment aktiv besetzen und mit gestalten. In Europa könnte der Markt für Cyberversicherungen nach AGCS-Berechnungen bis 2018 ein Prämienvolumen von EUR 700–900 Mio. erreichen.
In der heute schnelllebigen und sich ständig weiter entwickelnden digitalen Welt ist die Netzsicherheit eine der wichtigsten Herausforderungen für Unternehmen. Diesem Risiko muss sich das Management stellen. IT-Sicherheit und angemessene interne Prozesse und Strategien sind unerlässlich. Darüber hinaus müssen sich Unternehmen Gedanken über die Begrenzung einer ganzen Reihe neuer Risiken machen, wie beispielsweise Betriebsunterbrechung, Reputationsschäden und Geheimhaltungsverstösse beim Kunden. Zudem spielen die weltweit verstärkten aufsichtsbehördlichen Massnahmen eine grosse Rolle und sollten unbedingt beachtet werden.
(Bildquelle: © Goodluz/iStockphoto)