Bericht zur Cyber-Resilienz 2023
Das ist Artikel Teil 11 von 14 In diesem Bericht.
August 21, 2023 / 7 Lesezeit in Minuten
EMEA: Durch Stärkung der Resilienz zunehmende Cyber-Risiken bewältigen
Angesichts der zunehmenden Komplexität von Cyber-Risiken sollten sich Unternehmen in der EMEA-Region weiterhin auf ihre Resilienz, neue Vorschriften und die Entwicklung ihrer Risikoprofile konzentrieren.
Wesentliche Erkenntnisse
- Als Reaktion auf zunehmende Risiken und zunehmende Vorschriften hat sich der Cyber-Reifegrad der Kunden von „basic“ zu „managed“ gesteigert, aber die Unternehmen haben immer noch nicht die erforderliche geschäftliche Resilienz erreicht.
- Die Kunden berichten, dass der Reifegrad in wichtigen Kontrollbereichen, einschließlich Endpunktsicherheit, Zugriffskontrolle und Telearbeit zwar leicht, jedoch spürbar angestiegen sei.
- Waren die Bereiche Bergbau, Steinbruch-Abbau sowie Öl- und Gasförderung in 2020 noch die leistungsschwächsten Branchen, so avancierten diese in 2022 zu den stärksten Industrien im Jahr 2020.
Es ist unmöglich, alle Cyber-Ereignisse zu verhindern, aber es ist möglich, sie zu managen. Governance, geopolitische Spannungen und ein Anstieg von Cyber-Vorfällen in Europa, dem Nahen Osten und Afrika (EMEA-Region) führten zu einem leichten Anstieg des Cyber-Sicherheitsreifegrads im Jahr 2022. Laut den Daten des Aon Cyber Quotient1 (CyQu) berichteten die Kunden im Durchschnitt, dass sich ihr „basic“ Reifegrad (2,27 von 4,0) zwischen 2020 und 2022 zu einer „managed“ Sicherheit (2,45 von 4,0) hin entwickelte. Auch wenn dieser Vorwärtstrend nur schrittweise erfolgt, ist er dennoch ermutigend und zeigt, dass sich die Einstellung, dass „uns das nicht passieren wird“, geändert hat.
Die Kunden konzentrierten sich im Jahr 2022 auf die Verbesserung der Datensicherheit und den Schutz von Unternehmensdaten, was teilweise auf den Konflikt zwischen der Ukraine und Russland zurückzuführen ist. Viele namhafte europäische und multinationale Unternehmen sind von dieser Situation stark betroffen und machen sich große Sorgen darüber, wie ihre Aktivitäten durch Angriffe, die von dieser Region ausgehen, beeinträchtigt werden könnten. Die Unternehmen haben daran gearbeitet, den richtigen Grad an Transparenz bei den betrieblichen Sicherheitskontrollen (SOCs) zu erreichen und die Zugriffskontrollen zu verstärken, wobei der Schwerpunkt zunehmend darauf lag, Angreifer daran zu hindern, in das Netzwerk einzudringen und sich seitwärts darin zu bewegen. Die CyQu-Daten von Aon bestätigten auch genau das, denn die Kunden meldeten einen leichten, aber spürbaren Anstieg des Reifegrads in den wichtigsten Kontrollbereichen, einschließlich Endpunktsicherheit, Zugriffskontrolle und Telearbeit.
Im Gegensatz dazu meldeten die Kunden im Durchschnitt weder bei der Anwendungssicherheit (Scorewert von 1,8 bis 2,1) noch bei der geschäftlichen Resilienz (Scorewert von 1,9 bis 2,2) eine deutliche Verbesserung und weisen immer noch einen „basic“ Reifegrad auf und sind somit nach wie vor weit entfernt von „managed“. Es ist wichtig anzumerken, dass US-amerikanische Unternehmen gegenüber vergleichbaren Unternehmen in der EMEA-Region bei der Endpunkt- und Netzwerksicherheit besser abschneiden, während beide Regionen mit der geschäftlichen Resilienz, insbesondere dem Risikomanagement von Dritten, ihre Schwierigkeiten haben. Die Unternehmen sollten der Beseitigung dieser Schwachstelle erhöhte Aufmerksamkeit schenken, zumal das systemische Risiko für die Versicherungsbranche2 ganz nach oben auf die Prioritätenliste katapultiert wurde und die Sicherheit Dritter im Mittelpunkt dieses Risikos steht.
