Bericht zur Cyber-Resilienz 2023

Das ist Artikel Teil 13 von 14 In diesem Bericht.

August 17, 2023 / 7 Lesezeit in Minuten

Nordamerika: Investitionen führen zu verbesserter Cyber-Resilienz

Viele Unternehmen in ganz Nordamerika haben in wichtigen Bereichen der Cyber-Resilienz Verbesserungen erzielt. In Schlüsselbereichen wie der Backup-Strategie und dem Einsatz von MFA gibt es jedoch noch Verbesserungspotentiale, insbesondere für kleine und mittelgroße Unternehmen.

Wesentliche Erkenntnisse

  1. Die Anzahl kritischer Cyber-Resilienz-Kontrollen, bei denen Kunden nicht zufriedenstellend abschnitten, ist 2022 im Vergleich zu 2021 im Durchschnitt zurückgegangen.
  2. Man rechnet im Jahr 2023 in sämtlichen Branchen mit weiter sinkenden Preisen für Cyber-Versicherungen, nachdem die Cyber-Resilienz verbessert wurde, die Schadenhäufigkeit zurückgegangen ist und die Schadenquoten der Versicherer gesunken sind.1
  3. Während globale Trends darauf hindeuten, dass Ransomware-Angriffe auf dem Vormarsch sind2, scheinen sich Unternehmen und Versicherer darauf zu konzentrieren, wie die KI auch Veränderungen bei Angriffsmustern und Datenschutz bewirken kann.

Im Kampf gegen Cyber-Angriffe investieren Unternehmensleiter in Nordamerika (NA) weiterhin in Tools, Technologien und Verfahren. Die Daten von Aon verdeutlichen diesen Trend. Die Daten von Aon zeigen, dass Unternehmen im Jahr 2022 im Durchschnitt 10 von 33 kritischen Kontrollen nicht bestanden haben, während es 2021 noch 12 von 33 waren. Auch in den Bereichen Zugriffsmanagement (Rückgang der Durchfallquote um 7,19 Prozent), Multi-Faktor-Authentifizierung (MFA) (Rückgang der Durchfallquote um 11,29 Prozent) und geschäftliche Resilienz (Rückgang der Durchfallquote um 6,08 Prozent) konnten wir deutliche Verbesserungen feststellen. Dank rückläufiger Schadenhäufigkeit in 2022 verbesserte sich die Schadenquote. In Verbindung mit der Verringerung der Schadenhäufigkeit und der Verbesserung der Schadenquoten der Versicherer dürften diese Investitionen dazu beitragen, die Cyber-Prämien im Jahr 2023 zu senken und gleichzeitig die allgemeine Cyber-Resilienz von Unternehmen zu verbessern.


Fehlende kritische US-IT-Kontrollen in Prozent U.S. (rot markiert)


Trotz der durchschnittlichen Verbesserungen bei sämtlichen Unternehmen in der NA-Region gibt es nach wie vor Schlüsselbereiche, in denen zusätzliche Investitionen getätigt werden könnten, und beim Thema Resilienz besteht ein deutlicher Unterschied zwischen großen Unternehmenskunden und Weltkonzernkunden einerseits und kleinen und mittelgroßen Unternehmenskunden andererseits. Die dem Zusatzantrag in Bezug auf Ransomware entnommenen Daten zeigen, dass sich nach Sicherheitskontrollen bei Backups die Ergebnisse in allen Branchen im Durchschnitt um 6 Prozent verbessert haben. Allerdings gaben 90 Prozent der Unternehmen an, dass sie keine Backups in der Cloud speichern, und bei 70 Prozent der Unternehmen sind die Backups weder ausgelagert noch unveränderlich. Insgesamt zeigen die Daten aus dem Jahr 2022, dass die Kontrollmängel bei der geschäftlichen Resilienz bei mittelständischen, kleinen und mittelgroßen Kunden um 10 Prozent höher waren als bei Großunternehmenskunden und Weltkonzernkunden. Unternehmen mit einem Umsatz von weniger als 2 Milliarden US-Dollar berichten weiterhin von größeren Mängeln im Bereich MFA als andere Unternehmen, was für Cyber-Versicherer nach wie vor sehr bedenklich ist.

