Cybervorfälle sind das grösste Risiko für Unternehmen
Wie jedes Jahr lese ich gespannt den Allianz Risk Barometer und erlaube mir, eine leicht kommentierte Zusammenfassung zu schreiben, die sich auf Cyberfragen konzentriert. Den Bericht selbst kann ich sehr empfehlen. Viel Spass.
Cybervorfälle stehen auf dem Sorgenbarometer der Risikomanagement-Experten weltweit ganz oben. Sie sind auch weitgehend dafür verantwortlich, dass die Betriebsunterbrechung auf Platz 2 und die Änderung der Gesetzgebung auf Platz 5 landen.
Von Oktober bis November 2021 wurden 2’650 Risikomanagement-Experten aus 89 Ländern zu den grössten Risiken für ihre Unternehmen befragt. 46 % der Antworten kamen von grossen Unternehmen mit einem Jahresumsatz von über 500 Mio. US-Dollar, gefolgt von 20 % der Antworten von Unternehmen mit einem Umsatz von 250 bis 500 Mio. US-Dollar. 34 % der Antworten kamen von Unternehmen mit einem Umsatz von weniger als 250 Millionen Dollar.
Remote-Arbeit erhöht Cybervorfälle
Im Jahr 2020 standen Cybervorfälle auf Platz 1. Im Jahr 2021 wurden sie von Corona auf Platz 3 zurückgedrängt. Im Jahr 2022 stehen sie wieder an erster Stelle, was zum Teil durch die Massnahmen wegen Corona zurückzuführen ist, z.B. auf Remote-Arbeit und die fortschreitende Digitalisierung.
Cybervorfälle sind auch in den Bereichen Betriebsunterbrechung (Rang 2), Ausbruch einer Pandemie (Rang 4) und Änderung der Gesetzgebung (Rang 5) von Bedeutung, was ihre Brisanz nochmals unterstreicht.
Bemerkenswert ist, dass neben den Naturkatastrophen (Platz 3) der Klimawandel auf Platz 6 aufgerückt ist. Hier geht es um Betriebsunterbrechungsrisiken, aber auch um Unsicherheiten im Bereich der Gesetzgebung. Es wird interessant sein zu sehen, ob bei den Massnahmen zur Risikominderung auch die Ursachen angegangen oder nur die Folgen gemildert werden. Um unseres Planeten willen hoffe ich sehr, dass der Schutz der Umwelt einen Platz auf den Tagesordnungen finden wird.
Bei den Cybervorfällen steht Ransomware ganz oben auf der Liste, gefolgt von Datendiebstahl, Risiken der Telearbeit, Unterbrechungen der Lieferkette und Ausfällen von Cloud-Plattformen. Interessant ist, dass Ausfälle von Cloud-Plattformen erwähnt werden, aber nicht die der unternehmenseigenen Infrastruktur. Ist dies, weil man es nicht zugeben will, oder ist dies wirklich der Fall?
Ransomware als Service beziehen
Dem Bericht zufolge kann Ransomware als Service für nur 40 US-Dollar pro Monat erworben werden. Bezahlt wird mit Kryptowährungen, um nur minimale Spuren zu hinterlassen. In zunehmendem Masse verschlüsseln sie dann sowohl die Daten, als auch die Sicherungskopien. Zudem wird gedroht, die gestohlenen Daten zu veröffentlichen. Die Kriminellen können so die betroffenen Unternehmen doppelt zur Kasse bitten. Ein besorgniserregender Trend ist, dass Mitarbeiter bedroht werden, um sich Zugang zu Systemen zu verschaffen, oder dass C-Levels direkt erpresst werden.
Die niedrigen Einstiegskosten, die potenziell hohen Gewinne und die Tatsache, dass die Kriminellen fast nicht zu fassen sind, machen das «Geschäft» sehr attraktiv. Eine Folge davon ist, dass nicht mehr nur Unternehmen mit sensiblen Daten angegriffen werden, sondern alle Branchen und alle Unternehmensgrössen ins Visier geraten.
Es überrascht nicht, dass die Pandemie die Digitalisierung stark vorangetrieben hat, vor allem im Home-Office-Bereich. Dies ermöglicht es dem Dienstleistungssektor, weiterhin sehr gut zu funktionieren, erhöht aber potenziell das Ausmass eines Cybervorfalls. Es ist fast schon ironisch, dass das Eintreten des einen Risikos das andere in der Folge noch grösser macht.
Unternehmen können Risiken managen. Wichtig scheint die Aussage der Risk Manager, dass Unternehmen nicht annähernd so gut auf Cybervorfälle vorbereitet sind wie z. B. auf Naturkatastrophen – obwohl Cybervorfälle in den letzten drei Jahren auf Platz 1 oder 3 standen. Insbesondere wird angemerkt, dass Unternehmen das Ausmass ihrer Gefährdung durch Cybervorfälle erheblich unterschätzen.
Cyberstrategie muss in die GL oder VR
Neben unternehmensinternen Massnahmen zur Risikominderung werden zunehmend auch Versicherungen im Cyberbereich eingesetzt. Führende Anbieter führen vor dem Kauf eine Bewertung durch, bei der unter anderem proaktive technische Controls, regelmässige Backups, Patches, Schulungen sowie Geschäftskontinuitätspläne und die Reaktion auf Zwischenfälle bewertet werden. Es lohnt sich also für Unternehmen, im Cyber-Bereich sehr gut aufgestellt zu sein, damit der Abschluss schnell erfolgen kann und die Prämien angemessen bleiben.
Unternehmen kommen nicht umhin, eine solide Cyberstrategie zu entwickeln und umzusetzen. Die Abwehr von Angriffen beginnt nicht erst, wenn sie entdeckt werden, sondern ist eine strategische Aufgabe des Managements. Da es aber keine absolute Sicherheit gibt, ist es wichtig, den Schaden im Falle eines Vorfalls gering zu halten und dafür zu sorgen, dass man schnell wieder produktiv ist, Stichwort Cyber-Resilienz. Und ja, das ist eine Daueraufgabe, keine einmalige Anstrengung.
Möchten Sie weitere Informationen zur Entwicklung einer Cyberstrategie?
Quellen:
https://www.agcs.allianz.com/news-and-insights/reports/allianz-risk-barometer.htm
Reto hat die Firma 2007 mit Daniel Bieri gegründet und leitet sie seither. Er ist gerne auf Mandaten bei Kunden und freut sich, persönlich und als Firma einen Beitrag zur sicheren, digitalen Arbeitswelt leisten zu können. Er ist Ingenieur FH mit einem NDS in BWL und aktiver Verwaltungsrat. In der Freizeit ist er gerne aktiv in der Natur unterwegs.