News & Events
Nachrichten und Veranstaltungen

Cyberkriminalität: Unternehmensrisiko Nummer eins

/Blog
Erstellt von Reiner Höfinger, Marketing Manager

Die Risiken für Unternehmen haben sich in den letzten Jahren gravierend verändert. Traditionelle Risiken wie Betriebsunterbrechung, rechtliche Veränderungen im Wirtschaftsumfeld oder die allgemeine Marktentwicklung belegen zwar immer noch Spitzenplätze im Allianz Risk-Barometer 2020, aber neu wird erstmals die Cyberkriminalität als wichtigstes Unternehmensrisiko geführt. Gesamthaft gesehen ergibt sich eine gefährliche Verkettung: Die fortschreitende Digitalisierung und neue Technologien schaffen mehr Sicherheitslücken für Cyberangriffe, diese können vielfach zu Betriebsunterbrechungen führen und beides wiederum zu einem Reputationsverlust.

Seit Beginn der Risikoerhebung der Allianz belegte das Risiko der Betriebsunterbrechung stets den ersten Platz. Im Allianz Risk-Barometer 2020 ist dies nun anders: Neu werden Cybervorfälle, Cyberrisiken oder Bedrohungen aus dem IT-Bereich die Cyberrisiken mit 57 Prozent Nennungen als gefährlichstes Unternehmensrisiko genannt. Dies, obgleich andere klassische Bereiche, wie z. B. rechtliche Problemstellen im Bereich der Wirtschaft (Brexit oder der Handelskrieg zwischen den USA und China) sowie der Klimawandel gerade in jüngster Zeit in aller Munde sind.

Negative Symbiose von Bedrohungen

Bei genauer Betrachtung der Umfrageergebnisse ist dabei zu beachten, dass eine ungünstige Verknüpfung von Risiken vorliegt: Cybervorfälle aufgrund von Ransomware-Angriffen, Malwarebefall oder ähnlichem können vielfach Auslöser für Betriebsunterbrechungen (Produktionsstillstand, Ausfall von Kundenplattformen, Ausfall von Kommunikationswegen, Datenverlust etc) sein, womit das Risiko für das Gesamtgebilde „Unternehmen“ signifikant steigt. Generell gilt: Wenn die IT des Unternehmens betroffen ist, können die Wirkungen katastrophal sein.

Auch die Risiken von neuen Technologien (Platz 5) sind in hohem Masse mit dem Cyberbereich verknüpft: Vernetzung von Maschinen, Nanotechnologie, Künstliche Intelligenz, Blockchain etc. betreffen die IT des Unternehmens wie auch das Gesamtgebilde. Die negative Verbindung von IT-Risiken und allgemeinen Betriebsrisiken gilt auch indirekt: Unternehmen stehen in harter Konkurrenzsituation untereinander und konkurrieren gleichzeitig um die dafür benötigten Fachkräfte. Der Fachkräftemangel wird sich auch im IT-Sicherheitsbereich weiter zuspitzen. Gemäss der „Global Information Security Workforce“-Studie werden 2022 europaweit rund 350.000 Experten für Cybersecurity fehlen. Um auch in Zukunft IT-Sicherheit zu gewährleisten, sind viele Unternehmen daher gezwungen, Leistungen extern zu vergeben. Ist dies nicht möglich, können wichtige innerbetriebliche Funktionen eventuell nicht zufriedenstellend erbracht werden, was zu betrieblichen Einschränkungen führen kann. Ähnliches greift beim Thema „Reputationsverluste des Unternehmens“, neu auf den achten Rang vorgerückt. Auch hier gibt es die enge Wechselwirkung von allgemeiner Problematik und spezieller des IT-Umfelds: Datenverluste, Datenmissbräuche oder ähnliches sind grundsätzlich höchst gefährlich und können zu ernsten Unterbrechungen im laufenden Betrieb führen. Zusätzlich werden sie öffentlich kritisch diskutiert, was wiederum das Unternehmensimage angreift. Insgesamt kann man sagen, dass sich Cyberrisiken sozusagen mit anderen hochschaukeln oder sogar multiplizieren.

Hilfen von Versicherern

Laut den Risikoexperten wird sich dieser Trend auf absehbare Zeit fortsetzen. Unternehmen werden in Zukunft weit mehr als bisher üblich vernetzt arbeiten, im gesellschaftspolitischen Spannungsfeld agieren und in der klassischen, weltweiten Konkurrenzsituation stehen. In diesem Umfeld nehmen Social Media, die Vernetzung im Mitarbeiterbereich, Datendiebstahl, Cybererpressungen etc. und alle daraus resultierenden Komplikationen und Gefahren zu. Immer grössere und teurere Datenskandale, eine Zunahme von Cybererpressung- und Spoofing-Vorfällen, aber auch höhere Bussgeldern aufgrund strengerer Datenschutzbestimmungen und Schadenersatzklagen sind die Folge. Ein schwerer Datendiebstahl – mit mehr als einer Million Datensätzen – kostet heute durchschnittlich 42 Millionen Dollar, was einem Anstieg von 8 % im Vergleich zum Vorjahr entspricht (Ponemon Institute).