Nach mehreren Quartalen mit rückläufiger Aktivität hat die Häufigkeit von Ransomware-Angriffen im ersten Quartal 2023 weltweit zugenommen3, was Unternehmen daran erinnert, dass Ransomware im Hinblick auf die Cyber-Resilienz weiterhin oberste Priorität zukommt. Darüber hinaus ist der Einsatz von KI-Tools zur Erstellung und Verfeinerung von Angriffsmustern sowohl für Unternehmen als auch für die Cyber-Versicherungsbranche ein wachsendes Problem. Die Leistungsfähigkeit und Benutzerfreundlichkeit dieser KI-Tools bedeutet, dass mit einer Zunahme von Phishing- und Spear-Phishing-Angriffen zu rechnen ist. Auch der Datenschutz rückt wieder stark in den Fokus, insbesondere im Gesundheitswesen.4 Klagen wegen angeblicher Verletzungen des Datenschutzes (z. B. California Invasion of Privacy Act (CIPA) und Video Privacy Protection Act (VPPA)), die aus dem Einsatz der Pixel-Tracking-Technologie resultieren, avancierten Ende 2022 zu einem beliebten Instrument bei Anwälten auf der Klägerseite, und dieser Trend setzt sich 2023 fort.

Branchen im Blickwinkel

In diesem Jahr haben wir drei Branchen genauer untersucht: die verarbeitende Industrie, das Gesundheitswesen sowie die Finanz- und Versicherungsbranche. Während die Unternehmen generell in allen drei Bereichen dieselben Verbesserungen wie in allen anderen Branchen erzielten, zeigen sich in manchen Details, die auf die spezifischen Bedürfnisse und Tätigkeiten der einzelnen Branchen zurückzuführen sind, dass es Abweichungen von den Durchschnittswerten in den Schlüsselbereichen gibt.

Kunden aus der verarbeitenden Industrie erzielten erhebliche Verbesserungen in den Bereichen MFA und Zugriffsmanagement. Im Durchschnitt wurde jedoch der höchste Prozentsatz an Mängeln bei der Backup-Sicherheit, der geschäftlichen Resilienz und der Datensicherheit festgestellt5, und diese Bereiche bleiben somit die größten Problembereiche. Die weite Verbreitung von alten Tools und die zunehmende Anzahl von Fusionen und Übernahmen in diesem Bereich sind beides Faktoren für die zunehmende Gefährdung durch Schwachstellen im Bereich der Informationstechnologie (IT) und der operativen Technologie (OT). Unternehmen in dieser Branche weisen nach wie vor eine durchschnittliche Misserfolgsquote von 40 Prozent bei den OT-Kontrollen auf.6 Diese Ergebnisse sind darauf zurückzuführen, dass Ransomware in Tabletop-Übungen nicht abgedeckt wird, keine aktuellen oder erprobten Betriebskontinuitätspläne vorliegen, und/oder die Überwachungs- und Patching-Kapazitäten in der OT-Umgebung unzureichend sind.


Fehlende prozentuale kritische IT-Kontrollen beim produzierenden US-Gewerbe (rot markiert)


Fehlende prozentuale kritische OT-Kontrollen beim produzierenden US-Gewerbe (rot markiert)


Kunden im Gesundheitswesen scheinen im Jahr 2022 im Vergleich zu 2021 erhebliche Verbesserungen in den Bereichen MFA und geschäftliche Resilienz erzielt zu haben.7 Dies ist teilweise darauf zurückzuführen, dass sich die Versicherer auf Schlüsselkontrollen konzentrieren, mit denen Wahrscheinlichkeit und Schwere eines Ransomware-Ereignisses begrenzt werden sollen. In den Bereichen Datensicherheit, Softwaremanagement und Endpunktsicherheit wurde im gleichen Zeitraum jedoch mehr Mängel gemeldet. Aufgrund der zunehmenden Digitalisierung und des Drucks innerhalb der Gesundheitsbranche, bestimmte Prozesse zu automatisieren, zeigen die Daten, dass viele Unternehmen im Jahr 2022 den IT-Betrieb ausgelagert oder kompetentes Sicherheitspersonal eingestellt haben. Diese Zunahme der Mängel weist jedoch möglicherweise nicht auf eine tatsächliche Verschlechterung der Cyber-Resilienz hin, sondern ist vielmehr Indiz für eine verbesserte Genauigkeit der Berichterstattung.


Fehlende prozentuale kritische IT-Kontrollen im US-Gesundheitswesen (rot markiert)


