Bericht zur Cyber-Resilienz 2023

Das ist Artikel Teil 1 von 14 In diesem Bericht.

August 01, 2023 / 4 Lesezeit in Minuten

Wie Cyber-Gefahren nahezu alle Aspekte des Geschäftsrisikos berühren

Eine strengere Zeichnungspolitik auf dem Cyber- und Haftpflichtversicherungsmarkt im Jahr 2021 und in der ersten Hälfte des Jahres 2022 hat wahrscheinlich die kundenseitigen Fortschritte bei der Cyber-Reife beeinflusst.

Wesentliche Erkenntnisse

  1. Im Durchschnitt verbesserten Unternehmen aller Branchen und Umsatzklassen ihren Cyber-Reifegrad von „basic“ auf „managed“.
  2. In fünf Bereichen - Datensicherheit, Anwendungssicherheit, Telearbeit, Zugriffskontrolle sowie Endpunkt- und Systemsicherheit - wurde eine deutliche Verbesserung der Risikoprofile festgestellt.
  3. Teams müssen ständig bewerten, wie gut ein Unternehmen auf neue Bedrohungen vorbereitet ist und müssen ein einen quantifizierbaren Nachweis über die Wirksamkeit der aktuellen Kontrollen erbringen.

Laut der Befragung zum globalen Risikomanagement 2021 von Aon werden Cyber-Bedrohungen bis 2024 nach wie vor weltweit das größte Risiko bleiben, noch vor COVID-19 und unterbrochenen Lieferketten.1 Die Bedeutung langfristiger hybrider Arbeitsweisen, Angriffe im Zusammenhang mit den Lieferketten, geopolitische Instabilität und digitale Vernetzung haben dazu geführt, dass Unternehmen auf der ganzen Welt ihren Fokus verstärkt auf Cyber-Risiken richten.2 Darüber wurde es aufgrund der strengeren Anforderungen der Versicherer zwischen 2020 bis 2022 schwieriger, eine Cyber-Versicherung abzuschließen, und die Unternehmen mussten angemessene Sicherheitskontrollen und deren Wirksamkeit nachweisen. Vor dem Hintergrund verstärkter Bedrohungen und strengerer Versicherungsbedingungen konnten Unternehmen nicht mehr wie früher davon ausgehen, dass sie über genügend Cyber-Versicherungskapital verfügen, um sich gegen die finanzielle Volatilität aufgrund von Cyber-Gefahren absichern zu können.

Mit Cyber-Gefahr ist das Risiko eines finanziellen Verlusts, einer Betriebsunterbrechung oder eines Schadens für ein Unternehmen aufgrund eines Ausfalls seiner Informations- oder Betriebstechnologie-Systeme gemeint. Das Cyber-Risiko geht jedoch weit über die reine Technologie hinaus. Cyber ist viel mehr noch ein ganzheitliches und unternehmensweites Risiko, das eine finanzielle, operative, personelle, regulatorische und sogar katastrophale Bedrohung für egal welches Unternehmen darstellt, unabhängig von dessen Größe oder Branche. Die Erfolgsfaktoren eines Unternehmens und die damit verbundenen täglichen Entscheidungen richtig zu verstehen ist ein entscheidender Faktor auf dem Weg zu ganzheitlicher und nachhaltiger Cyber-Resilienz.

CyQu-Ergebnisse: Aon Kundenbericht

Die CyQu-Kundendaten aus dem Jahr 2022 zeigen, dass Unternehmen aller Branchen und Umsatzklassen ihren Cyber-Reifegrad im Durchschnitt von „basic“ auf „managed“ verbessert haben. Der globale Durchschnitt der CyQu-Risiko-Scorewerte, der im Jahr 2022 im Vergleich zu 2020 anstieg, spiegelt dieses Wachstum wider. Die strengere Zeichnungspolitik auf dem Cyber- und Haftpflichtversicherungsmarkt im Jahr 2021 und in der ersten Hälfte des Jahres 2022 führte zu einer genaueren Überprüfung der Sicherheitskontrollen, strengeren Richtlinien, einer Neubewertung der Risiken und in der Folge noch zu einer verminderten Marktkapazität, was die Fortschritte bei der Cyber-Reife beflügelt haben dürfte.

Kunden über sämtliche Branchen und Umsatzklassen hinweg gaben an, dass das Budget für Cyber-Sicherheit zwischen 2020 und 2022 gestiegen ist, wobei ihren Angaben zufolge durchschnittlich 10 Prozent des IT-Budgets für Sicherheit ausgegeben wurden.