Regionale CyQu-Risikowerte
Regionen | 2022 |
---|---|
Nordamerika | 2.7 |
Vereinigtes Königreich und EMEA | 2.4 |
Lateinamerika | 2.5 |
Asien-Pazifik | 2.7 |
CyQu-Risiko-Reifegrad-Scoring
Initial: 1.0 - 1.9
Basic: 2.0 - 2.5
Managed: 2.6 - 3.4
Advanced: 3.5 - 4.0
Auch die Versicherer und Aufsichtsbehörden haben die Verbesserung des Sicherheitsreifegrads in der Region vorangetrieben, und es ist davon auszugehen, dass weitere Gesetzesänderungen folgen werden. Die Maßnahmen der EU-Richtlinie zur Netz- und Informationssicherheit (NIS2) treten im Oktober 2024 in Kraft, und viele weitere Unternehmen werden in ihren Anwendungsbereich fallen.3 Die Auswirkungen von NIS2, vor allem die Ausweitung der Anforderungen an kritische Infrastrukturen4, sind bereits in den Scorewerten der CyQu-Branche bemerkbar. Waren die Bereiche Bergbau, Steinbruch-Abbau sowie Öl- und Gasförderung in 2020 noch die leistungsschwächsten Branchen, so avancierten diese in 2022 zu den stärksten Industrien im Jahr 2020: Die Kunden melden einen Reifegrad-Scorewert von 2,8 und nähern sich der Kategorie „managed“. Mit diesem Scorewert liegt der Energiesektor gleichauf mit den in der Vergangenheit besser abschneidenden Branchen Versicherungen und Finanzen sowie Versorgungsunternehmen, die bereits stark regulierte Branchen sind. Aufgrund der gestiegenen Anforderungen an die Geschäftssegmente dehnt die NIS2 das Risikomanagement im Bereich der Cyber-Sicherheit auf die Sicherheit der Lieferkette aus. Daher wird Third Party Management immer wichtiger für die Gestaltung von Geschäftsprozessen und die allgemeine Sicherheit.
Die Regulierungsbehörden werden vielleicht die zunehmende Abhängigkeit von digitalen Technologien und den immer stärkeren Einsatz von künstlicher Intelligenz (KI) genauer unter die Lupe nehmen. Die Art und Weise, wie Unternehmen Daten erheben, verarbeiten und verwenden, könnte sich in den nächsten zwölf Monaten rapide ändern, und die Führungskräfte sind aufgefordert, einen risikobasierten Schwerpunkt zu setzen. Im Zuge immer neuer Geschäftsmodelle gewinnt der Schutz der Daten immer mehr an Bedeutung und die Unternehmen müssen das Risikomanagement im gesamten Unternehmen weiterhin auf dem Schirm haben.
Schließlich sollten auch die Auswirkungen von Ransomware berücksichtigt werden. Ransomware ist immer noch aktuell und ist ein wichtiges Thema, vor allem für Versicherungsnehmer. Im ersten Quartal 2023 war mit 63 Prozent weltweit ein deutlicher Anstieg an Ransomware-Vorfällen zu verzeichnen. Dieser Wert erreichte im zweiten Quartal seinen Höhepunkt.5 Die Angreifer werden auch weiterhin das schwächste Glied ausnutzen – den Menschen. Die Unternehmen müssen daher den Reifegrad ihrer geschäftlichen Resilienz unter die Lupe zu nehmen.
