[datensicherheit.de, 07.06.2019] Spionage, Datendiebstahl, Sabotage: Die deutsche Industrie leidet unter Cyberattacken. Deutschen Unternehmen ist in den Jahren 2016 und 2017 ein Schaden von 43 Milliarden Euro durch Datenspionage und Sabotage entstanden. Das bezifferte der Branchenverband BITKOM in seinem Report im letzten Jahr. Besonders kleine und mittlere Unternehmen waren nach Angaben der BITKOM von den Angriffen betroffen; die Zahl der Phishing-Attacken ist dabei stark gewachsen.

Unternehmen benötigen immer länger um Angriffe zu erkennen und abzuwehren

Laut der Studie „Annual Cost of Cybercrime 2019“ des Beratungshauses Accenture benötigen Unternehmen jedoch immer länger, um Angriffe zu erkennen und abzuwehren und verlieren dadurch mehr Geld. Demnach verändern sich die heutigen Cyberangriffe auf vielfältige Weise: von den Unternehmen, die im Visier der Kriminellen sind, über Angriffstechniken, bis hin zu den Arten von Schäden, die sie anrichten. Im letzten Jahr gab es laut der Studie durchschnittlich 145 Sicherheitsverletzungen, die in die Kernnetze der Unternehmenssysteme eingedrungen sind. Das sind elf Prozent mehr als im Vorjahr und 67 Prozent mehr als vor fünf Jahren. Und nicht nur die Zahl der Angriffe selbst steigen, sondern auch die Kosten. Der Studie zufolge belaufen sich diese im Schnitt auf ca. 13 Millionen Dollar pro Unternehmen. Das sind 1,4 Millionen Dollar Zusatzkosten gegenüber dem Jahr 2018.

Die Kosten berücksichtigen auch die Maßnahmen, die betroffenen Unternehmen auf sich nehmen, um einen Datenverstoß über einen Zeitraum von vier Wochen zu finden, zu untersuchen und einzudämmen. Nach USA und Japan folgen deutsche Unternehmen mit den dritthöchsten Schadenssummen von 13,1 Millionen US-Dollar.

Datendiebstahl am schnellsten wachsendes Risiko der Cyberkriminalität

Der Datendiebstahl ist das kostspieligste und am schnellsten wachsende Risiko der Cyberkriminalität. Nicht zuletzt auch aufgrund der DSGVO-Bußgelder bei Verstößen. Aber Daten sind nicht das Einzige, das Kriminelle interessiert. Dem Accenture-Bericht zufolge sind zunehmend geschäftskritische Dienste und Industriesysteme (Fertigungs-, Steuerungs- und Gebäudetechnologie) im Visier der Kriminellen. Gerade durch das Internet der Dinge, Sensorik und zunehmende Vernetzung steigen die Risiken. So können DDoS-Angriffe stundenlang Online-Dienste nachhaltig stören oder Unternehmen zum Stillstand bringen. Obwohl Daten ein wichtiges Ziel sind, wollen Cyberkriminelle nicht nur stehlen. Es gibt einen Trend, Daten nicht einfach zu kopieren, sondern diese zu manipulieren, so dass sie entweder ruiniert oder nicht mehr vertrauenswürdig sind. Die Integrität der Daten zu beeinträchtigen rückt in den Mittelpunkt.

In der digitalen Welt spielt vor allem die Verfügbarkeit und Erreichbarkeit von Web-Diensten eine Schlüsselrolle. Wer zu lange benötigt, um Bedrohungen abzuwenden oder einen konkreten Angriff abzuwehren, kann bestraft werden.

CIAM unterstützt Unternehmensziele

Angesichts der Kosten- und Reputationsschäden, die IT-Sicherheitsverletzungen verursachen, besitzen Unternehmen jedoch gute Möglichkeiten, Beziehungen zu den Verbrauchern bzw. ihren Kunden zu verbessern. Der Einsatz von Kunden-Identitätslösungen fördert den Vertrauensaufbau und erhöht die Chance, dass Geschäftsziele erreicht werden. Gerade die Sicherstellung der Kundendaten hat höchste Geschäftspriorität. Unternehmen können sich so von ihren Mitbewerbern differenzieren.

