Bei der Allianz Global Corporate & Specialty AG haben wir folgende Trends und Bedrohungen für 2021 identifiziert, mit denen sich Unternehmen befassen sollten.

1. Erhöhte Risiken im Homeoffice

Seit dem Ausbruch des Coronavirus arbeiten viel mehr Menschen zuhause. Um ihnen einen einfachen und schnellen Zugang zu Betriebssoftware und -systemen zu ermöglichen, mussten in etlichen Fällen die IT-Sicherheitsstandards gesenkt oder sogar ausgesetzt werden. Trotz vielfältiger Anstrengungen seitens der IT-Organisationen bleibt die IT-Sicherheit im Homeoffice immer noch oft hinter den zuvor gesetzten Standards zurück. Dadurch nimmt die Zahl der Cybervorfälle zu.Cyberkriminellen und Hackern fällt es jetzt leichter, in zuvor effektiv geschützte Unternehmenssysteme einzudringen.

Dadurch häufen sich Datenverletzungen, Cybererpressungen und IT-Systemausfälle. Die Europäische Kommission verzeichnet seit Beginn des Corona-Ausbruchs eine Zunahme der Cyberkriminalität. Auf dem Höhepunkt der ersten Welle im April 2020 meldete das FBI allein einen 300-prozentigen Anstieg der entsprechenden Vorfälle. Auch die Weltgesundheitsorganisation (WHO) warnte vor verdächtigen E-Mail-Nachrichten, mit denen versucht wird, den COVID-19-Notstand auszunutzen. Mittlerweile haben viele Betriebe mit Prozessen und Schutzmaßnahmen reagiert, um sichere Remote-Arbeit zu ermöglichen.

2. Digitalisierte Lieferketten in Gefahr

Richtig teuer wird ein Cyberangriff, wenn er eine Betriebsunterbrechung zur Folge hat. Für 55 Prozent der Befragten in unserem Risikobarometer ist ein IT-Ausfall die gefürchtetste Ursache für Betriebsunterbrechungen. Unbegründet ist diese Sorge nicht: Unsere Analyse von mehr als 1.700 cyberbedingten Versicherungsschäden in den letzten fünf Jahren zeigt, dass Betriebsunterbrechungen der zweitgrößte Kostentreiber ist - nach Cyberschäden.

Ein größerer Cyberangriff, ein Ausfall, eine technische Panne oder menschliches Versagen können zu einem erheblichen wirtschaftlichen Verlust durch eine Betriebsunterbrechung führen. Ein Cybervorfall, der sich auf einen Zulieferer auswirkt, kann sogar kaskadierend große Teile der Lieferkette stören und damit eine Betriebsunterbrechung für mehrere Unternehmen zur Folge haben.

Im Extremfall kann ein Cybervorfall auch ein "systemisches oder katastrophales Risiko darstellen", um in der Sprache der Versicherungen zu bleiben. Ein großer Blackout oder ein Cloud-Ausfall könnte Unternehmen auf der ganzen Welt in Mitleidenschaft ziehen. Zukünftige "Black Swan"-Ereignisse sind also nicht auszuschließen. Es ist wichtig, solche Situationen früh zu erkennen und in Prävention zu investieren, damit solche Vorfälle gar nicht erst eintreten.

3. Ransomware - Geschäftsmodell für Cyberkriminelle

Verbreitete Formen von Ransomware - darunter Sodinokibi, Maze, Ragnarok und Ryuk - haben in letzter Zeit bei Herstellern, Einrichtungen des öffentlichen Sektors und des Gesundheitswesens, Schifffahrtsunternehmen, Energieversorgern, Technologieunternehmen und professionellen Dienstleistern zu erheblichen Beeinträchtigungen geführt. Die Gesamtkosten von Ransomware-Forderungen beliefen sich 2019 auf 25 Milliarden Dollar, aber dieser Betrag steigt auf 170 Milliarden Dollar, wenn man auch die Kosten für die Ausfallzeit mit einbezieht.

4. Mehr Angriffe auf E-Mail-Systeme

Obwohl Cyberkriminalität die Schlagzeilen beherrscht, sind es meist menschliche Fehler, die Unternehmen große Probleme bereiten. Arbeitgeber und Arbeitnehmer müssen deshalb zusammenarbeiten, um das Bewusstsein für diese Gefahren zu schärfen und die Cyberresilienz zu erhöhen. Regelmäßige Schulungen von Mitarbeitern können die Häufigkeit von Vorfällen erheblich verringern und die Folgen mindern - insbesondere bei Phishing und kompromittierten E-Mail-Systemen.

