[datensicherheit.de, 23.04.2025] Verizon Business hat heute seinen Data Breach Investigations Report (DBIR) 2025 veröffentlicht, der einen erheblichen Anstieg der weltweiten Datenschutzverletzungen aufzeigt, wobei die EMEA-Region eine besonders starke Zunahme von Systemverletzungen zu verzeichnen hat. Die Zahl der Datenschutzverletzungen in der EMEA-Region ist sprunghaft angestiegen und hat sich in nur einem Jahr auf 53 % der Verstöße fast verdoppelt.

Der DBIR analysiert mehr als 22.000 Sicherheitsvorfälle

Der DBIR 2025, der mehr als 22.000 Sicherheitsvorfälle, darunter 12.195 bestätigte Datenschutzverletzungen, analysiert, stellt fest, dass sich die Beteiligung Dritter im diesjährigen Bericht auf 30 % verdoppelt hat und die Ausnutzung von Sicherheitslücken weltweit um 34 % gestiegen ist. In der EMEA-Region wurde fast ein Drittel (29 %) der Sicherheitsverletzungen von internen Akteuren verursacht – ein deutlicher Unterschied zu APAC, wo nur 1 % der Bedrohungen von internen Akteuren ausging, und Nordamerika, wo interne Bedrohungen nur 5 % der Sicherheitsverletzungen ausmachten. Obwohl die EMEA-Region den höchsten Prozentsatz an Sicherheitsverletzungen durch interne Akteure verzeichnete, ging die Zahl der internen Bedrohungen bis 2025 um 41 % zurück. Dieser Rückgang ist auf einen schnelleren Anstieg anderer Arten von Sicherheitsverletzungen zurückzuführen.

DBIR: Lage in der EMEA-Region, Bild: Verizon

„Die alarmierende Zahl der von Mitarbeitern verursachten Sicherheitsverletzungen in der EMEA-Region unterstreicht die Notwendigkeit für Unternehmen, ihre interne Cybersicherheit zu verbessern. Unternehmen müssen über den Schutz vor externen Bedrohungen hinausgehen und eine Kultur des Sicherheitsbewusstseins und der Verantwortlichkeit innerhalb des Unternehmens fördern“, sagte Sanjiv Gossain, Group Vice President und Head of EMEA von Verizon Business. „Der Anstieg der Systemeinbrüche in der gesamten EMEA-Region ist eine deutliche Warnung an die Unternehmen, sowohl die externe Verteidigung als auch die internen Kontrollen durch umfassende Mitarbeiterschulungen, robuste Zugangskontrollen und Zero-Trust-Frameworks dringend zu verstärken.“

Die wichtigsten Erkenntnisse für die EMEA-Region:

• Bedrohungen durch Systemeinbrüche: Die Zahl der Angriffe auf Systeme ist auf 53 % gestiegen und hat sich damit gegenüber dem Vorjahr (27 %) fast verdoppelt.
• Insider-Leaks: 29 % der Sicherheitsverletzungen haben ihren Ursprung im eigenen Unternehmen, wobei 19 % auf unbeabsichtigte Fehler und 8 % auf Missbrauch zurückzuführen sind, z. B. die unbefugte Nutzung von Daten, die gegen die Unternehmensrichtlinien verstoßen.
• Social Engineering: Das zweithäufigste Angriffsmuster in der Region, wobei Phishing bei 19 % der Verstöße in der EMEA-Region ausmachte.

Die wichtigsten globalen Erkenntnisse:

• Ausnutzung von Schwachstellen: Für diesen Angriffsvektor wurde ein Anstieg von 34 % verzeichnet, wobei der Schwerpunkt auf Zero-Day-Exploits liegt, die auf Perimeter-Geräte und VPNs abzielen.
• Ransomware: Ransomware-Angriffe haben im Vergleich zum Vorjahr um 37 % zugenommen und machen nun 44 % aller Sicherheitsverletzungen aus, obwohl die durchschnittliche Höhe des gezahlten Lösegelds deutlich gesunken ist.
• Beteiligung Dritter: Der Anteil der Sicherheitsverletzungen durch Dritte hat sich verdoppelt, was die Risiken im Zusammenhang mit Lieferketten und Partner-Ökosystemen verdeutlicht.
• Menschliche Komponente: Die menschliche Beteiligung an Sicherheitsverletzungen ist nach wie vor hoch, wobei sich Social Engineering und der Missbrauch von Zugangsdaten deutlich überschneiden.

„Die Ergebnisse des DBIR unterstreichen die Bedeutung einer mehrschichtigen Verteidigungsstrategie“, so Chris Novak, Vice President, Global Cybersecurity Solutions, Verizon Business. „Unternehmen müssen in robuste Sicherheitsmaßnahmen investieren. Dazu gehören strenge Passwortrichtlinien, zeitnahes Patchen von Schwachstellen und umfassende Sicherheitsschulungen für Mitarbeiter.“

Branche im Mittelpunkt: Sechsfache Zunahme von Spionageangriffen auf das verarbeitende Gewerbe

Der DBIR 2025 zeigt beunruhigende Veränderungen im Bereich der Cybersicherheit auf, die weltweit wichtige Branchen betreffen. In der Fertigung hat sich die Zahl der Sicherheitsverletzungen aufgrund von Spionage dramatisch versechsfacht und ist von nur 3 % im letzten Jahr auf 20 % gestiegen. Auch der Gesundheitssektor sieht sich mit wachsenden Bedrohungen durch Spionage konfrontiert, während der Bildungs- und der Finanzsektor vor anhaltenden Herausforderungen im Bereich der Cybersicherheit stehen.

Im Einzelhandel ist die Zahl der Cybervorfälle seit 2024 um 15 % gestiegen, wobei sich die Angreifer von Zahlungskartendaten auf einfachere Ziele wie Kundendaten, Geschäftspläne und Berichte verlagert haben.

Sofort und entschlossen handeln

Die diesjährigen Ergebnisse sind eine wichtige Warnung für Unternehmen in der ganzen Welt – auch in der EMEA-Region –, sofortige und entschlossene Maßnahmen zu ergreifen. Unternehmen müssen ihre Cybersicherheitsmaßnahmen gegen diese sich entwickelnden Bedrohungen verstärken, um wichtige Ressourcen zu schützen, das Vertrauen ihrer Kunden zu erhalten und ihren nachhaltigen Erfolg in der heutigen digitalen Landschaft zu sichern.

