Bericht zur Cyber-Resilienz 2023

Das ist Artikel Teil 10 von 14 In diesem Bericht.

August 16, 2023

Britische Unternehmen streben nach Cyber-Resilienz

Der generelle Cyber-Risiko-Reifegrad britischer Unternehmen hat sich zwischen 2020 und 2022 geringfügig verschlechtert. Während einige Sicherheitsbereiche außergewöhnlich gut abschnitten, fielen andere zurück.

Wesentliche Erkenntnisse

  1. Trotz des erhöhten Risikos ist der generelle Cyber-Reifegrad der Kunden zurückgegangen.
  2. Während der Reifegrad insgesamt abnahm, stiegen die Scorewerte in einigen Sicherheitsbereichen. Dies ist ein Hinweis darauf, dass die Investitionen in einigen Bereichen auf Kosten anderer erhöht wurden.
  3. Globale Trends deuten darauf hin, dass Ransomware-Angriffe zunehmen1. Die Versicherer reagieren darauf, indem sie verstärkt Kontrollen fordern, die ein wichtiger Bestandteil des Underwriting-Prozesses sind.

In diesem Jahr lautet das Motto von Cyber United Kingdom (UK),Kunden bei der „Sicherung einer offenen und resilienten digitalen Zukunft“ zu unterstützen.2 Darin wird eine Zeit beispiellosen Wachstums bei der digitalen Entwicklung und neue Technologien gepaart mit der Kommerzialisierung von Cyber-Tools beschrieben, während Unternehmen gleichzeitig mit erhöhten Cyber-Risiken konfrontiert sind. Der Brexit hat an mehreren Fronten Fragen hinsichtlich der Cyber-Sicherheit aufgeworfen. Erstens durch den Mangel an qualifizierten Arbeitskräften, da ausländische Staatsangehörige in ihre Heimat zurückkehren.3 Zweitens führte der Brexit in den höheren Gremien zu Unsicherheiten bei der Entscheidungsfindung im Bereich der Cyber-Sicherheit, da das Vereinigte Königreich seinen Sitz im einst von ihm geleiteten Verwaltungsrat von Europol verlor und damit auch gleichzeitig seine Fähigkeit, gesamteuropäische Prioritäten für die Polizeiarbeit zu gestalten und Einsätze von Europol im Bereich der Cyber-Kriminalität zu leiten.4

Cyber-Risiken sind für Unternehmen im gesamten Vereinigten Königreich von zentraler Bedeutung. Laut der Umfrage von Aon zum globalen Risikomanagement5 stehen Cyber-Risiken und Betriebsunterbrechungsrisiken im Vereinigten Königreich an erster bzw. zweiter Stelle, während Reputations- oder Markenschäden auf Platz drei und Lieferketten- oder Vertriebsausfälle auf Platz sieben rangieren. Der Cyberspace berührt alle diese Risikothemen.

Dass man sich des Risikos bewusst ist, bedeutet jedoch noch nicht, dass die britischen Unternehmen auch darauf vorbereitet sind. Den von CyQu erhobenen Benchmarking-Informationen zufolge hat sich der allgemeine Cyber-Risiko-Reifegrad der Kunden im Vereinigten Königreich geringfügig verringert. Dem liegt jedoch eine Analyse zugrunde, die eine deutliche Verbesserung in bestimmten Sicherheitsbereichen und eine Schwächung bzw. Verschlechterung in anderen Bereichen zeigt.

Zu den wichtigsten Bereichen, in denen sich die CyQu-Scorewerte zwischen 2020 und 2022 verbesserten, gehörten der Einsatz der Multi-Faktor-Authentifizierung (MFA), die Überwachung der Geräteanfälligkeit und die Schulung der Mitarbeiter in Sachen Cyber-Sicherheitsbewusstsein. Diese Veränderung ist möglicherweise eine direkte Folge der Zunahme von Telearbeit während der Pandemie, da sich die potenzielle Angriffsfläche vergrößert hat und die Unternehmen dringend die Schwachstellen in diesen Kontrollbereichen beseitigen müssen.