Scorewerte der CyQu-Bereiche

CyQu-Scorewerte Bereich 2020 2022 Veränderung
Endpunkt- und Systemsicherheit
2.5
2.9
+0.4
Telearbeit
2.5
2.8
+0.4
Anwendungssicherheit
1.9
2.3
+0.4
Netzwerksicherheit
2.7
3.0
+0.3
Zugriffskontrolle
2.5
2.8
+0.3
Datensicherheit
2.3
2.6
+0.3
Geschäftliche Resilienz
2.2
2.5
+0.3
Physische Sicherheit
2.6
2.8
+0.2
Dritter
2.0
2.2
+0.2

CyQu-Risiko-Reifegrad-Scoring

Initial: 1.0 - 1.9

Basic: 2.0 - 2.5

Managed: 2.6 - 3.4

Advanced: 3.5 - 4.0

Aus Kontrollsicht wurden in fünf Bereichen die deutlichsten Verbesserungen der Scorewerte erzielt, und daraus lässt sich eine Erhöhung des Budgets ableiten: Datensicherheit, Anwendungssicherheit, Telearbeit, Zugriffskontrolle sowie Endpunkt- und Systemsicherheit.

Über alle Umsatzklassen hinweg meldeten mittelständische Kunden die deutlichsten Verbesserungen der allgemeinen Cyber-Reife. Im Gegensatz dazu meldeten Weltkonzerne und Großunternehmen zwar Verbesserungen, blieben aber lediglich auf einem „managed“ Reifegrad hängen. Verbesserungen in den Bereichen Incident-Response-Planung, Datenschutz, Endpunktprotokollierung und -überwachung sowie Verletzbarkeit und Überwachung durch Telearbeit führten bei mittelständischen Unternehmen zu einer Verbesserung des Sicherheitsprofils für den Mittelstand. Diese Kontrollen verbesserten sich im Jahr 2022 von „basic“ auf „managed“. Aus den Kundendaten lässt sich ablesen, dass bei den Themen Zugriffskontrollen, Daten und Sicherheit sowie die geschäftliche Resilienz in den meisten Umsatzklassen noch Luft nach oben ist. Gleichzeitig blieben aber die Risiko-Scorewerte für die Due-Diligence-Prüfung von Verträgen mit Dritten und das Bestandsmanagement unverändert.

Score-Veränderungen des CyQu-Kundensegments

Jahresumsatz (Gruppe) 2020 2022 Veränderung
Weltkonzern
2.8
2.9
+0.1
Großunternehmen
2.6
2.9
+0.3
Mittelständisch
2.4
2.7
+0.3
KMU
2.2
2.5
+0.3

CyQu-Risiko-Reifegrad-Scoring

Initial: 1.0 - 1.9

Basic: 2.0 - 2.5

Managed: 2.6 - 3.4

Advanced: 3.5 - 4.0

Aus Branchensicht wurden überall Verbesserungen bei den CyQu-Gesamtrisikowerten gemeldet. Im Gesundheitswesen und in der Sozialhilfe, im Einzelhandel und in der Immobilienbranche wurden erhebliche Verbesserungen bei den Sicherheits-Risikoprofilen gemeldet, die infolgedessen von „basic“ auf „managed“ wechselten.

Score-Veränderungen der CyQu-Branchen

Branche 2020 2022 Veränderung
Fertigung
2.2
2.5
+0.3
Sonstige Branchen*
2.3
2.5
+0.2
Sonstige Dienstleistungen**
2.3
2.7
+0.4
Informationen, Software und Technologie
2.6
2.9
+0.3
Finanz- und Versicherungswesen
2.7
2.9
+0.2
Gesundheitswesen und Sozialhilfe
2.4
2.7
+0.3
Fachspezifische, wissenschaftliche und technische Dienstleistungen
2.6
2.9
+0.3
Einzelhandel
2.3
2.6
+0.3
Transport und Lagerhaltung
2.2
2.5
+0.3
Bau
2.1
2.4
+0.3
Bildungsdienste
2.4
2.5
+0.1
Immobilien, Vermietung und Verpachtung
2.3
2.7
+0.4

CyQu-Risiko-Reifegrad-Scoring

Initial: 1.0 - 1.9

Basic: 2.0 - 2.5

Managed: 2.6 - 3.4

Advanced: 3.5 - 4.0

* Die Kategorie „Sonstige Branchen“ umfasst Antworten von Kunden aus den folgenden Branchen: Hotel- und Gaststättengewerbe, Landwirtschaft, Kunst, Unterhaltung und Freizeit, Management von Unternehmen und Gesellschaften, öffentliche Verwaltung, Versorgungsleistungen, Abfallwirtschaft und Sanierung sowie Verwaltung und Unterstützung, Großhandel.