Kunden aus der Finanz- und Versicherungsbranche haben die Bereiche MFA, Zugriffsmanagement und Ausfallsicherheit erheblich verbessert.8 Schadensfälle und Trends im Bereich Cyber-Intelligenz deuten darauf hin, dass Bedrohungselemente immer noch in der Lage sind, MFA zu umgehen und durch Remote-Desktop-Steuerungen die Netzwerkumgebung in dieser Branche zu bedrohen. Die von Aon dem Zusatzantrag in Bezug auf Ransomware entnommenen Daten deuten darauf hin, dass Kunden in der Finanz- und Versicherungsbranche verstärkt auf strengere MFA-Regeln und Patch-Management-Kapazitäten setzen, um diese Trends zu bekämpfen. Die Bereiche Datensicherheit und Endpunktsicherheit sind für die Finanz- und Versicherungsbranche besonders wichtig, da diese Unternehmen einem höheren Risiko durch Dritte und Insider ausgesetzt sind. Schließlich werden die neuen SEC-Vorschriften zur Berichterstattung über Tabletop-Übungen als Teil der Geschäftskontinuitäts- und Notfallwiederherstellungsplanung höchstwahrscheinlich zu einer Zunahme von Penetrationstests und proaktiven Abhilfekontrollen führen.9


Fehlende prozentuale kritische IT-Kontrollen bei US-Finanzen und Versicherung (rot markiert)


Was nun? Vorgeschlagene Aktionspunkte für nordamerikanische Führungskräfte

  1. Aktualisierung und Stärkung des Governance-Rahmens und der Risikomanagementstrategien für Cyber-Risiken. Die Datenschutzbestimmungen in der gesamten Region gehen weiterhin über die Gesetze zur Meldung von Datenverletzungen hinaus und berücksichtigen neue Arten von Informationen (z. B. biometrische Daten) sowie die Konzepte der informierten Zustimmung zum Zeitpunkt der Datenerfassung. Daher ist es extrem wichtig, dass die Unternehmensleitung ihre Maßnahmen zur guten Unternehmensführung und zum Risikomanagement von Cyber-Bedrohungen gemäß den bewährten Verfahren und den gesetzlichen Vorschriften ordnungsgemäß dokumentiert und offenlegt. Diese Maßnahme führt nicht nur zur Verbesserung des Risikoprofils des Unternehmens, sondern auch zu weniger Klagen durch Aufsichtsbehörden und Aktionäre im Falle eines Cyber- oder Datenschutzvorfalls.
  2. Wachsamkeit gegenüber Ransomware-Bedrohungen. Während die Unternehmen in der Region bei der Bekämpfung von Ransomware-Bedrohungen gut abgeschnitten haben, deuten die globalen Trends darauf hin, dass Ransomware-Angriffe zunehmen (Anstieg um 38 Prozent im 1. Quartal 2023 gegenüber dem 4. Quartal 2022).10 Weiterhin den Schwerpunkt auf Sicherheitskontrollen, die Ransomware-Angriffe eindämmen, legen, insbesondere auf diejenigen Kontrollen, die sowieso wichtiger Bestandteil des Underwriting-Prozesses bei Versicherungen sind.
  3. Weiterhin auf vorausschauende Strategien zur Minderung von Cyber-Risiken und zur Stärkung der Resilienz setzen. Für Unternehmen ist die Überprüfung der Tools, Technologien und Verfahren, die zur Bekämpfung von Cyber-Bedrohungen erforderlich sind, da diese durch geopolitische Spannungen und neue Angriffsvektoren beeinflusst werden, von entscheidender Bedeutung. Als zentraler Aspekt im Rahmen einer Krisenmanagementstrategie muss sichergestellt werden, dass die Pläne für die Geschäftskontinuität und die Wiederherstellung im Katastrophenfall aktualisiert und auf der Grundlage von Änderungen bei Tools, Technologien und Verfahren sowie der aktuellen Geschäftsabläufe überprüft werden. Die Prüfung der Versicherungslimits und des Versicherungsschutzes durch regelmäßige Risikoquantifizierung und risikobasiertes Heatmapping bestätigt, dass der Abschluss einer Versicherung ein wertvoller Aspekt der Gesamtstrategie eines Unternehmens zur Minderung von Cyber-Risiken bleibt.

Versicherungsprodukte und -dienstleistungen werden angeboten von: Aon Risk Insurance Services West, Inc, Aon Risk Services Central, Inc, Aon Risk Services Northeast, Inc, Aon Risk Services Southwest, Inc, und Aon Risk Services, Inc. in Florida sowie deren lizenzierten Tochtergesellschaften.

Die hierin enthaltenen Informationen und Aussagen sind allgemeiner Natur und beziehen sich daher nicht auf die Umstände einzelner Personen oder Rechtsträger. Obwohl wir uns bemühen, genaue und aktuelle Informationen zu liefern und diese aus Quellen beziehen, die unseres Erachtens verlässlich sind, besteht keine Gewähr dafür, dass die Informationen zum Zeitpunkt der Kenntnisnahme korrekt sind und es bleiben werden. Die genannten Informationen sollten nicht ohne eingehende Prüfung der jeweiligen Sachlage und eine vorherige professionelle Beratung als Entscheidungs- oder Handlungsgrundlage dienen.