„Die Ergebnisse des diesjährigen DBIR spiegeln eine Reihe unterschiedlicher Ergebnisse wider. Diejenigen, die das Glas halb voll sehen, können sich darüber freuen, dass die Zahl der Unternehmen, die kein Lösegeld gezahlt haben, gestiegen ist: 64 % haben nicht gezahlt, gegenüber 50 % vor zwei Jahren. Diejenigen, die das Glas halb leer sehen, werden im DBIR erkennen, dass Unternehmen, die nicht über die richtige IT- und Cybersicherheitsreife verfügen – oft kleine und mittelständische Unternehmen – den Preis für ihre Größe zahlen, da Ransomware in 88 % der Sicherheitsverletzungen vorhanden ist“, so Craig Robinson, Research Vice President, Security Services bei IDC. „Es gibt zwar keine Patentlösung für den Schutz vor Cyberangriffen, aber die führende Rolle von Verizon bei der Aufklärung der Öffentlichkeit über die Motive, Taktiken und Techniken von Angreifern ist ein wichtiger Schritt, um das globale Bewusstsein und die Cybersicherheit zu erhöhen.“

Von unserem Gastautor Tyler Reese, One Identity

[datensicherheit.de, 26.03.2019] Privilegierte Konten sind eine betriebliche Notwendigkeit in allen IT-Umgebungen. Administratoren verfügen zwangsläufig über erweiterte Zugriffsberechtigungen zur Verwaltung der Umgebung. Leider sind es ausgerechnet diese Konten, von denen ein hohes Risiko für jedes Unternehmensnetzwerk ausgeht. Tatsächlich ist es so, dass annähernd bei der Hälfte (44 %) aller Datenschutzverletzungen in 2017 privilegierte Konten eine Rolle gespielt haben. Das bestätigt eine im Herbst letzten Jahres veröffentlichte Studie.

Mehrere Gründe für ein erhöhtes Risiko

Es gibt eine Reihe von Gründen, warum gerade mit diesen Konten ein erhöhtes Risiko verbunden ist. Ein Beispiel. Selbst ein so simpler Prozess wie das Zurücksetzen eines Passworts kann dazu führen, dass einem Benutzer fälschlich Administratorenrechte zugewiesen werden. Rechte, die potenziell missbraucht werden, sei es versehentlich oder beabsichtigt. Dazu kommt, dass diese Konten nicht einfach zu verwalten sind. Das liegt unter anderem an der hohen Zahl von Benutzern und Systemen, die Zugriff auf Anmeldeinformationen solcher Accounts haben. Dies erschwert es, Login-Details wie Passwörter effektiv zu schützen. Doch es gibt einige konkrete und wichtige Schritte, die Unternehmen beherzigen sollten, um Risiken zu minimieren und sich vor dem Missbrauch von privilegierten Konten zu schützen.

• Schritt 1: Machen Sie eine vollständige Bestandsaufnahme aller privilegierten Konten, einschließlich der Benutzer und Systeme, die sie verwenden.
  Wer die mit privilegierten Konten verbundenen Risiken senken will, der muss zunächst wissen, wie viele derartige Konten überhaupt existieren und welche Benutzer darauf zugreifen können und müssen. Eine umsichtige Bestandsaufnahme ist der erste wichtige Schritt. Mithilfe einer kompletten Liste aller Konten mit erweiterten Berechtigungen sowie derjenigen Nutzer und Systeme, die tatsächlich darauf Zugriff haben, kann ein Unternehmen exakt einschätzen, wo Schwachstellen bestehen, die es für eine interne oder externe Datenschutzverletzung anfällig machen. Darauf basierend lassen sich die Analyse und Beseitigung der Schwachstellen priorisieren.
• Schritt 2: Gewährleisten Sie, dass die Passwörter für privilegierte Konten sicher gespeichert sind.
  Ist die Bestandsaufnahme der Konten und Passwörter für privilegierte Konten abgeschlossen, ist der logische nächste Schritt, für die Sicherheit der betreffenden Anmeldeinformationen zu sorgen. Eine Option besteht in der Nutzung von Passwort-Managern, die über verschiedene Sicherheitsmaßnahmen verfügen. Dazu gehören die verschlüsselte Speicherung der Passwörter, strenge Zugriffkontrollen auf das Passwort-Management-System selbst sowie eine abgesicherte Kommunikation. Passwort-Manager können auch sicherstellen, dass die Anmeldeinformationen den Benutzern nur nach einem definierten Freigabeprozess zur Verfügung gestellt werden. Sind Passwort-Manager keine geeignete Option für ein Unternehmen, ist es wichtig, dass alle Passwörter für Konten mit erweiterten Berechtigungen zumindest verschlüsselt sowie der Zugriff darauf über zwei oder mehr Authentifizierungsfaktoren geschützt ist.
• Schritt 3: Setzen Sie einen strikten Change-Management-Prozess für Passwörter bei privilegierten Konten um.
  Es gehört zu den bewährten Sicherheitsempfehlungen, Passwörter regelmäßig zu ändern. Wenn man sich aber die Change-Management-Prozesse bei privilegierten Konten ansieht, ist eher das Gegenteil die Norm, diese Passwörter nämlich überhaupt nicht zu ändern. Anmeldeinformationen sind nicht selten in Skripten oder Anwendungen hart-kodiert. Passwörter zu ändern ist deshalb relativ umständlich, und es besteht das Risiko, dass wichtige Applikationen nach der Änderung nicht mehr funktionieren. Das hat dazu geführt, dass in den meisten Fällen derartige Passwörter nur höchst ungern oder gar nicht geändert werden. Um Fehler zu vermeiden, sollten Unternehmen eine vollständige, präzise Liste all der Skripts und Anwendungen erstellen, die solche Anmeldeinformationen benutzen. Es gibt Software-Lösungen, mit deren Hilfe hart-kodierte Passwörter durch programmatische Aufrufe ersetzen werden, die dann dynamisch Zugangsinformationen abfragen. Das vermeidet Reibungsverluste innerhalb des Prozesses.
• Schritt 4: Gewährleisten Sie, wenn möglich, dass die Nutzung privilegierter Konten immer an persönliche Verantwortlichkeiten gebunden ist, und setzen Sie das Prinzip der minimalen Rechtevergabe um.
  Best Practices zu gewährleisten und an Compliance-Vorgaben festzuhalten ruht im Wesentlichen auf zwei Säulen. Zum einen der persönlichen Verantwortlichkeit und zum anderen auf dem Prinzip der minimalen Rechtevergabe. Man muss genau wissen, wer auf was zugreifen kann und wann. Benutzer sollten nur genau die Berechtigungen zugewiesen bekommen, die sie tatsächlich brauchen um ihre beruflichen Aufgaben erfüllen zu können. Auf diese Weise lassen sich potenziell schädliche und gefährliche Aktivitäten begrenzen. Unabhängig davon, ob diese beabsichtigt sind oder versehentlich passieren. Nicht alle Systeme verfügen über native Tools um persönliche Verantwortlichkeiten sicherzustellen und Zugriffsberechtigungen nach dem obigen Prinzip zu vergeben. Dann sollte man auf Lösungen von Drittanbietern zurückgreifen, die eine granulare Zugriffskontrolle erlauben.
• Schritt 5: Überwachen Sie die Zugriffe auf privilegierte Konten. Regelmäßig.
  Es reicht nicht aus zu kontrollieren, was privilegierte Nutzer tun dürfen. Es is genauso nötig zu auditieren, was genau die betreffenden Nutzer mit ihren Zugriffsberechtigungen tatsächlich tun. Regelmäßig sollte in Berichten aufgeführt sein, wann Passwörter privilegierter Konten geändert wurden und ob und welche potentiell schädliche Befehle auf einem System ausgeführt wurden und auch von wem. Zudem ist es ist wichtig einen periodischen Zertifizierungsprozess einzuziehen, der sicherstellt, dass Nutzer, die auf privilegierte Konten zugreifen, diese Berechtigung weiterhin benötigen. Mithilfe regelmäßiger Audits, der Berichtserstellung und Zertifizierung lässt sich besser verstehen, wie es um die Sicherheit der privilegierten Konten eines Unternehmens bestellt ist. Und es lassen sich Bereiche identifizieren, in denen Verbesserungen erforderlich sind und Risiken minimiert werden müssen.