Viele Verbraucher sind besorgt, dass ihre digitalen Identitäten online ausgetauscht werden und die Informationen von verschiedenen Unternehmen genutzt werden. Wenn Verbraucher wählen könnten, würden sie lieber weniger teilen. Das sollte Unternehmen beunruhigen, da sie auf Verbraucherdaten angewiesen sind, um zum Beispiel Geschäftsentscheidungen zu treffen. Unternehmen müssen diese Bedenken berücksichtigen und sich darauf konzentrieren, Vertrauen und Markentreue aufzubauen, indem sie den Verbrauchern mehr Transparenz und Kontrolle darüber geben, wie sie ihre Daten sammeln, verwalten und weitergeben.

„Lean in to consent“ ist deshalb eine vertrauensbildende Option. Es ist eine von sechs gesetzlichen Grundlagen für die Verarbeitung personenbezogener Daten im Sinne der DSGVO. Die Zustimmung der Verbraucher gibt einem Unternehmen verschiedene Freiheiten und Verantwortlichkeiten und ist die Grundlage für den Aufbau vertrauenswürdiger, transparenter digitaler Beziehungen.

In einer von ForgeRock in Auftrag gegebene Studie von Forrester Consulting von Ende 2018 sagten die Befragten, dass Customer Identity and Access Management (CIAM) die Datenschutzhürden überwindet, indem es sicherstellt, dass die Datenerhebung strikt innerhalb der Grenzen der Einwilligungsrichtlinien erfolgt. Die meisten der Befragten gaben an, dass CIAM ihnen dabei hilft, die Kundenidentitäten und -daten besser zu schützen und Erkenntnisse aus den von ihnen gesammelten Kundendaten zu gewinnen.

Weitere Informationen zum Thema:

datensicherheit.de, 22.09.2018
Studie: KI und IoT sind Herausforderungen für den Datenschutz

datensicherheit.de, 19.09.2018
Airlock: Neuer Leitfaden „IAM-Projekte erfolgreich umsetzen“ vorgestellt

datensicherheit.de, 31.08.2018
Venafi-Studie offenbart Nachholbedarf beim Schutz von Maschinenidentitäten

datensicherheit.de, 07.08.2018
Sicherer Umgang mit Zugriffsrechten

[datensicherheit.de, 09.09.2015] Unternehmen müssen sich gegen eine neue Dimension von sich schnell entwickelnden Cyberrisiken wappnen. Fürchten Unternehmen heute vor allem Datendiebstähle, Datenschutzverletzungen und Reputationsschäden, so werden künftig Betriebsunterbrechungen in den Vordergrund rücken. Auch katastrophale Schadenszenarien sind denkbar.

In der neuen Studie – „A Guide to Cyber Risks: Managing The Impact of Increasing Interconnectivity“ – untersucht der Industrieversicherer Allianz Global Corporate & Specialty (AGCS) die neuesten Entwicklungen zu Cyberrisiken, die Unternehmen immer stärker gefährden. Allein die Folgen von Cyberkriminalität kosten die Weltwirtschaft ca. 445 Milliarden US-Dollar* pro Jahr (CSIS/McAfee); auf die zehn größten Volkswirtschaften der Welt entfällt die Hälfte dieser Summe. In Deutschland entstehen jährlich Schäden in Höhe von 59 Mrd. US-Dollar.