Branchen im Blickwinkel
Wie bereits berichtet, stach der Energiesektor bei der Entwicklung der CyQu-Branchendaten am meisten heraus. Als zweite, ebenso bemerkenswerte Veränderung ist die Verbesserung des durchschnittlichen Reifegrads in der Bauindustrie (Scorewert von 1,9 auf 2,4) zu nennen. Diese Punktzahl entspricht dem Wandel, den wir heute bei der Gestaltung oder dem Übergang von einer sehr physischen zu einer zunehmend digitalisierten Umgebung vollziehen. Angesichts der Komplexität von Betriebsunterbrechungsereignissen im Baugewerbe ist zu erwarten, dass die Versicherer diese Änderung ebenfalls zur Kenntnis nehmen werden. In der Branche wird das Third Party Management von Drittanbietern weiter verstärkt werden und Tier-1- und Tier-2-Lieferanten werden in den Risikomanagementplan der Unternehmen eingebunden.
In ihrem Bericht zur Cyber-Resilienz 20236 hat Aon drei Branchen genauer untersucht: die verarbeitende Industrie, das Finanz- und Versicherungswesen sowie das Gesundheitswesen. In der gesamten EMEA-Region näherten sich Unternehmen in allen drei Branchen dem Status der „gemanagten“ allgemeinen Sicherheit oder einem Scorewert von 3,0 an, erreichten diesen aber noch nicht. Der Finanz- und Versicherungssektor meldete den höchsten Reifegrad (2,8), gefolgt von der verarbeitenden Industrie (2,5) und dem Gesundheits- und Sozialwesen (2,4). Die Auswirkungen der über die digitale operative Resilienz im Finanzsektor (DORA)7 auf das Finanz- und Versicherungswesen werden mit dem Näherrücken des Datums der Anwendbarkeit (17. Januar 2025) ein wichtiger Treiber für die Reifegradentwicklung sein.
Im Bereich des Gesundheitswesens trat 2021 die Europäische Medizinprodukteverordnung (EU MDR)8 in Kraft. Seit ihrer Einführung konnten wir einen Anstieg des Cyber-Reifegrads feststellen, insbesondere in der Medizintechnik. Dem Schutz der Umwelt kommt auch im Teilsegment Biowissenschaften, insbesondere bei Pharmaunternehmen, größte Bedeutung zu. Da Unternehmen Milliarden in die Forschung und Entwicklung neuer Medikamente investieren, können die Kosten für den Verlust von geistigem Eigentum (IP) verheerend werden. Die Unternehmen befürchten, dass Produktentwicklungszyklen verworfen werden müssen und dadurch erhebliche Investitionssummen verpuffen.
Betrachtet man die verarbeitende Industrie, so stellen die Versicherer seit langem Anforderungen an die Cyber-Sicherheit (insbesondere im Bereich der OT (operativen Technologie)). Daher ist es nicht verwunderlich, dass die Kunden einen weiteren Anstieg des allgemeinen Reifegrads berichteten. Angesichts immer größerer und komplexerer Lieferketten müssen sich die Hersteller auf die Stärkung ihres Third Party Managements und ihrer geschäftlichen Resilienz konzentrieren – zwei der komplexeren Kontrollbereiche, die es zu managen gilt.
Nächste Schritte: Empfohlene Maßnahmen für EMEA-Führungskräfte
Während wir in der gesamten EMEA-Region einen Anstieg des allgemeinen Cyber-Sicherheit-Reifegrads feststellen konnten, gehen wir davon aus, dass dieser Anstieg in Zukunft noch deutlicher ausfallen wird. Während die Branchen weiterhin in Innovationen und neue Technologien investieren, dürfte die zunehmende Komplexität der Risiken zu immer dynamischeren und schwierigeren Cyber-Bedrohungen führen. Vor diesem Hintergrund empfehlen wir den Unternehmen, ihren Ansatz anhand der folgenden drei Schritte weiter zu prüfen und zu hinterfragen:
- Konzentration auf die Cyber-Resilienz ist unabdingbar.