Auch in anderen kritischen Kontrollbereichen gingen die CyQu-Scorewerte zurück. All dies weist auf die anhaltenden Herausforderungen hin, vor denen die Kunden im Umgang mit den dynamischen und sich ständig verändernden Taktiken und Techniken der Cyber-Angreifer stehen. Am stärksten hat sich der Risiko-Reifegrad in den Bereichen Geschäftskontinuität/Notfallwiederherstellung, Netzwerk-Penetrationstests und Datenklassifizierung verschlechtert. Ein Grund für diese Rückgänge könnten Budgetverschiebungen sein, um dadurch Verbesserungen in anderen Bereichen zu erreichen.

Während die Verschlechterung des Risiko-Reifegrads in den meisten Branchen auch zu einer Verschlechterung der Gesamtscorewerte führte, gab es in der verarbeitenden Industrie sowie im Transport und in der Lagerhaltung bemerkenswerte Steigerungen bei den Scorewerten für Resilienz und Risikoreife. Dabei lagen die CyQu-Scorewerte im zweistelligen Bereich. Aus den ergänzenden Red-Flag-Kontrolldaten in Bezug auf Ransomware lässt sich eine deutliche Verbesserung der operativen Technologie- (OT) Kontrollen ablesen, auch wenn die Unternehmen immer noch eine hohe Anzahl von Kontrollmängeln melden. So bewerteten Unternehmen der verarbeitenden Industrie 45 Prozent der OT-Kontrollen als mangelhaft.


Fehlende prozentuale kritische OT-Kontrollen in bestimmten Branchen in UK


In der Zwischenzeit stellen Ransomware-Erpresserringe und deren Erfolg bei der Nutzung von Phishing-Methoden zur Einleitung von Angriffen weiterhin ein erhebliches Risiko für Betriebsunterbrechungen dar. Während die Fälle von Datenverletzungen durch Ransomware zwischen dem dritten Quartal 2022 und dem vierten Quartal 2022 um 16 Prozent zurückgingen6, zeigen die Daten im Bereich Cyber- und Haftpflichtversicherungen, dass im ersten Quartal 2023 ein Anstieg von Ransomware zu verzeichnen war, wobei die Häufigkeit der Ereignisse um 49 Prozent zunahm.7 Während die Angriffe auf US-Unternehmen vom Höchststand im Jahr 2021 bis zum Jahr 2022 im Jahresvergleich um 51 Prozent zurückgingen, nahmen sie im Vereinigten Königreich (20 Prozent), der EMEA-Region (38 Prozent) und der APAC-Region (56 Prozent) zu. Die Angreifer scheinen also ihren regionalen Schwerpunkt zu verlagern.

Fast 40 Prozent der britischen Kunden, die die Bewertung hinsichtlich ergänzende Red-Flag-Kontrolldaten in Bezug auf Ransomware von Aon für Underwriting-Zwecke ausgefüllt haben, meldeten Kontrollmängel in 33 kritischen Bereichen. Das Baugewerbe, das Hotel- und Gaststättengewerbe sowie die verarbeitende Industrie wiesen den niedrigsten Konformitätsgrad auf. Bei einer genaueren Betrachtung zeigte sich, dass Baufirmen den geringsten Reifegrad in den Bereichen Backup-Sicherheit, geschäftliche Resilienz und Endpunktsicherheit aufweisen. Softwaremanagement, MFA sowie Netzwerk- und Datensicherheit waren die größten Herausforderungen für Hotel- und Gastronomiebetriebe. Kunden aus der verarbeitenden Industrie berichteten darüber hinaus über Schwierigkeiten bei der Feststellung der Wirksamkeit von OT-Kontrollen, wobei 45 Prozent dieser Kontrollen als mangelhaft angesehen wurden.

Bei der Betrachtung der Ergebnisse nach Umsatzklassen schnitten größere globale Organisationen und Unternehmen etwas besser ab als kleinere Unternehmen, die bei nur 31 Prozent der Kontrollen einen Mangel meldeten, wobei die größten Schwachstellen bei den Kontrollen für Backup-Sicherheit, Endpunktsicherheit und Softwaremanagement auftraten. Mittelständische sowie kleine und mittelgroße Unternehmen meldeten bei 42 Prozent der wesentlichen Kontrollen Mängel, die sich vor allem in den Bereichen Netzwerk- und Datensicherheit, geschäftliche Resilienz und Backup-Sicherheit zeigten.