** Die Kategorie „Sonstige Dienstleistungen“ wurde vom Kunden selbst gewählt.

Die stärksten Zuwächse bei den CyQu-Risiko-Scorewerten im Gesundheitswesen wurden bei der Multi-Faktor-Authentifizierung (MFA) (1,9 im Jahr 2020 auf 2,6 im Jahr 2022) und beim Datenschutz (2,4 im Jahr 2020 auf 3,0) verzeichnet. Bei der Betrachtung der Risikoprofile von Drittanbietern, beim Softwaremanagement und bei der Anwendungssicherheit spricht die Branche jedoch weiterhin von nur minimalen Veränderungen. Innerhalb des Einzelhandelssektors meldeten 74 Prozent der Unternehmen einen Scorewert von mehr als 2,5 für die Schulungen zur Schärfung des Bewusstseins von Mitarbeitern, und mehr als die Hälfte meldete ähnliche Werte für die Protokollierungs- und Überwachungsfunktionen, was zur Verbesserung des Gesamtrisikoprofils der Branche beigetragen hat.

In der Immobilienbranche trugen Veränderungen bei den Scorewerten in den Bereichen Anwendungssicherheitsentwicklung (von 1,8 im Jahr 2021 auf 2,5 im Jahr 2022), Softwaremanagement (von 1,9 im Jahr 2021 auf 2,3 im Jahr 2022), Risikomanagement (von 1,9 im Jahr 2021 auf 2,4 im Jahr 2022) und Schulungen zur Schärfung des Bewusstseins von Mitarbeitern (von 2,5 im Jahr 2021 auf 3,2 im Jahr 2022) zur Verbesserung des Gesamtprofils bei.

Zusammenfassend lässt sich Folgendes sagen:

Sich in dieser Risikolandschaft zurechtzufinden und gleichzeitig die Zusammenhänge zwischen Cyber- und Geschäftsrisiken zu verstehen, ist schon immer eine Herausforderung gewesen. Die Aufgabe besteht nicht nur darin, kontinuierlich wachsam zu sein, anfällige Systeme zu patchen und die Verbindungspunkte zwischen hochintegrierten Technologie-Systemen zu verstehen, sondern auch die potenziellen Auswirkungen neuer Bedrohungen und gesetzlicher Änderungen im Auge zu behalten. Infolgedessen müssen die Sicherheits- und Technologie-Teams ständig überprüfen, inwieweit das Unternehmen auf die Bewertung der sich fortwährend weiterentwickelnden Bedrohungen vorbereitet ist und den Versicherern und dem Markt quantifizierbare Nachweise für die Wirksamkeit der aktuellen Kontrollen liefern. Es ist ratsam, sich an bewährten Kontrollstandards zu orientieren, wie sie vom National Institute of Standards and Technology (NIST) oder dem Center for Internet Security (CIS) festgelegt wurden. Die Sicherheitsteams sollten die Kontrollen regelmäßig bewerten, um festzustellen, ob die präventiven und reaktiven Bemühungen zum Erreichen der Cyber-Reife auch wirksam sind.


Versicherungsprodukte und -dienstleistungen werden angeboten von: Aon Risk Insurance Services West, Inc, Aon Risk Services Central, Inc, Aon Risk Services Northeast, Inc, Aon Risk Services Southwest, Inc, und Aon Risk Services, Inc. in Florida sowie deren lizenzierten Tochtergesellschaften.

Die hierin enthaltenen Informationen und Aussagen sind allgemeiner Natur und beziehen sich daher nicht auf die Umstände einzelner Personen oder Rechtsträger. Obwohl wir uns bemühen, genaue und aktuelle Informationen zu liefern und diese aus Quellen beziehen, die unseres Erachtens verlässlich sind, besteht keine Gewähr dafür, dass die Informationen zum Zeitpunkt der Kenntnisnahme korrekt sind und es bleiben werden. Die genannten Informationen sollten nicht ohne eingehende Prüfung der jeweiligen Sachlage und eine vorherige professionelle Beratung als Entscheidungs- oder Handlungsgrundlage dienen.

Cyber-
Management in sechs vorgestellten Risikobereichen

Der diesjährige Bericht dient als Leitfaden für Führungskräfte, um den Risikoreifegrad ihres Unternehmens mit dem anderer Unternehmen vergleichen zu können und um bessere Entscheidungen für den Umgang mit Cyber-Risiken in den sechs vorgestellten Risikobereichen zu treffen: Cyber-Risiken, betriebliche Risiken, Lieferkettenrisiken, Insiderrisiken, Reputationsrisiken und systemische Risiken.