Mit privilegierten Konten sind in jedem Unternehmen Risiken verbunden. Die betreffenden Zugriffsberechtigungen zu verwalten sollte so durchdacht wie praktikabel sein und in Einklang mit den geschäftlichen Erfordernissen stehen.
Wenig überraschend gibt es in der IT-Sicherheit keinen Königsweg. Die beschriebenen Schritte bilden aber eine gute Voraussetzung, um Best Practices dauerhaft zu etablieren, den Sicherheitsstatus eines Unternehmens einzuschätzen, Lücken und Schwachstellen zu erkennen und Risiken zu senken.

Weitere Informationen zum Thema:

datensicherheit.de, 11.08.2018
Kostenloses Discovery-Tool zum Aufspüren privilegierter Konten

datensicherheit.de, 07.08.2018
Sicherer Umgang mit Zugriffsrechten

datensicherheit.de, 26.09.2017
Häufig von Unternehmen unterschätzt: Privilegierte Zugriffsrechte als Sicherheitsrisiko

datensicherheit.de, 29.08.2017
Privilegierte Benutzerkonten ins Visier von Hackern

datensicherheit.de, 10.04.2016
Ungesicherte Drittanbieterzugriffe als idealer Nährboden für Cyberattacken

Von unserem Gastautor Garry McCracken, Vice President Technology bei WinMagic

[datensicherheit.de, 28.01.2019] Nahezu täglich erreichen uns Nachrichten über Datenschutzverletzungen, ob kriminell motiviert oder durch menschliches Versagen verursacht. Der potenzielle Verlust von Daten ist von der Ausnahme zur Regel geworden. Wir haben uns an Meldungen über den Verlust sensibler Daten fast schon gewöhnt. Der Fall des so genannten „Politiker-Daten-Lecks“, bei dem massenhaft, teilweise sehr sensible Daten von Politikern, Journalisten und Prominenten gestohlen und veröffentlicht wurden, hat dieses Thema zurück ins Zentrum unserer Aufmerksamkeit geholt.

Schwache Passwörter erklären die Problematik nur teilweise

Nach bisherigem Erkenntnisstand sind schwache Passwörter und Authentifizierungsmechanismen für Social-Media-Konten sowie Messenger- und Cloud-Dienste Gründe für den Daten-Verlust. Auch eine geringe Sensibilisierung für Cyberrisiken ist Teil des Problems, etwa wenn private Mail-Accounts genutzt werden, statt auf besser gesicherte Mail-Konten zu setzen, deren zugrunde liegende Infrastruktur von Regierungsseite administriert wird. Ob und in welcher Weise die Daten verschlüsselt waren, darüber ist noch nichts öffentlich bekannt.

Dabei ist die Verschlüsselung von Daten ein grundlegendes Instrument der IT-Sicherheit. Verschlüsselung ist Mainstream. Sie ist fast so alt wie das Internet selbst und kann Angreifer in ihrem Ziel, vertrauliche Benutzer- und Kundendaten, Geschäftsgeheimnisse und andere Daten zu stehlen, stark behindern. Verschlüsselte Daten sind im Fall eines Diebstahls für den Cyberkriminellen schlichtweg wertlos.

Bild: WinMagic

Garry McCracken, Vice President Technology bei WinMagic

Daten breiten sich epidemisch aus

Doch ganz so einfach ist es nicht, selbst wenn die Daten nicht bei öffentlich zugänglichen Diensten wie Dropbox oder Twitter liegen. Daten befinden sich heute nicht mehr an wenigen, lokalen Orten in gut gesicherten Netzwerken. Wir arbeiten mobil, virtuell, auf vielen unterschiedlichen Endgeräten, in der Cloud. Gerade Cloud-Dienste zur gemeinsamen Nutzung von Dateien und virtualisierte Infrastrukturen erleichtern das zeit- und standortunabhängige Arbeiten enorm. Ein ortsunabhängiger Zugang zu Daten und Workloads ist unerlässlich geworden, um in einer immer stärker vernetzten Welt wettbewerbsfähig zu bleiben. Mit dem Ergebnis, dass sich Daten geradezu epidemisch verbreiten. Unternehmen, die über eine so vielfältige, so genannte hyperkonvergente Infrastruktur verfügen, müssen neben Rechenzentren viele verschiedene Endpunkte bis hin zu VMs und Clouds sichern und das bedeutet auch, die Daten, die dort entstehen, verschlüsseln.

Epidemische Ausbreitung von Daten

Fehlendes Bewusstsein auf Fach- und Führungsebene

Datenverschlüsselung in hyperkonvergenten Netzen kann ziemlich schnell recht kompliziert und unübersichtlich werden. Vor allem dann, wenn IT-Verantwortliche auf native, punktuelle Lösungen setzen. Punktlösungen, die nur Segmente der Netzwerkinfrastruktur, in der Regel einzelne Geräte, verschlüsseln, reichen nicht mehr aus. Denn wir können heute nicht mehr kontrollieren, wohin sich Daten verbreiten. Das wiederum führt zu versteckten Datensilos und einer fragmentierten Data Governance. Darüber hinaus müssen IT-Administratoren unzählige Verschlüsselungs-Keys verwalten, was ein zusätzliches Problem in puncto Handhabbarkeit, aber auch Compliance darstellt. Der Versuch, viele unterschiedliche Lösungen mit ihren Schlüsseln unabhängig zu verwalten, bedeutet einen großen Aufwand und birgt potenzielle Fehlerquellen im Datensicherheitsplan eines Unternehmens.

Dass vielfach nur Punktlösungen für die Verschlüsselung eingesetzt werden, rührt auch daher, dass es in vielen Unternehmen wenig bis gar keinen Druck der Führung in Form einer universellen Verschlüsselungsrichtlinie über das gesamte Netzwerk gibt. Eine solche Richtlinie würde entsprechende IT-Lösungen voraussetzen: Und zwar Verschlüsselungslösungen, die IT-Infrastrukturen automatisieren und end-to-end absichern. Unabhängig davon, ob sich die Daten in einer öffentlichen oder privaten Cloud oder auf einem Gerät befinden. Es gilt nicht mehr die Daten auf einzelnen Geräten, sondern die Daten von Usern zu verschlüsseln.

In virtualisierten Infrastrukturen lassen sich die Daten auf VMs beispielsweise zuverlässig sichern, indem direkt auf der VM und losgelöst vom Hypervisor verschlüsselt wird. Darüber hinaus ermöglichen übergreifende Lösungen ein zentralisiertes, selbstgesteuertes Schlüsselmanagement mithilfe eines separaten, so genannten Key Management Servers, der on-premise im eigenen Rechenzentrum verbleibt.

Stichwort Compliance und Datenschutz

Wir wissen, dass Datenlecks im gesamten Spektrum der IT-Ausrüstung auftreten – in Netzwerken, wenn Informationen übertragen werden oder, wenn Geräte verloren gehen oder gestohlen werden. Es gibt viele Möglichkeiten, Informationen zu verlieren. Jede einzelne davon ist potenziell schädlich für Unternehmen.