Fehlende prozentuale kritische IT-Kontrollen in bestimmten Kundensegmenten in UK (rot markiert)

Global: >5 Mrd. $
Gesellschaft: 5 Mrd. $-2 Mrd. $
Mittelständisch: 100 Mrd. $-2 Mrd. $
KMU: <100 Mrd. $


Reifegrad nach Sicherheitsbereich: Vereinigtes Königreich

Bei näherer Betrachtung der CyQu-Daten zeigen sich große Unterschiede zwischen den einzelnen Branchen, also sowohl eine erheblich verbesserte, also auch stark verschlechterte Resilienz. Im Bereich der fachspezifischen, wissenschaftlichen und technischen Dienstleistungen wurden die höchsten Scorewerte bei der Zugriffskontrolle erzielt, während der Großhandel die niedrigsten Scorewerte aufwies. Der stärkste branchenbezogene Anstieg war im Bereich Transport und Lagerhaltung zu verzeichnen (+23 Prozent).

Im Bereich der Anwendungssicherheit meldeten die Kunden eine Verbesserung des Reifegrads um insgesamt 3 Prozent. Dennoch blieb die Anwendungssicherheit einer der am niedrigsten bewerteten Bereiche von den neun in der CyQu-Bewertung abgefragten Sicherheitsbereichen und lag 15 Prozent unter dem Durchschnitt aller Sicherheitsbereich-Scorewerte. Das Gesundheitswesen wies die deutlichste Verbesserung auf (+16 Prozent), während die fachspezifischen Dienstleistungen (-14 Prozent) gegenüber dem Basisjahr 2020 stark zurückfielen.

Insgesamt sank der Kunden-Scorewert für die geschäftliche Resilienz durchschnittlich um 2 Prozent, worin sich jedoch die teils erheblichen Veränderungen in den einzelnen Branchen nicht widerspiegeln. Die Scorewerte für die Finanz- und Versicherungsbranche gingen um 18 Prozent zurück. Ein wesentlich positiveres Bild ergab sich in den Bereichen Transport und Lagerhaltung (+23 Prozent) sowie verarbeitende Industrie (+14 Prozent).

Die durchschnittlichen Scorewerte für die Datensicherheit blieben im Vergleich zum Basisjahr 2020 insgesamt konstant, wobei die Bereiche Transport und Lagerhaltung (+29 Prozent) sowie Kunst, Unterhaltung und Freizeit (+18 Prozent) eine deutliche Verbesserung verzeichneten. Erhebliche Scorewert-Verluste in der Versorgungsbranche sowie im Finanz- und Versicherungswesen drückten jedoch den Durchschnitt des allgemeinen Reifegrads in diesem Bereich nach unten.

Bei Transport und Lagerhaltung verbesserten sich die Bereiche Endpunktsysteme und Sicherheit am stärksten gegenüber den Scorewerten von 2020 (+23 Prozent), und auch die verarbeitende Industrie vermeldete einen Anstieg um 16 Prozent. Die Finanz- und Versicherungsbranche sowie der Großhandel verzeichneten die deutlichsten Rückgänge.

Während zwar die durchschnittlichen Scorewerte im Bereich Netzwerk und Sicherheit insgesamt um 2 Prozent zurückgingen, blieb dieser der Bereich mit den höchsten Durchschnitts-Scorewerten nach wie vor auf dem CyQu-Risikoreifegrad-Index. Aus den Bereichen Transport und Lagerhaltung sowie Versorgung wird eine deutliche Verbesserung gemeldet, während die Kunden aus dem Finanz- und Versicherungswesen sowie dem Gesundheitswesen zweistellige Rückgänge ihrer Scorewerte verzeichneten.

Die physische Sicherheit gehört weiterhin zu den Bereichen mit den höchsten Scorewerten, obwohl der durchschnittliche Scorewert um 3 Prozent gesunken ist. Informationstechnologie- und Softwareunternehmen meldeten die höchsten Scorewerte, wobei der Einzelhandel den stärksten Rückgang verzeichnete (-17 Prozent).

Die Scorewerte für Telearbeit, die 2020 als Reaktion auf die rasche Umstellung auf Telearbeit als neuer Bereich hinzukam, blieben nahe des Ausgangswertes. Die Unternehmen im Versorgungssektor meldeten jedoch einen Rückgang beim Reifegrad um 20 Prozent. Third Party Management war der Bereich mit dem niedrigsten Scorewert in sämtlichen Bereichen, und im Jahr 2022 war im Gesamtdurchschnitt ein Rückgang um weitere 3 Prozent zu beobachten. Dieser Bereich ist nach wie vor gefährdet und anfällig und erfordert besondere Aufmerksamkeit.

