Ransomware bleibt Top-Cyber-Risiko für Unternehmen, aber neue Bedrohungen nehmen zu

Ransomware-Attacken stellen nach wie vor das größte Cyberrisiko für Unternehmen weltweit da, während die Zahl der Vorfälle steigt, bei denen Geschäfts-E-Mails kompromittiert werden. Diese Betrugsmethode wird in der „Deep Fake“-Ära weiter zunehmen. Gleichzeitig geben der Krieg in der Ukraine und die allgemeinen geopolitischen Spannungen Anlass zu großer Sorge, da die Feindseligkeiten auf den Cyberspace übergreifen und gezielte Angriffe auf Unternehmen, Infrastruktur oder Lieferketten verursachen könnten, so ein neuer Bericht von Allianz Global Corporate & Specialty.

Der jährliche Überblick des Versicherers über die Cyber-Risikolandschaft hebt auch einige neue Bedrohungen hervor, die durch die zunehmende Nutzung von Cloud-Diensten, wachsende Haftungsrisiken nach Datenschutzverletzungen durch höhere Entschädigungen und Strafen, sowie die Auswirkungen eines Mangels an Cyber-Sicherheitsexperten entstehen. Die Cyberresilienz eines Unternehmens steht mehr denn je auf dem Prüfstand von externen Interessengruppen und wird daher von vielen Unternehmen als ein wichtiges Umwelt-, Sozial- und Governance-Risiko (ESG) eingestuft.

„Die Cyber-Risikolandschaft erlaubt es nicht, sich auf den Lorbeeren auszuruhen. Ransomware und Phishing-Betrüger sind so aktiv wie eh und je, und obendrein besteht die Gefahr eines hybriden Cyberkrieges“, sagt Scott Sayce, Global Head of Cyber bei AGCS und Group Head des Cyber Centre of Competence der Allianz. „Die meisten Unternehmen werden nicht in der Lage sein, sich gänzlich einer Cyberbedrohung zu entziehen. Es ist jedoch klar, dass Organisationen mit hoch entwickelten Cyber-Abwehrfähigkeiten besser gerüstet sind. Selbst wenn sie angegriffen werden, sind die Verluste aufgrund etablierter Erkennungs- und Reaktionsmechanismen in der Regel weniger schwerwiegend.“

Sayce weiter: „Wir sehen zwar gute Fortschritte, aber unsere Erfahrung zeigt auch, dass viele Unternehmen ihre Cyberkontrollen noch verstärken müssen, insbesondere in Bezug auf IT-Sicherheitsschulungen für die Beschäftigten, eine bessere Netzwerksegmentierung für kritische Anwendungen sowie bessere Pläne für Cybervorfälle und Sicherheitsmanagement. Als Cyber-Versicherer sind wir bereit, unsere Kunden über den Risikotransfer hinaus zu unterstützen, sich an eine sich verändernde Risikolandschaft anzupassen und ihr Schutzniveau zu erhöhen.“

Die Häufigkeit von Ransomware-Angriffen bleibt weltweit hoch, ebenso wie die damit verbundenen Schadenskosten. Im Jahr 2021 gab es einen Rekord von 623 Millionen Angriffen, doppelt so viele wie im Jahr 2020.  Obwohl die Häufigkeit in der ersten Jahreshälfte 2022 weltweit um 23 % zurückgegangen ist, übersteigt die Gesamtzahl der Ransomware-Angriffe im bisherigen Jahresverlauf immer noch die der Jahre 2017, 2018 und 2019, während die Angriffe in Europa in diesem Zeitraum sogar stark angestiegen sind. Es wird prognostiziert, dass Ransomware bis Ende 2023 weltweit Schäden in Höhe von 30 Mrd. US-Dollar verursachen wird. Aus Sicht der AGCS machte der Wert von Versicherungsschäden durch Ransomware, an denen das Unternehmen zusammen mit anderen Versicherern in den Jahren 2020 und 2021 beteiligt war, weit über 50 % aller Kosten für Schäden in der Cyberversicherung aus.