Hinzu kommen immer strengere Vorschriften in puncto Datenschutz. Diese Vorschriften, allen voran die DSGVO, aber auch branchenspezifische Richtlinien wie MiFID II und PCI DSS sehen vor, dass nicht nur die Daten durch Verschlüsselung geschützt werden müssen, sondern auch die Keys, mit denen die Daten verschlüsselt werden. Verschlüsselungs-Keys in einer Cloud zu speichern, wie es manche Verschlüsselungslösungen tun, verstoßen damit gegen anerkannte Compliance-Richtlinien.

Darüber hinaus schreiben die Richtlinienkataloge vor, dass Unternehmen Verfahren zum Schutz der Verschlüsselungs-Keys dokumentieren müssen. Unternehmen, die diesen Anforderungen nicht nachkommen, riskieren neben einem Image-Verlust, juristische Konsequenzen und hohe Geldstrafen.

Datenverschlüsselung hilft, Lücken in der Cyberabwehr zu schließen

Wenn es in der Geschäftswelt eine absolute Wahrheit gibt, dann die, dass Daten heutzutage überall sind. Unternehmen aller Größen kämpfen mit der Datensicherheit, da die Zahl der mobilen und agilen Mitarbeiter ständig steigt. Mit von der Unternehmensführung durchgesetzten, Plattform- und Geräteübergreifenden Verschlüsselungsmaßnahmen können sich Unternehmen darauf verlassen, dass die Daten im gesamten Netzwerk geschützt sind. Die Maßnahmen können nicht von Mitarbeitern deaktiviert werden, die die Geräteleistung optimieren möchten, was sowohl bei Punktverschlüsselungslösungen als auch bei Antivirenlösungen ein echtes Problem darstellt.

Die Verschlüsselung ist die Grundlage jeder Datensicherheitslösung. Sie kann von unschätzbarem Wert für die Bekämpfung ausgereifter Bedrohungen, den Schutz vor IoT-Datenschutzverletzungen und die Einhaltung gesetzlicher Vorschriften sein. Verschlüsselungslösungen wandeln Daten in einen unknackbaren, unlesbaren Code um und machen sie damit für Unberechtigte nutzlos.

Datenverschlüsselung ist oft die einzige Technologie, die in den immer strengeren gesetzlichen Regelwerken als gangbare Sicherheitsmaßnahme erwähnt wird. Die zentrale Schlüsselverwaltung sorgt dafür, dass Verschlüsselungs-Keys kontrolliert werden. So können Unternehmen regulatorische und gesetzliche Vorgaben einhalten. Die Verschlüsselung ist die letzte Verteidigungslinie im Falle einer Datenschutzverletzung – und zwar unabhängig davon, ob es sich um einen böswilligen Eindringling oder eine versehentliche Offenlegung handelt.

Weitere Informationen zum Thema:

datensicherheit.de, 09.01.2019
orbit-Datenleak kein Einzelfall: Politik muss folgerichtig handeln

datensicherheit.de, 09.01.2019
Cyber-Kriminalität: Jeder zweite Internetnutzer betroffen

Von unserem Gastautor Gerald Lung, Country Manager DACH bei Netwrix Corporation

[datensicherheit.de, 26.11.2018] Es vergeht kein Tag ohne Datenschutzverletzungen. Die weltweite Datenbank Breach Level Index von Gemalto, die Datenverstöße verfolgt und nach Art der gefährdeten Daten, der Zugriffsmethode und der Art des Verstoßes analysiert, visualisiert eindrucksvoll, wie viele Datenschutzverletzungen jeden Tag gemeldet werden. Erfahrungsgemäß basieren zahlreiche Verstöße auf ähnlichen Problemen: schlecht konfigurierte Hardware oder Software, die nicht den neuesten Patch erhalten hat, sowie umfangreiche Zugriffsrechte auf Daten für Benutzer, die nur einen Bruchteil dieser Rechte für ihre Arbeit benötigen würden. Erschreckend oft lassen sich diese Probleme auf eine schlechte IT-Hygiene zurückführen.

Eine gute IT-Hygiene ist eine Reihe von Verfahren in der Informationssicherheit, um Daten sicher und gut geschützt zu halten. Dazu gehören einerseits Sicherheitsrichtlinien, die es dem Unternehmen ermöglichen, seine wichtigsten Systeme und Daten vor Angriffen von außen, wie beispielsweise Malware sowie vor Insider-Bedrohungen, wie beispielsweise menschlichen Fehlern seiner Mitarbeiter, zu schützen. Andererseits fallen auch die Praktiken darunter, die Benutzer anwenden, um sensible Daten organisiert und sicher zu halten. In der Praxis leidet die Qualität der IT-Hygiene allerdings oft darunter, dass das Budget nicht ausreicht, um der wachsenden Komplexität der IT-Umgebung und der Bedrohungslandschaft gerecht zu werden.

Die Folgen einer schlechten IT-Hygiene werden schnell unterschätzt

Unternehmen müssen rentabel arbeiten, aber der jüngste Datenvorfall von Experian, eine der drei größten US-amerikanischen Wirtschaftsauskunftei, zeigt, wie eine Budgetkürzung grundlegende Arbeitsabläufe für Angriffe anfällig macht. IT-Teams fehlen dann oft auch die Tools und Schulungen, um Risiken einzuschätzen, und ihre Geschäftspartner sind nicht immer in der Lage, kritische Assets zu identifizieren, die besonderen Schutz benötigen. Zum Beispiel lässt sich leicht vorstellen, dass eine Datei, die mit dem Namen „Notiz“ in einer SharePoint-Website versteckt ist, tatsächlich eine Tabelle mit sensiblen Kundeninformationen ist, die ein Mitarbeiter abgelegt hat, um auf die Daten schneller Zugriff zu haben. Die Sicherheitsteams haben in der Regel keine Chance, solche Daten richtig einzuschätzen, es sei denn, jemand sagt es ihnen. Genau solche Kommunikationslücken spielen böswilligen Angreifern in die Hände.

Bild: Netwrix

Gerald Lung, Country Manager DACH bei Netwrix Corporation

Die wirtschaftlichen Folgen von Sicherheitsverletzungen durch den Vertrauensverlust der Kunden, den Datenmissbrauch, Identitätsdiebstahl und andere Szenarien ist für viele Unternehmen schnell kritisch. Dazu kommen zahlreiche staatliche und branchenspezifische Vorschriften, die mit hohen Geldbußen und andere Strafen geahndet werden, wenn verschiedene Arten von sensiblen Daten nicht ordnungsgemäß geschützt werden; die europäische Datenschutzgrundverordnung ist dafür das aktuellste Beispiel.

Die IT-Hygiene gerät schnell in eine Abwärtsspiral: Umso schlechter der Zustand ist, umso aufwendiger wird die Korrektur, umso eher leidet die Hygiene und verschlechtert sich noch mehr, was eine Korrektur noch weiter erschwert. Für viele Sicherheitsteams ist die kritische Frage, wo anfangen soll, den Zustand zu verbessern und den Kreislauf zu durchbrechen. Vier Schritte sind notwendig, um die IT-Hygiene nachhaltig zu verbessern.