Bei BEC-Angriffen (Business Email Compromise) werden in der Regel Phishing-E-Mails verschickt, um Mitarbeiter oder Führungskräfte zur Preisgabe von Anmeldedaten oder zu betrügerischen Transaktionen zu verleiten. Zwischen Mai 2018 und Juli 2019 lag der durch BEC-Angriffe verursachte durchschnittliche wirtschaftliche Schaden bei rund 270.000 US-Dollar.

5. Die Schäden durch Cybervorfälle werden größer

Cybervorfälle verursachen immer größere Schäden, was auch mit der zunehmenden Komplexität der IT-Systeme und dem Wachstum von Cloud- und Drittanbieter-Diensten zu begründen ist. Ein umfangreicher Datendiebstahl mit mehr als einer Million entwendeter Datensätze kostet heute durchschnittlich 42 Millionen Dollar.

6. Die regulatorische Belastung wächst

Die rechtlichen Folgen von Datenschutzverletzungen werden schwerwiegender, mit hohen Bußgeldern und regulatorischen Kosten sowie einer wachsenden Haftung gegenüber Dritten ist zu rechnen. Durch die Europäische Datenschutzgrundverordnung (EU-DSGVO) ist die Zahl der Bußgelder in Europa stark gestiegen - fast 200 wurden allein von deutschen Behörden zwischen März 2019 und Mai 2020 verhängt.

Überall auf der Welt wurden zuletzt strengere Datengesetze eingeführt, zuletzt in Kalifornien, Kanada und Brasilien. Auf Verstöße und behördliche Maßnahmen folgen zunehmend Rechtsstreitigkeiten, mit einer Reihe von Gruppenklagen, die jetzt sowohl in Großbritannien als auch in den USA anhängig sind.

7. Mehr Sammelklage-Verfahren

Wertpapier-Sammelklagen, insbesondere in den USA, stellen ein Hauptrisiko für jeden Vorstand dar, auch hierzulande. Daher ist nicht auszuschließen, dass Manager und Vorstände künftig vermehrt für die Folgen von Cyberattacken oder Datenpannen in Haftung genommen werden. Die IT-Sicherheit liegt klar im Verantwortungsbereich eines Vorstands - und wer sie auf die leichte Schulter nimmt, geht ein beachtliches Risiko ein.

8. Cyberrisiken bei Übernahmen und Fusionen

Übernimmt ein Unternehmen ein anderes, kann es für Schäden aus Vorfällen haften, die vor dem Zusammenschluss stattgefunden haben. Die Analyse potenzieller Cyberschwachstellen und -Exposures muss deshalb für Unternehmen, die andere zukaufen oder sich mit ihnen zusammentun, eine höhere Priorität erhalten.

9. Staatlich gelenkte Angriffe

Die nachweisliche Beteiligung von Nationalstaaten an Cyberangriffen gibt Anlass zur Sorge. Große Ereignisse wie landesweite Wahlen oder die COVID-19-Pandemie bieten staatlich gelenkten Angreifern gute Möglichkeiten. Laut Google mussten im vergangenen Jahr pro Quartal über 11.000 staatlich gesponserte potenzielle Cyberangriffe blockiert werden. In den letzten Jahren wurden kritische Infrastruktureinrichtungen wie Häfen und Terminals sowie Öl- und Gasanlagen von Schadsoftware und Cybererpressungen heimgesucht.

Was können Unternehmen tun?

Als Reaktion auf die genannten Bedrohungen ist es besonders wichtig, Kontrollen und Prozesse zur Risikominderung einzurichten. Patching- und Awareness-Schulungen können dazu beitragen, Angriffe abzuwehren. Regelmäßige Backups, widerstandsfähige IT-Systeme und Multifaktor-Authentifizierung für das Zugriffsmanagement reduzieren die möglichen Verluste erheblich. Auch die Ablösung "toxischer" Komponenten in der IT-Infrastruktur ist wichtig.

Mit Interesse verfolgen wir bei der AGCS auch die vielen Zero-Trust-Initiativen, die vorsehen, dass alles und jeder überprüft und kontrolliert wird, der versucht, auf Unternehmensdaten zuzugreifen. Zudem sollte jedes Unternehmen einen Business-Continuity-Plan haben, der beschreibt, wie im Falle eines Angriffs vorzugehen ist, um die Unterbrechung und damit den Schaden zu minimieren. Und auch durch den branchenübergreifenden Austausch - wie ihn die Charter of Trust ermöglicht - lässt sich der kommerziell organisierten Cyberkriminalität begegnen, indem gemeinsame Sicherheitsstandards entwickelt und die Cyberwiderstandsfähigkeit verbessert werden. Gehen wir es an. (hv)