Was nun? Empfohlene Maßnahmen für britische Führungskräfte

Verschiedene Unternehmen werden auf unterschiedliche Weise von Cyber-Vorfällen betroffen sein. Des Weiteren zeigen Unternehmen in verschiedenen Branchen und Segmenten eine unterschiedliche Risikobereitschaft, was zu einem unterschiedlichen Reifegrad in den verschiedenen Sicherheitsbereichen führen wird. Die Tatsache, dass einerseits der durchschnittliche Reifegrad abgenommen hat, während es andererseits häufiger zu Ransomware-Angriffen kam, deutet jedoch darauf hin, dass britische Unternehmen das Risiko immer noch nicht vollständig einzuschätzen vermögen und schlichtweg nicht wissen, wie sie das Problem bewältigen sollen. Unternehmen müssen bei ihren Entscheidungen zu ihrem Cyber-Risikomanagement einen wohlüberlegten und fundierten Ansatz verfolgen.

  1. Die betrieblichen und finanziellen Auswirkungen von Cyber-Vorfällen auf Unternehmen genau verstehen und richtig bewerten.
  2. Diejenigen Sicherheitsbereiche und Kernkontrollen herausarbeiten, mit denen auf der Grundlage von Szenario- und Angriffspfadanalysen die Schäden infolge eines Cyber-Vorfalls am wirksamsten begrenzt werden können.
  3. Gut abgestimmte Investitionen und Strategien bei Risikominderung und Risikotransfer, um damit die Cyber-Resilienz zu maximieren.

Referenzen

1 „Käuferfreundlicher Cyber- und E&O-Markt: Wie Sie von den Vorteilen profitieren können | Aon.” Bericht. Aon. Mai 2023.

2 „Umfrage von Aon zum globalen Risikomanagement 2021.“ Aon. Bericht. 2021. Umfrage zum globalen Risikomanagement 2021 – Vereinigtes Königreich (aon.com)

3 „Umfrage von Aon zum globalen Risikomanagement 2021.“ Aon. Bericht. 2021. Umfrage zum globalen Risikomanagement 2021 – Vereinigtes Königreich (aon.com)

4 „Brexit und darüber hinaus: Cyber-Sicherheit.“ Stevens, Dr. Tim. Kings College London. Artikel. 5. Februar 2021.

5 „Umfrage von Aon zum globalen Risikomanagement 2021.“ Aon. Bericht. 2021. Umfrage zum globalen Risikomanagement 2021 – Vereinigtes Königreich (aon.com)

6 „Käuferfreundlicher Cyber- und E&O-Markt: Wie Sie von den Vorteilen profitieren können.“ Aon. Artikel. Mai 2023. Käuferfreundlicher Cyber- und E&O-Markt: Wie Sie von den Vorteilen profitieren können | Aon

7 „Käuferfreundlicher Cyber- und E&O-Markt: Wie Sie von den Vorteilen profitieren können.“ Aon. Artikel. Mai 2023. Käuferfreundlicher Cyber- und E&O-Markt: Wie Sie von den Vorteilen profitieren können | Aon


Versicherungsprodukte und -dienstleistungen werden angeboten von: Aon Risk Insurance Services West, Inc, Aon Risk Services Central, Inc, Aon Risk Services Northeast, Inc, Aon Risk Services Southwest, Inc, und Aon Risk Services, Inc. in Florida sowie deren lizenzierten Tochtergesellschaften.

Die hierin enthaltenen Informationen und Aussagen sind allgemeiner Natur und beziehen sich daher nicht auf die Umstände einzelner Personen oder Rechtsträger. Obwohl wir uns bemühen, genaue und aktuelle Informationen zu liefern und diese aus Quellen beziehen, die unseres Erachtens verlässlich sind, besteht keine Gewähr dafür, dass die Informationen zum Zeitpunkt der Kenntnisnahme korrekt sind und es bleiben werden. Die genannten Informationen sollten nicht ohne eingehende Prüfung der jeweiligen Sachlage und eine vorherige professionelle Beratung als Entscheidungs- oder Handlungsgrundlage dienen.