1. Die richtigen Daten zur Evaluation die IT-Hygiene sammeln. Zunächst müssen die Risiken im eigenen Unternehmen bewertet werden, dabei ist der häufigste Fehler, sich auf Annahmen oder Meinungen zu verlassen. Annahmen und Meinungen mögen manchmal plausibel klingen, müssen aber kritisch betrachtet werden, weil ihnen in der Regel belastbare und systematische Beobachtungen fehlen. Ein guter Ansatzpunkt sind die Sicherheitssysteme an der Peripherie des Netzwerks, die heutzutage in den meisten Unternehmen bereits stark ausgeprägt sind und nützliche Daten erfassen. Diese Informationen lassen sich nutzen, um Angriffspunkte zu identifizieren und einen groben Überblick über die Zugriffsberechtigungen innerhalb des Netzwerkes zu bekommen.
2. Die Bereinigung auf Grundlage des Risikos priorisieren. Diese Daten sind belastbar und erfahrungsgemäß offenbaren sie bei genauer Betrachtung schnell, welche Prioritäten hervorstechen. Allerdings sollte diese Informationslage nur die erste Grundlage sein, um die Risiken zu bewerten. Es wird oft versäumt, auch Führungs- und Fachkräfte aus anderen Geschäftsbereichen des Unternehmens einzubeziehen, die oftmals eine ganz andere Vorstellung als die IT davon haben, wo sich ihre entscheidenden Vermögenswerte des Unternehmens befinden. Möglicherweise wird der Prozess an dieser Stelle schwierig: Die Beteiligten erklären oftmals schnell bei jedem Ordner, dass ein ungehinderter Zugang unverzichtbar sei und an dieser Stelle zeigt sich in der Regel der Wert der zuvor gesammelten Daten. Eine gute Vorbereitung zeigt in der Regel, wann und wie ein Nutzer auf bestimmte Daten Zugriff erhalten hat und wie oft er diese Rechte tatsächlich benötigt.
3. Die notwendigen Wiederholungen einplanen. Die IT-Systeme und -Infrastruktur eines Unternehmens wandelt sich kontinuierlich und bereits kleine Änderungen an einer Konfigurationsdatei, der vorhandenen Hardware oder bei den Aufgaben sowie Zusammensetzung der Mitarbeiter kann bereits große Auswirkungen auf die Datensicherheit haben. Das bedeutet, dass die IT-Hygiene regelmäßig evaluiert werden muss und eigentlich ein kontinuierlicher Prozess ist, der wiederholt, termingerecht und so weit wie möglich automatisiert durchgeführt werden muss. Deshalb sollte der Prozess gleich an die erstmalige Bereinigung angeschlossen werden, ehe sie wieder neu begonnen werden muss.
4. Das Gespräch über die IT-Hygiene pflegen. Die CIOs und CISOs müssen über die Risiken so sprechen, dass sie von allen verstanden werden. Oftmals wird das Thema von anderen Vorstandsmitgliedern und der Geschäftsführung nur unzureichend verstanden, weil ihnen die notwendigen Vorkenntnisse fehlen. Das bedeutet allerdings, dass sie die Bedeutung des Anliegens und der notwendigen Investitionen nur unzureichend überblicken können. Deshalb kann lohnt es sich, sie frühzeitig zu coachen, damit sie der Ausführung des CISOs ausreichend folgen und die Folgen ihrer Entscheidung abschätzen können. Das ist meistens der Punkt, an dem sich fast jedes Unternehmen noch stark verbessern kann.

Die IT-Sicherheit muss ständig nach den effizientesten und geeignetsten Wegen suchen, um die Risiken ihres Unternehmens zu minimieren, und es gibt keinen besseren Ort, um damit zu beginnen, als die grundlegende IT-Hygiene sicherzustellen.

Weitere Informatione zum Thema:

datensicherheit.de, 09.11.2018
Datensichtbarkeit: Nachholbedarf beim Unterbinden unbefugter Zugriffe

datensicherheit.de, 11.10.2018
Netwrix-Studie: 73 Prozent der deutschen Unternehmen scheitern daran Sicherheitsvorfälle effektiv zu entdecken

datensicherheit.de, 13.09.2018
Sicherheit bei der Digitalisierung häufig unterschätzt

[datensicherheit.de, 14.09.2018] Laut einer aktuellen Studie von Kaspersky Lab und B2B International [1] hatten 42 Prozent aller Unternehmen weltweit im vergangenen Jahr eine Datenpanne zu beklagen. In zwei Fünfteln (41 Prozent bei KMUs, 40 Prozent bei größeren Firmen) der Fälle waren dabei persönliche Kundendaten betroffen. Die Studie zeigt zudem: In fast in einem Drittel (31 Prozent) der Datenschutzverletzungen folgten Mitarbeiterkündigungen. Ein fatales Signal für die IT-Sicherheit eines Unternehmens; denn das Niveau des Cybersecurity-Bewusstseins innerhalb einer Organisation entscheidet über ihre Abwehrstärke – egal ob Mittelstand oder Konzern.

Von Mitarbeitern verursachte Cybersicherheitsvorfälle sind eine der größten Cyberbedrohungen für Unternehmen und Organisationen. Umso wichtiger ist es deshalb, alle Betriebsangehörigen – vor allem Personal, das nicht jeden Tag mit technologischen Neuerungen und potenziellen Gefahren der Digitalisierung zu tun hat – regelmäßig zu schulen und über aktuelle Bedrohungen zu informieren. Darüber hinaus ist es wichtig, kein Klima der Angst zu schüren. Denn wenn selbst verursachte Fehler von Mitarbeitern aus Furcht, etwa vor einer Kündigung, verschwiegen werden, können Gegenmaßnahmen womöglich zu spät eingeleitet, beziehungsweise der Sicherheitsvorfall an sich gänzlich unentdeckt bleiben.

„Aus Perspektive der IT-Sicherheit entscheidend: Mitarbeiter sind nicht unfehlbar und Pannen können passieren. Sofortige Entlassungen, stets vorausgesetzt, dass es sich bei der Verfehlung nicht um mutwilliges oder extrem fahrlässiges Verhalten gehandelt hat, sind deshalb nicht zwangsläufig die Lösung des eigentlichen Problems“, sagt Dmitry Aleshin, VP für Produktmarketing bei Kaspersky Lab.

Gleichzeitiger Verlust von Geld und Manpower

Neben dem finanziellen Schaden durch Datenschutzfehler – 45 Prozent der KMUs und 47 Prozent der größeren Unternehmen mussten Entschädigungen an die betroffenen Kunden zahlen – schlägt auch der Verlust von Fachkräften und Talenten mittel- und langfristig nicht unerheblich zu Buche. Neben der Tatsache, dass mehr als ein Drittel (35 Prozent bzw. 38 Prozent) nach einem Sicherheitsvorfall Schwierigkeiten bei der Neukundenakquise hatten und über ein Viertel der KMUs (27 Prozent) und Unternehmen (31 Prozent) Strafen und Geldbußen zahlen mussten, ist auch die Nachrekrutierung nun fehlenden Personals teilweise mit hohen Kosten verbunden. Denn auch die obersten betrieblichen Hierarchiestufen bleiben hier nicht verschont.

„Während eine Datenpanne für ein Unternehmen als Ganzes verheerend ist, kann sie auch sehr persönliche Auswirkungen auf das Leben einzelner Menschen bedeuten. Seien es Kunden oder Mitarbeiter, die einen Fehler begangen und dadurch eine Datenschutzpanne verursacht haben. Sowohl für die Absicherung des eigenen Unternehmens als auch der Mitarbeiter müssen Datenschutzstrategien deshalb zukünftig noch breiter und ineinander greifender konzipiert und umgesetzt werden“, betont Aleshin.