„Die Kosten für Ransomware-Angriffe sind gestiegen, da die Kriminellen größere Unternehmen, kritische Infrastrukturen und Lieferketten ins Visier genommen haben.  Die Kriminellen haben ihre Taktik verfeinert, um mehr Geld zu erpressen“, erklärt Sayce. „Doppel- und Dreifach-Erpressungsangriffe sind jetzt die Norm – neben der Verschlüsselung von Systemen werden zunehmend sensible Daten gestohlen und als Druckmittel für Erpressungsforderungen an Geschäftspartner, Lieferanten oder Kunden verwendet.“

Die Schwere der Ransomware-Angriffe wird eine Hauptbedrohung für Unternehmen bleiben, angeheizt durch die zunehmende Raffinesse der Banden und auch die steigende Inflation, die sich in den erhöhten Kosten für IT- Sicherheitsspezialisten niederschlägt. Zudem werden auch kleinere und mittelgroße Unternehmen, denen es oft an Ressourcen für Investitionen in die Cybersicherheit mangelt, ebenfalls zunehmend ins Visier von Ransomware-Banden geraten. Diese setzen eine breite Palette von Erpressungstechniken ein, stimmen ihre Lösegeldforderungen auf bestimmte Unternehmen ab und setzen erfahrene Verhandlungsführer ein, um den Gewinn der kriminellen Aktivitäten zu maximieren

Die Betrugsmasche Business Email Compromise (BEC) nimmt weiter zu. Begünstigt wird dies durch die zunehmende Digitalisierung und Verfügbarkeit von Daten, die Verlagerung von Arbeitsplätzen ins Home-Office und durch die Verbreitung von „Deep Fake“-Technologien. Nach Angaben des FBI belaufen sich BEC-Betrügereien von 2016 bis 2021 weltweit auf insgesamt 43 Milliarden US-Dollar, wobei die Zahl der Betrügereien allein zwischen Juli 2019 und Dezember 2021 um 65 % anstieg. Die Angriffe werden immer raffinierter und gezielter, da die Kriminellen nun virtuelle Meeting-Plattformen nutzen, um Mitarbeiter zur Überweisung von Geldern oder zur Weitergabe vertraulicher Informationen zu bewegen. Zunehmend werden diese Angriffe durch künstliche Intelligenz ermöglicht, die über „Deep Fake“-Audio oder -Videos leitende Angestellte täuschend echt imitiert. Letztes Jahr überwies ein Bankangestellter aus den Vereinigten Arabischen Emiraten 35 Millionen Dollar, nachdem er von der geklonten Stimme eines Unternehmensleiters getäuscht worden war.

Der Krieg in der Ukraine und die allgemeinen geopolitischen Spannungen sind ein wichtiger Faktor, der die Cyber-Bedrohungslandschaft verändert: Das Risiko von Spionage, Sabotage und Cyber-Angriffen gegen Unternehmen mit Verbindungen zu Russland und der Ukraine sowie zu Verbündeten und Unternehmen in Nachbarländern ist erhöht. Staatlich unterstützte Cyberangriffe könnten sich gegen kritische Infrastrukturen, Lieferketten oder Unternehmen richten. „Bislang hat der Krieg zwischen Russland und der Ukraine noch nicht zu einem nennenswerten Anstieg der Ansprüche aus Cyberversicherungen geführt, aber er deutet auf ein potenziell erhöhtes Risiko durch Nationalstaaten hin“, erklärt Sayce. Obwohl Kriegshandlungen in der Regel von traditionellen Versicherungsprodukten ausgeschlossen sind, hat das Risiko eines hybriden Cyberkriegs die Bemühungen auf dem Versicherungsmarkt beschleunigt, das Thema Krieg und staatlich unterstützte Cyberangriffe in den Versicherungsverträgen zu präzisieren und den Kunden Klarheit über den Versicherungsschutz zu verschaffen.