Angriffe auf Infrastruktur und Technologie sind unvermeidlich, und auch in Zukunft wird alles davon abhängen, wie gut Unternehmen in der Lage sein werden, angemessen mit Ereignissen umzugehen, und wie gut sie für die Bewältigung von Zwischenfällen und wesentlichen Ereignissen gerüstet sind. Eine gut aufeinander abgestimmte Kombination aus einer klaren Strategie für das Risikomanagement im Unternehmen, einer Strategie für die Cyber-Sicherheit und einer Versicherungsstrategiewird dazu beitragen, dieses Ziel zu erreichen. - Einbettung neuer gesetzlicher Anforderungen in die üblichen Geschäftsabläufe.
Neue Vorschriften wie die NIS29 und DORA10 sollen systemische Resilienz schaffen und für Schutz sorgen. Die Einbeziehung neuer Vorschriften in die täglichen Abläufe schafft ein sichereres Umfeld für Unternehmen und zieht möglicherweise einen Wettbewerbsvorteil nach sich. - Durchführung einer risikobasierten Analyse des sich entwickelnden Profils.
Es ist wichtig, dass wir mit der Entwicklung von Cyber-Bedrohungen Schritt halten. Angesichts der Entwicklung und Digitalisierung von Unternehmen insbesondere infolge der künstlichen Intelligenz, sollten sich Unternehmen weiterhin fragen, ob ihr Risikomanagement und ihre Sicherheitspraktiken noch zweckmäßig sind. Mindestens einmal im Jahr sollten die Unternehmen die Angemessenheit und Verhältnismäßigkeit ihrer Kontrollen überprüfen, um ein sich entwickelndes Risiko- und Chancenprofil zu managen.
Referenzen
1 Aon Cyber Quotient (CyQu). Zum Patent angemeldete Technologie.
2 Schritte zur Minimierung der Auswirkungen von Cyber-Bedrohungen auf das systemische Risiko (aon.com)
3 Machen Sie Ihr Unternehmen fit für NIS2.
4 „Wesentlicher Bereich: Energiesektor.“ NIS2-Richtlinie. 2022.
5 Käuferfreundlicher Cyber- und E&O-Markt: Wie Sie von den Vorteilen profitieren können | Aon
6 Bericht zur Cyber-Resilienz 2023 (aon.com)
7 „Verordnung (EU) 2022/2554 über die digitale operative Resilienz im Finanzsektor (DORA).“ Mitteilung. Cyber Risk GMBH.
8 „Europäische Medizinprodukteverordnung. 2017/745 (EU MDR).“ Informationsblatt.
9 „Machen Sie Ihr Unternehmen fit für NIS2.“ Aon. Artikel. März 2023.
10 „Verordnung (EU) 2022/2554 über die digitale operative Resilienz im Finanzsektor (DORA).“ Mitteilung. Cyber Risk GMBH.
Versicherungsprodukte und -dienstleistungen werden angeboten von: Aon Risk Insurance Services West, Inc, Aon Risk Services Central, Inc, Aon Risk Services Northeast, Inc, Aon Risk Services Southwest, Inc, und Aon Risk Services, Inc. in Florida sowie deren lizenzierten Tochtergesellschaften.
Die hierin enthaltenen Informationen und Aussagen sind allgemeiner Natur und beziehen sich daher nicht auf die Umstände einzelner Personen oder Rechtsträger. Obwohl wir uns bemühen, genaue und aktuelle Informationen zu liefern und diese aus Quellen beziehen, die unseres Erachtens verlässlich sind, besteht keine Gewähr dafür, dass die Informationen zum Zeitpunkt der Kenntnisnahme korrekt sind und es bleiben werden. Die genannten Informationen sollten nicht ohne eingehende Prüfung der jeweiligen Sachlage und eine vorherige professionelle Beratung als Entscheidungs- oder Handlungsgrundlage dienen.
Cyber Maturity by Region
Companies’ overall cyber maturity can differ per region. Learn more about the gaps, challenges and opportunities, including suggested steps leaders can take to build cyber and business resilience.