Unkontrollierbare Daten erhöhen Schadensrisiko

In modernen Organisationen ist die Speicherung personenbezogener Daten praktisch unumgänglich. Wie der Bericht von Kaspersky Lab zeigt, sichern 88 Prozent der Unternehmen Kunden- und 86 Prozent Mitarbeiterinformationen. Darüber hinaus führen neue Vorschriften, wie die europäische Datenschutzgrundverordnung (DSGVO), in einem zunehmend komplexer werdenden Geschäftsumfeld dazu, dass die Speicherung personenbezogener Daten verstärkt mit Compliance-Risiken verbunden ist. Insbesondere wenn man bedenkt, dass sich etwa 20 Prozent der sensiblen Kunden- und Unternehmensdaten in Public Clouds, auf BYOD-Geräten (Bring-your-own-Device) und in SaaS-Anwendungen (Software-as-a-Service) befinden.

Kaspersky Lab: Technologie und Mensch müssen Hand in Hand arbeiten

Die Studie ergab darüber hinaus, dass 86 Prozent der Unternehmen zumindest offiziell über eine Datensicherheits- und Compliance-Richtlinie verfügen. Eine Datenschutzerklärung selbst ist jedoch keine Garantie dafür, dass sensible Informationen auch tatsächlich ordnungsgemäß verarbeitet werden. Neben der intensiven Einbeziehung und Schulung des Personals [2] besteht noch immer ein immenser Bedarf an Sicherheitslösungen [3], die Daten über die gesamte technologische Infrastruktur – einschließlich Cloud-Anwendungen, mobile Endgeräte, Applikationen und mehr – schützen können. Nur eine in sich greifende Kombination aus Cybersicherheitsbewusstsein und leistungsstarker Sicherheitstechnologie kann für einen umfassenden Schutz sorgen.

Kaspersky Lab bietet Lösungen für unterschiedliche Geschäftsanforderungen im Hinblick auf Endpoint Security [3], DDoS-Prävention, hybride Cloud-Sicherheit [4], erweiterte Abwehr von Bedrohungen und Cybersicherheitsdienste [5] an.

[1] Insgesamt wurden von März bis April 2018 5.878 Interviews bei Unternehmen verschiedener Größen (Kleinbetriebe mit 1-49, KMU mit 501-1.000 und Konzerne mit mehr als 1.000 Mitarbeitern) durchgeführt.
[2] https://www.kaspersky.de/enterprise-security/security-awareness
[3] https://www.kaspersky.de/enterprise-security
[4] https://www.kaspersky.de/enterprise-security/cloud-security
[5] https://www.kaspersky.de/enterprise-security/threat-intelligence

Weitere Informationen zum Thema:

datensicherheit.de, 26.07.2018
Der Mensch als Schlüsselfaktor Cybersicherheit

datensicherheit.de, 26.07.2018
Cybersicherheit: Die Lücke zwischen Schutz und Risiko

datensicherheit.de, 30.03.2016
Hacks und Datenpannen sind Gefahren für alle Unternehmen

Von unserem Gastautor Emmanuel Schalit, CEO von Dashlane

[datensicherheit.de, 11.09.2018] Angesichts der Häufigkeit, mit der Hacks und Datenschutzverletzungen auftreten, verlieren Internet-Nutzer nicht nur den Überblick, sondern auch das Vertrauen in die Online-Dienste. Viele Mainstream-Medien verwenden die beiden Begriffe synonym und tragen damit nicht zur Aufklärung bei. Sicherlich haben beide auch Gemeinsamkeiten, dennoch gibt es einige wichtige Unterschiede, die jeder Internet-Nutzer kennen sollten.
Wenn es um die Sicherheit und den Schutz der eigenen Daten geht, ist es zwingend notwendig, wachsam und informiert zu sein.

Ein Hack ist ein vorsätzlicher Angriff auf ein geschütztes System

Ein Hack ist ein vorsätzlicher Angriff von einem böswilligen Akteur, der sich unautorisierten Zugriff auf ein geschütztes System (z. B. einen Computer oder Server) verschafft, um private Daten zu stehlen oder Lösegeld zu erpressen, damit das System wieder freigegeben wird.
Ein Hack wird von einem einzelnen Hacker oder einer organisierten Hacker-Gruppe durchgeführt. Die Art und Weise, wie solch ein Hacking-Angriff auf ein System erfolgt, kann variieren. Einige verwenden ausgeklügelte Hacking-Techniken, für die tiefgreifende Kenntnisse notwendig sind, um in ein System einzudringen und Abwehrmechanismen auszuschalten, während andere Hacker (auch als Script-Kiddies bezeichnete) ihre Angriffe über Softwareprogramme durchführen. Es ist wichtig zu beachten, dass nicht alle Hacker Verbrecher sind.
Im Gegenteil: Jedes Top-Sicherheits- und Technologie-Unternehmen (auch Dashlane!) beschäftigt sogenannte White Hat Hacker (das Gegenteil von den illegalen Black Hat Hackern), die kontinuierlich die implementierten Systeme des Unternehmens testen und Schwachstellen aufdecken. Die Unternehmen können solche ermittelten Sicherheitslücken dann schließen und ihre Sicherheitsmaßnahmen optimieren.
Wird in den Medien von einem Hack eines Unternehmens berichtet, handelt es sich allerdings immer um schlechte Neuigkeiten. Es bedeutet jedoch nicht, dass es für jeden Internet-Nutzer persönlich negative Konsequenzen hat. Denn ein Hack hat nicht automatisch zur Folge, dass private Daten gefährdet sind.

Beispiele für Hacking-Angriffe

Bereits die Übernahme eines Social-Media-Kontos kann als ein Hacking-Angriff eingestuft werden. So wurde zum Beispiel vor Kurzem das YouTube-Konto von Vevo gehackt und die Hacker haben dabei das am häufigsten angeklickte YouTube-Video aller Zeiten gelöscht: „Despacito“ von Luis Fonsi, das über fünf Milliarden Aufrufe auf dem Kanal von Vevo hatte (es wurde inzwischen erneut hochgeladen. Bei diesem Hacking-Angriff waren keine Kundendaten bei YouTube oder Vevo gefährdet, dafür erlitt allerdings Vevo einen Imageverlust.
Andererseits gibt es aber auch Hacks, die außerordentlich viel Schaden anrichten, wie z. B. der Hack von Equifax. Infolgedessen wurde nicht nur der Ruf des Finanzdienstleisters irreparabel geschädigt, sondern es waren auch streng vertrauliche Informationen von mehr als 143 Millionen Amerikanern gefährdet.
Hinter vielen Hacks stecken finanzielle Motive, so wie bei dem Hack auf die Exchange Mt Gox, bei dem sich während des Angriffs 740.000 Bitcoins in Luft aufgelöst haben. Das Unternehmen, das zum damaligen Zeitpunkt mehr als 70 Prozent aller Bitcoin-Transaktionen weltweit abwickelte, ging noch im selben Jahr Pleite.