• Hacker nehmen anfällige Lieferketten ins Visier: Angriffe auf die Versorgungskette – ob auf kritische Infrastrukturen wie die Colonial Pipeline oder auf Cloud-Dienste – haben sich zu einem erheblichen Risiko entwickelt. Ransomware-Banden drohen zunehmend Betriebsstörungen an, um Firmen zur Zahlung von Lösegeld zu zwingen. Produzierende Unternehmen sind  hier besonders gefährdet.
• Cloud-Outsourcing: Die Unternehmen verlagern Dienste und Datenspeicherung immer mehr in die Cloud, trotz wachsender Bedenken in Bezug auf Sicherheit und Risikokonzentration. Zahlreiche Unternehmen verlassen sich auf wenige Cloud-Anbieter, und daher hätte ein Ausfall möglicherweise weit reichende Folgen. Es ist ein weit verbreiteter Irrglaube, dass der Outsourcing- oder Cloud-Anbieter im Falle eines Vorfalls die volle Verantwortung übernimmt.
• Die Haftung gegenüber Dritten, einschließlich Geldstrafen und Bußgeldern, wird mit dem technologischen Fortschritt, der zunehmenden Sammlung von Informationen durch Unternehmen und den verschärften Datenschutzbestimmungen immer wichtiger. Fast jeder Cybervorfall – einschließlich Ransomware mit doppelter Erpressung – kann zu Rechtsstreitigkeiten und Entschädigungsforderungen der betroffenen Parteien führen.
• Der Mangel an Fachkräften behindert die Bemühungen um die Verbesserung der Cybersicherheit. Obwohl das Bewusstsein im Management wächst, ist die Zahl der unbesetzten Stellen im Bereich Cybersicherheit in den letzten acht Jahren weltweit um 350% auf 3,5 Millionen gestiegen, wie Schätzungen zeigen.
• Cybersicherheit wird zunehmend durch die ESG-Brille betrachtet: Heute interessiert das Niveau der Cybersicherheit von Unternehmen weitaus mehr Interessengruppen als in der Vergangenheit. Cybersicherheitsaspekte werden zunehmend in die ESG-Risikoanalyse von Datenanbietern einbezogen. Es war noch nie so wichtig wie heute, sicherzustellen, dass Richtlinien und Prozesse zur Cybersicherheit vorhanden und auch auf Vorstandsebene verankert sind.

Als Reaktion auf das komplexere Risikoumfeld und die zunehmende Zahl von Cyber-Schadensfällen arbeitet die Versicherungsbranche daran, das Cyber-Risikoprofil ihrer Kunden besser einschätzen zu können und Anreize für Unternehmen zu schaffen, ihre Sicherheits- und Risikomanagementkontrollen zu verbessern.

„Die gute Nachricht ist, dass wir heute eine ganz andere Diskussion über die Qualität von Cyberrisiken erleben als noch vor einigen Jahren“, erklärt Sayce. „Wir erhalten viel bessere Einblicke und wissen es zu schätzen, dass die Kunden mit hohem Aufwand daran arbeiten, um uns umfassende Daten zur Verfügung zu stellen. Dies hilft uns umgekehrt dabei, unseren Kunden nützliche Informationen und Ratschläge zu geben, z. B. welche Kontrollen am effektivsten sind oder wo das Risikomanagement weiter verbessert werden kann. Das Ergebnis dürfte sein, dass unsere Kunden weniger – oder weniger schwerwiegende – Cyberereignisse erleiden – und wir infolge weniger Versicherungsschäden sehen. Eine solche Zusammenarbeit wird dazu beitragen, einen langfristig tragfähigen Cyber-Versicherungsmarkt zu schaffen, der sich nicht nur auf traditionelle Deckungen stützt, sondern auch zunehmend Cyber-Risiken in Captive-Programme und andere alternative Risikotransferkonzepte integriert."