„Vor nur 15 Jahren waren Cyberangriffe sporadisch und die wenigen Vorfälle meist das Werk von ‚Hacktivisten‘. Mit der zunehmenden digitalen Vernetzung, der Globalisierung und der Kommerzialisierung von Internetkriminalität kam es zu einer Explosion der Cyberangriffe  sowohl hinsichtlich ihrer Häufigkeit als auch hinsichtlich ihrer Schwere”, sagt Chris Fischer Hirs, CEO von AGCS. „Eine Cyberversicherung kann eine robuste IT-Security keinesfalls ersetzen, aber sie schafft eine zweite Verteidigungslinie, um die negativen Folgen von Cyberangriffen abzufedern. Wir beobachten eine zunehmende Nachfrage solcher Deckungen. Und wir möchten unsere Kunden dabei unterstützen, Gefahren aus dem Netz zu verstehen und sich besser dagegen zu wappnen.“

Strengere Regulierung steigert Nachfrage

Auch wenn derzeit erst weniger als zehn Prozent der Unternehmen Cyberpolicen kaufen, geht AGCS davon aus, dass das weltweite Prämienaufkommen von Cyberversicherungen von derzeit zwei Milliarden US-Dollar in den kommenden zehn Jahren auf über 20 Milliarden US-Dollar steigen wird. Das entspräche einer durchschnittlichen jährlichen Wachstumsrate von über 20 Prozent. Zwei Faktoren werden die Nachfrage nach Cyberversicherungen beschleunigen: Zum einen wächst das Risikobewusstsein in vielen Unternehmen. Zum anderen verschärft sich das regulatorische Umfeld.

„In den USA ist der Cyberversicherungsmarkt bereits gut entwickelt, was strengere Datenschutzgesetze entscheidend beeinflusst haben. Auch in vielen anderen Ländern weltweit werden gesetzliche Regelungen verschärft und Haftungsgrenzen angehoben – und das befördert die Nachfrage nach Cyberversicherungen“, erklärt Nigel Pearson, der bei der AGCS weltweit für Cyberversicherung zuständig ist. „Es gibt einen allgemeinen Trend zu strengeren Datenschutzsystemen, deren Verletzung mit empfindlichen Geldstrafen geahndet wird.” Hongkong, Singapur und Australien gehören zu den Ländern, die entsprechende neue Gesetze planen oder bereits umgesetzt haben. Selbst wenn sich die Europäische Union nicht auf die geplanten paneuropäischen Datenschutzvorschriften einigen könnte, ist mit strengeren Richtlinien in den einzelnen Ländern zu rechnen.

Bisher fürchteten Unternehmen vor allem Datendiebstähle und Datenschutzverletzungen, wenn es um Internetkriminalität geht. Doch die jüngste Generation der Cyberrisiken hat eine neue Qualität erreicht: Unternehmen drohen künftig der Diebstahl geistigen Eigentums, virtuelle Erpressungen und die kostspieligen Folgen von Betriebsunterbrechungen (BU) in Folge von Cyberangriffen oder auch rein technischen IT-Ausfällen oder Prozessfehlern. „Wenn Unternehmen an Cyberrisiken denken, dann denken sie nicht zuallererst daran, dass ihr Betrieb oder ihre Produktion still stehen könnten. Das ändert sich gerade“, beobachtet Georgi Pachov, Cyber-Experte im Global Property Underwriting-Team der AGCS. „Innerhalb der nächsten fünf bis zehn Jahre wird sich Betriebsunterbrechung zu einem zentralen Risiko für  internet- und technologiebasierte Unternehmen entwickeln – und die entsprechende Deckung zu einem wichtigen Element von Cyberversicherungen.“ BU-Deckungen für Cyber- und IT-Risiken sind breit angelegt und schließen sowohl die sog. „Business IT“ als auch industrielle IT-Systeme ein, wie sie Energieunternehmen oder Produktionsbetriebe zur Steuerung von Industrieanlagen oder Robotern nutzen.