Datenschutzverletzung – Unbefugter Einblick in Daten

Eine Datenschutzverletzung tritt auf, wenn unbefugte Personen Einblick in Daten erhalten, die unbeabsichtigt in einer nicht geschützten Umgebung aufbewahrt werden. Während Hacks das Ergebnis proaktiven, illegalen Verhaltens sind, geschehen Datenschutzverletzungen häufig durch Fahrlässigkeit, menschliche Fehler oder anderes unabsichtliches Fehlverhalten, dessen Resultat eine Sicherheitslücke darstellt.
Das Wort „Verletzung“ wird häufig für eine Reihe verschiedener Gefährdungen im Bereich der Cybersicherheit verwendet, darunter auch für Hacks.

Unterschiede und Gemeinsamkeiten

Im oben aufgeführten Beispiel des YouTube-Kontos von Vevo hatte der Hack keine Datenschutzverletzung zur Folge. Die Hacker sind einfach böswillig in ein System eingedrungen und haben Onlineinhalte gelöscht. Sie haben keine Unternehmens- oder Kundendaten offengelegt. Deshalb handelt es sich hierbei nicht um eine Datenschutzverletzung.
Im Fall von Equifax hingegen hatte der Hack eine Datenschutzverletzung zur Folge. Die Hacker hatten Zugriff auf die personenbezogenen Daten von mehr als 143 Millionen Menschen, die ihnen niemals hätten zur Verfügung stehen dürfen. Die Daten waren aufgrund einer Fahrlässigkeit unabsichtlich gefährdet – Equifax versäumte es, eine Sicherheitslücke in seiner Software zu beseitigen. Salz in die Wunde streute der Sicherheitsforscher Brian Krebs, der aufdeckte, dass das Unternehmen für einige seiner Online-Portale die Kombination „admin/admin“ für Benutzername und Passwort verwendete. Die Ursache(n) für diese Datenverletzungen sind zwar weiterhin ungeklärt, doch es liegt auf der Hand, dass der fahrlässige Umgang mit Passwörtern seitens von
Equifax die personenbezogenen Informationen von Millionen Menschen weltweit in Gefahr gebracht hat.
Ein weniger gravierendes Beispiel eines Hacking-Angriffs, der zu einer Datenschutzverletzung führte, ist die Datenschutzverletzung von Under Armour und MyFitnessPal. In diesem Fall wurden die Benutzernamen, E-Mail-Adressen und verschlüsselten Passwörter von über 150 Millionen Nutzern ausgespäht.
Es gibt auch Fälle, in denen Daten einer Datenschutzverletzung ausgesetzt sein können, weil sie online offengelegt werden, ohne dass dies die Folge eines Hacking-Angriffs ist. Ein relevantes Beispiel dafür ist die Datenschutzverletzung von Facebook und Cambridge Analytica. Obwohl die Daten von 87 Millionen Benutzern über Facebook an Cambridge Analytica weitergegeben wurden, erfolgte der Zugriff auf diese Daten durch Cambridge Analytica nicht in Form eines bösartigen Angriffs. Das Unternehmen konnte diese Daten vielmehr über eine Lücke in der Facebook-API erfassen (nicht über einen Hack).

Nicht alle Hacks resultieren in Datenschutzverletzungen – und nicht alle Datenschutzverletzungen sind das Ergebnis eines Hacking-Angriffs. Es gibt wichtige Unterschiede zwischen den beiden Begriffen.
Unternehmen setzen Kundendaten aufs Spiel. Passwort-Wiederverwendung und Passwort- Sharing sind zwei große Probleme. Wenn ein Unternehmen ein Passwort für mehrere Online-Konten verwendet, wird das Eindringen in die Systeme dem Hacker sehr leicht gemacht. Um das Problem besser zu verstehen, kann man an die physische Sicherheit denken. Für Auto, Büro und die eigene Wohnung verwendet niemand den gleichen Schlüssel, sonst könnte der Täter auf alles zugreifen. Alle Objekte werden durch einen individuellen Schlüssel geschützt. Das gleiche gilt für Passwörter. Unternehmen und jeder Internet-Nutzer privat benötigt einzigartige und starke Passwörter für alle Konten sowie eine Identitäts-Management-Software, die Nutzung zu überwachen und alle Anomalien zu erkennen, die sowohl interne als auch externe Sicherheitsbedrohungen sein können.
Je besser Internet-Nutzer diese Unterschiede kennen und letztendlich wissen, wie solche Cybersicherheitslücken auftreten, desto höher ist die Chance, in solchen Situationen angemessen zu reagieren und sich selbst sowie die sensiblen personenbezogenen oder finanziellen Daten vor bösartigen Angreifern – oder einfacher Fahrlässigkeit – zu schützen!

Weitere Informationen zum Thema:

Dashlane
Bessere Passwortverwaltung

datensicherheit.de, 08.09.2018
Lehren aus der Datenschutzvorfall beim Credit Bureau Equifax

datensicherheit.de, 07.09.2018
Hackerattacke auf British Airways: Schnelles Handeln essentiell

datensicherheit.de, 24.07.2018
Datenleck bei Automobil-Zulieferer: Schutz von Daten jenseits der Unternehmensgrenzen

datensicherheit.de, 01.03.2018
Hacker-Angriff auf Datennetzwerk des Bundes: Ganzheitliches Sicherheitsmanagement notwendig

datensicherheit.de, 01.03.2018
Selbst nach Cyber-Attacke: Unternehmen ändern ungern Sicherheitsstrategie

datensicherheit.de, 01.03.2018
Daten als wertvollstes Asset müssen ins Zentrum der Sicherheitsstrategie gestellt werden

[datensicherheit.de, 09.09.2015] Unternehmen müssen sich gegen eine neue Dimension von sich schnell entwickelnden Cyberrisiken wappnen. Fürchten Unternehmen heute vor allem Datendiebstähle, Datenschutzverletzungen und Reputationsschäden, so werden künftig Betriebsunterbrechungen in den Vordergrund rücken. Auch katastrophale Schadenszenarien sind denkbar.

In der neuen Studie – „A Guide to Cyber Risks: Managing The Impact of Increasing Interconnectivity“ – untersucht der Industrieversicherer Allianz Global Corporate & Specialty (AGCS) die neuesten Entwicklungen zu Cyberrisiken, die Unternehmen immer stärker gefährden. Allein die Folgen von Cyberkriminalität kosten die Weltwirtschaft ca. 445 Milliarden US-Dollar* pro Jahr (CSIS/McAfee); auf die zehn größten Volkswirtschaften der Welt entfällt die Hälfte dieser Summe. In Deutschland entstehen jährlich Schäden in Höhe von 59 Mrd. US-Dollar.