Nach Angaben der Allianz, auf deren Befragung von rund 2700 Teilnehmern aus über 100 Ländern – darunter CEOs und Führungskräfte, Risikomanager und Versicherungsexperten – das aktuelle Ranking der Unternehmensrisiken zurückgeht, seien Risiken gleich welcher Art allgemein unberechenbarer geworden. Die Versicherung reagieren: Sie hätten hohe Risikoexpertise und böten sich daher als Partner in der Risikoanalyse an. Mittlerweile stellten sie umfassende Absicherungspakete zur Verfügung. Die Allianz habe kürzlich die Cyberversicherung für KMU durch „CyberCrime – Social Engineering“ erweitert.

Verantwortung des Unternehmens als Konstante

Die klassische Versicherung ist wichtig und bleibt es weiterhin. Versicherungen greifen jedoch nur dann, wenn Schadensfälle bereits eingetreten sind, wobei sie die Folgen in der Regel nur abmildern können. Für Unternehmen ist jedoch erste Priorität, die Cyber Risk Resilience® zu maximieren. Bereits jetzt räumen Geschäftsleitungs- und Verwaltungsratsmitglieder den Cyberrisiken höhere Priorität ein, dennoch ist ein Umdenken auf höchster Stufe gefordert: Denn Cyberangriffe werden immer noch als «Risiko» betrachten. Ein Risiko, welches im Normalfall nicht eintreten wird. Der Normalfall ist allerdings, dass Unternehmen angegriffen werden. Folglich sollte das Ausbleiben eines Angriffes als Sonderfall angeschaut werden. Es geht also nicht mehr darum, wie zu verhindern ist, dass ein negatives Ereignis eintritt. Das neue Ziel ist die Klärung, wie man trotz negativer Ereignisse überleben oder möglichst normal seiner Geschäftstätigkeit nachgehen kann. Hierbei sind natürlich nach wie vor interne wie externe Cyberexperten gefragt, die das Unternehmen so aufstellen und absichern, dass Versicherungen möglichst gar nicht in Anspruch genommen werden müssen.

SOC als wichtiger Baustein

Für sicherheitsbewusste Unternehmen ist das Security Operation Center (SOC) das Herzstück aller Sicherheitsmassnahmen. Ein SOC-Projekt ist der Weg zu einer transparenten und somit realen Einschätzung der Bedrohungslage. Erfahrene Analysten haben Erfahrung in komplexen Situationen komplizierter IT Umgebungen und verbinden Vorbeugung mit Schwachstellenerkennung, sie wehren Angriffe ab und wissen, was im Angriffsfall zu tun ist, um den Schaden möglichst klein zu halten. Grundsätzlich fliessen dabei viele Erkenntnisse aus dem Bereich der Cyberrisiken ein: Angriffe, Datenschutz, organisatorische Überlegungen, Backup und vieles mehr. Hierzu stellt ISPIN umfangreiche Überlegungen aus jahrelanger eigener Praxis als SOC-Anbieter zur Verfügung. Gerade die Frage, ein SOC selbst aufzubauen, oder es lieber in die Hand von externen Experten zu geben, ist äusserst komplex und muss wohlbedacht sein.

Traditionelle Bedrohungen – von Cyberrisiken überrundet

Bemerkenswert ist, dass nach den Ergebnissen der Allianz-Studie sogar die Risiken geradezu extremer Ereignisse von den Cyberrisiken überflügelt worden sind. Dazu gehören die Handelsauseinandersetzungen zwischen den USA und China, die Zollproblematik, Unsicherheiten hinsichtlich des Brexit, Sanktionen gegen wichtige Nationen und die damit verbundenen rechtlichen Unsicherheiten.

Auch Untersuchungen des World Economic Forum (WEF) unterstützen solche neuen Erkenntnisse. Der Fokus des WEF liegt auf den Umweltrisiken, dennoch zeigen sich für die kurzfristigen Risiken des Jahres 2020 ähnliche Trends. In der Rubrik „Technologie“ finden sich „Cyberattacken auf Infrastruktur“ mit 76,1 Prozent Nennung auf dem ersten Platz. Im Bereich „Geopolitik“ liegen „wirtschaftliche Konflikte“ vorn, bei „Gesellschaft“ ist es „innenpolitische Polarisierung“, bei „Umwelt“ sind es „extreme Hitzewellen“ gefolgt von „Zerstörung natürlicher Ökosysteme“. Cyberrisiken liegen in Ihrer Kategorie bei den prozentualen Nennungen beinahe auf gleicher Höhe wie die Spitzenrisiken der anderen Bereiche. Auch bei den langfristigen Risiken, jene der nächsten 10 Jahre, nennt das WEF im Bereich „Technologie“ die Risiken „Datenmissbrauch oder -diebstahl, Cyberangriffe“ auf Platz eins. (Download WEF 2020 Report)

Zusammen. Sicher.

Sicher ist, es gibt keine Patentrezepte gegen Cyberbedrohungen. Die Risiken sind mannigfaltig, sie verändern sich ständig und sind daher nicht berechenbar. Das muss Unternehmen bewusst sein. Die Lösung besteht in engem Schulterschluss mit Security-Experten, die auf die Erfahrung vieler Kunden, Branchen und Vorfälle zurückgreifen können. Die Spezialisten der ISPIN stehen Ihnen gerne mit Rat und ausgefeilten Cyber Defense Services zur Verfügung.

 

Haben Sie Fragen zu unseren News, Events oder Blogartikeln? Nehmen Sie mit mir Kontakt auf.

Reiner Höfinger

Marketing & Communications

ContactKontaktNewsletterGo to top