Vernetzung schafft Risiko

Die virtuelle Vernetzung von Geräten und Maschinen sowie das wachsende Vertrauen in die Übertragung von Echtzeit-Daten auf persönlicher und geschäftlicher Ebene („Internet der Dinge“) schafft weitere Angriffspunkte für Internetkriminalität. Schätzungen zufolge könnten bis 2020 eine Billion Geräte untereinander vernetzt  sein; 50 Milliarden Maschinen könnten täglich Daten austauschen. Industrielle Steuerungssysteme, wie sie in Kraftwerken oder Fabriken zum Einsatz kommen, stellen ein weiteres Einfallstor für Hacker dar. Denn viele sich heute noch in Betrieb befindende Systeme stammen aus einer Zeit, als IT-Sicherheit noch keinen hohen Stellenwert hatte. Würden industrielle IT-Systeme durch einen Hackerangriff lahmgelegt, könnte dies Sachschäden durch Feuer oder Explosion auslösen und auch zu Betriebsunterbrechungen führen.

Katastrophenereignis denkbar

Während es bereits einige schwere Fälle von Datendiebstahl gab, nimmt die Wahrscheinlichkeit eines durch Internetkriminalität verursachten Katastrophenschadens zu.  Zu denkbaren Szenarien zählen ein erfolgreicher Angriff auf die Internetinfrastruktur, ein weitreichender Datenvorfall oder ein Netzwerkausfall bei einem Cloud-Service-Provider; ein schwerer Cyberangriff auf einen Energieanbieter oder ein Versorgungsunternehmen könnte nicht nur zu einem großflächigen Ausfall von Dienstleistungen führen, sondern auch hohe Sachschäden verursachen oder schlimmstenfalls sogar Menschenleben kosten.

Eigenständige Deckung, ganzheitliches Risikomanagement

Aus Sicht der Allianz sollten Cyberversicherungen ihren Deckungsumfang erweitern und auch Betriebsunterbrechungsrisiken einschließen. Cyberausschlüsse in klassischen Schaden- und Haftpflichtpolicen werden sich weiter durchsetzen. Im Gegenzug werden sich Cyberversicherungen als eine eigenständige Produktkategorie etablieren. Außerdem werden sich die Versicherer – wie bei anderen neu aufkommenden Risiken und Versicherungslösungen auch – mit Herausforderungen hinsichtlich Tarifierung, nicht getesteten Policen-Wordings, Modellierung und Risikoakkumulation konfrontiert sehen.

Die AGCS-Studie stellt Maßnahmen heraus, die Unternehmen ergreifen können, um Cyber-Risiken zu begegnen. Die Versicherung kann lediglich Teil der Lösung sein, notwendig ist vielmehr ein umfassender Risikomanagement-Ansatz, um Gefahren aus dem Netz abzuwehren. „Eine Cyberversicherung abgeschlossen zu haben, bedeutet nicht, bei der IT-Sicherheit sparen zu können. Vielmehr gehen die technologischen, betrieblichen und versicherungstechnischen Aspekte des Risikomanagements bei Cyberrisiken Hand in Hand”, erklärt Jens Krickhahn, AGCS-Experte für Cyberversicherungen in Deutschland.

Cyber-Risikomanagement im Unternehmen ist zu komplex, um einer einzigen Abteilung vorbehalten zu sein; deshalb empfiehlt die AGCS das Wissen von Stakeholdern aus verschiedenen Unternehmensbereichen in einen ‚Think-Tank’ zusammenzuführen, um das Risiko in den Griff zu bekommen. So können unterschiedliche Perspektiven und Szenarien untersucht und berücksichtigt werden, beispielsweise neue Risiken, die durch Fusionen und Übernahmen oder durch die Nutzung Cloud-basierter oder ausgelagerter Dienstleistungen entstehen. Eine unternehmensübergreifende Beteiligung hilft auch, die durch Cybergefahren besonders bedrohten Vermögenswerte eines Unternehmens zu identifizieren und robuste Krisenreaktionspläne zu entwickeln und zu testen.

Weitere Informationen zum Thema:

Allianz Global Corporate & Specialty
Download der Studie „A Guide to Cyber Risk“