„Vor nur 15 Jahren waren Cyberangriffe sporadisch und die wenigen Vorfälle meist das Werk von ‚Hacktivisten‘. Mit der zunehmenden digitalen Vernetzung, der Globalisierung und der Kommerzialisierung von Internetkriminalität kam es zu einer Explosion der Cyberangriffe  sowohl hinsichtlich ihrer Häufigkeit als auch hinsichtlich ihrer Schwere”, sagt Chris Fischer Hirs, CEO von AGCS. „Eine Cyberversicherung kann eine robuste IT-Security keinesfalls ersetzen, aber sie schafft eine zweite Verteidigungslinie, um die negativen Folgen von Cyberangriffen abzufedern. Wir beobachten eine zunehmende Nachfrage solcher Deckungen. Und wir möchten unsere Kunden dabei unterstützen, Gefahren aus dem Netz zu verstehen und sich besser dagegen zu wappnen.“

Strengere Regulierung steigert Nachfrage

Auch wenn derzeit erst weniger als zehn Prozent der Unternehmen Cyberpolicen kaufen, geht AGCS davon aus, dass das weltweite Prämienaufkommen von Cyberversicherungen von derzeit zwei Milliarden US-Dollar in den kommenden zehn Jahren auf über 20 Milliarden US-Dollar steigen wird. Das entspräche einer durchschnittlichen jährlichen Wachstumsrate von über 20 Prozent. Zwei Faktoren werden die Nachfrage nach Cyberversicherungen beschleunigen: Zum einen wächst das Risikobewusstsein in vielen Unternehmen. Zum anderen verschärft sich das regulatorische Umfeld.

„In den USA ist der Cyberversicherungsmarkt bereits gut entwickelt, was strengere Datenschutzgesetze entscheidend beeinflusst haben. Auch in vielen anderen Ländern weltweit werden gesetzliche Regelungen verschärft und Haftungsgrenzen angehoben – und das befördert die Nachfrage nach Cyberversicherungen“, erklärt Nigel Pearson, der bei der AGCS weltweit für Cyberversicherung zuständig ist. „Es gibt einen allgemeinen Trend zu strengeren Datenschutzsystemen, deren Verletzung mit empfindlichen Geldstrafen geahndet wird.” Hongkong, Singapur und Australien gehören zu den Ländern, die entsprechende neue Gesetze planen oder bereits umgesetzt haben. Selbst wenn sich die Europäische Union nicht auf die geplanten paneuropäischen Datenschutzvorschriften einigen könnte, ist mit strengeren Richtlinien in den einzelnen Ländern zu rechnen.

Bisher fürchteten Unternehmen vor allem Datendiebstähle und Datenschutzverletzungen, wenn es um Internetkriminalität geht. Doch die jüngste Generation der Cyberrisiken hat eine neue Qualität erreicht: Unternehmen drohen künftig der Diebstahl geistigen Eigentums, virtuelle Erpressungen und die kostspieligen Folgen von Betriebsunterbrechungen (BU) in Folge von Cyberangriffen oder auch rein technischen IT-Ausfällen oder Prozessfehlern. „Wenn Unternehmen an Cyberrisiken denken, dann denken sie nicht zuallererst daran, dass ihr Betrieb oder ihre Produktion still stehen könnten. Das ändert sich gerade“, beobachtet Georgi Pachov, Cyber-Experte im Global Property Underwriting-Team der AGCS. „Innerhalb der nächsten fünf bis zehn Jahre wird sich Betriebsunterbrechung zu einem zentralen Risiko für  internet- und technologiebasierte Unternehmen entwickeln – und die entsprechende Deckung zu einem wichtigen Element von Cyberversicherungen.“ BU-Deckungen für Cyber- und IT-Risiken sind breit angelegt und schließen sowohl die sog. „Business IT“ als auch industrielle IT-Systeme ein, wie sie Energieunternehmen oder Produktionsbetriebe zur Steuerung von Industrieanlagen oder Robotern nutzen.

Vernetzung schafft Risiko

Die virtuelle Vernetzung von Geräten und Maschinen sowie das wachsende Vertrauen in die Übertragung von Echtzeit-Daten auf persönlicher und geschäftlicher Ebene („Internet der Dinge“) schafft weitere Angriffspunkte für Internetkriminalität. Schätzungen zufolge könnten bis 2020 eine Billion Geräte untereinander vernetzt  sein; 50 Milliarden Maschinen könnten täglich Daten austauschen. Industrielle Steuerungssysteme, wie sie in Kraftwerken oder Fabriken zum Einsatz kommen, stellen ein weiteres Einfallstor für Hacker dar. Denn viele sich heute noch in Betrieb befindende Systeme stammen aus einer Zeit, als IT-Sicherheit noch keinen hohen Stellenwert hatte. Würden industrielle IT-Systeme durch einen Hackerangriff lahmgelegt, könnte dies Sachschäden durch Feuer oder Explosion auslösen und auch zu Betriebsunterbrechungen führen.

Katastrophenereignis denkbar

Während es bereits einige schwere Fälle von Datendiebstahl gab, nimmt die Wahrscheinlichkeit eines durch Internetkriminalität verursachten Katastrophenschadens zu.  Zu denkbaren Szenarien zählen ein erfolgreicher Angriff auf die Internetinfrastruktur, ein weitreichender Datenvorfall oder ein Netzwerkausfall bei einem Cloud-Service-Provider; ein schwerer Cyberangriff auf einen Energieanbieter oder ein Versorgungsunternehmen könnte nicht nur zu einem großflächigen Ausfall von Dienstleistungen führen, sondern auch hohe Sachschäden verursachen oder schlimmstenfalls sogar Menschenleben kosten.

Eigenständige Deckung, ganzheitliches Risikomanagement

Aus Sicht der Allianz sollten Cyberversicherungen ihren Deckungsumfang erweitern und auch Betriebsunterbrechungsrisiken einschließen. Cyberausschlüsse in klassischen Schaden- und Haftpflichtpolicen werden sich weiter durchsetzen. Im Gegenzug werden sich Cyberversicherungen als eine eigenständige Produktkategorie etablieren. Außerdem werden sich die Versicherer – wie bei anderen neu aufkommenden Risiken und Versicherungslösungen auch – mit Herausforderungen hinsichtlich Tarifierung, nicht getesteten Policen-Wordings, Modellierung und Risikoakkumulation konfrontiert sehen.

Die AGCS-Studie stellt Maßnahmen heraus, die Unternehmen ergreifen können, um Cyber-Risiken zu begegnen. Die Versicherung kann lediglich Teil der Lösung sein, notwendig ist vielmehr ein umfassender Risikomanagement-Ansatz, um Gefahren aus dem Netz abzuwehren. „Eine Cyberversicherung abgeschlossen zu haben, bedeutet nicht, bei der IT-Sicherheit sparen zu können. Vielmehr gehen die technologischen, betrieblichen und versicherungstechnischen Aspekte des Risikomanagements bei Cyberrisiken Hand in Hand”, erklärt Jens Krickhahn, AGCS-Experte für Cyberversicherungen in Deutschland.

Cyber-Risikomanagement im Unternehmen ist zu komplex, um einer einzigen Abteilung vorbehalten zu sein; deshalb empfiehlt die AGCS das Wissen von Stakeholdern aus verschiedenen Unternehmensbereichen in einen ‚Think-Tank’ zusammenzuführen, um das Risiko in den Griff zu bekommen. So können unterschiedliche Perspektiven und Szenarien untersucht und berücksichtigt werden, beispielsweise neue Risiken, die durch Fusionen und Übernahmen oder durch die Nutzung Cloud-basierter oder ausgelagerter Dienstleistungen entstehen. Eine unternehmensübergreifende Beteiligung hilft auch, die durch Cybergefahren besonders bedrohten Vermögenswerte eines Unternehmens zu identifizieren und robuste Krisenreaktionspläne zu entwickeln und zu testen.

Weitere Informationen zum Thema:

Allianz Global Corporate & Specialty
Download der Studie „A Guide to Cyber Risk“