Bericht zur Cyber-Resilienz 2023
Das ist Artikel Teil 6 von 14 In diesem Bericht.
August 01, 2023 / 5 Lesezeit in Minuten
Maßnahmen zur Minderung betrieblicher Risiken
Die Versicherer konzentrieren sich auf kritische Kontrollen zwecks Verringerung der Wahrscheinlichkeit oder des Schweregrades eines Ransomware-Ereignisses, welches die betrieblichen Abläufe zu stören vermag.
Wesentliche Erkenntnisse
- Die Kunden berichteten insgesamt eine Verbesserung der Umsetzung kritischer Kontrollen im Jahr 2022 gegenüber 2021 bei diesen von den Versicherungsträgern als vorrangig eingestuften Kontrollen.
- Während die Fälle von Datenverletzungen durch Ransomware zwischen dem dritten Quartal 2022 und dem vierten Quartal 2022 um 16 Prozent zurückgingen, weisen die Daten im Bereich Cyber- und Haftpflichtversicherungen auf einen Anstieg im ersten Quartal 2023 hin.
- Das Niveau des Business Continuity Managements (BCM) der Kunden ist zwischen 2020 und 2022 in allen Regionen gleichgeblieben und bewegt sich auf Basisniveau.
Weltweit legen Sicherheitsteams und Versicherungsunternehmen ihr Hauptaugenmerk auf das betriebliche Risiko, definiert als das Risiko von Verlusten infolge von Betriebsunterbrechungen innerhalb eines Unternehmens oder durch Fehler seitens Menschen, Prozessen oder Technologien. Ransomware und Phishing-Technologien stellen weiterhin ein erhebliches Risiko dar. Während die Fälle von Datenverletzungen durch Ransomware zwischen dem dritten Quartal 2022 und dem vierten Quartal 2022 um 16 Prozent zurückgingen1, zeigen die Daten im Bereich Cyber- und Haftpflichtversicherungen, dass im ersten Quartal 2023 ein Anstieg von Ransomware zu verzeichnen war, wobei die Häufigkeit der Ereignisse um 49 Prozent zunahm.2 Auch Phishing und Spear-Phishing haben laut dem Cybersicherheitsteam von Aon zu Beginn des Jahres 2023 deutlich zugenommen. Die Angreifer gehen bei ihren Angriffen immer raffinierter vor und es wird für sie einfacher, sich dabei zu tarnen. Das macht es für die Opfer schwieriger, zwischen legalen und illegalen Inhalten zu unterscheiden.
Unternehmen müssen sich auf den Worst-Case-Angriff vorbereiten. Was passiert zum Beispiel, wenn das unternehmenseigene Netzwerk komplett ausfällt? Wie wird das Unternehmen unterstützt und der Betrieb fortgeführt? Verfügt das Unternehmen über ein Resilienzmodell, mit dem dieser Prozess gesteuert werden kann? Wie kann das Unternehmen seine Kunden schützen, selbst wenn dadurch vielleicht Umsatzverluste hingenommen werden müssen? Diese Fragen spielen bei der Geschäftskontinuitätsplanung (BCP) und des Geschäftskontinuitätsmanagements (BCM) eine große Rolle. Die CyQu-Daten von Aon zeigen, dass das BCM-Niveau der Kunden in allen Regionen zwischen 2020 und 2022 unverändert geblieben ist und sich auf Basisniveau bewegt. Die Planung von Szenarien für Betriebsunterbrechungen muss stärker in den Mittelpunkt gerückt werden. Es ist zwar unerlässlich, technische Kontrollen im Unternehmen einzurichten, um Ransomware zu verhindern, aber mindestens genauso wichtig ist, auf Störungen des gesamten Geschäftsbetriebs vorbereitet zu sein.
Die Versicherer und der Markt erwarten zunehmend derartige Planungen für betriebliche Risiken. Während sich die Marktbedingungen für Cyber- und Haftpflichtversicherungen stabilisiert haben, und viele neue Kapazitäten und erheblich niedrigere Schadenquoten dazu beigetragen haben, die Preise für Cyber- und Haftpflichtversicherungen Anfang 2023 zu senken2, bleibt der Underwriting-Prozess stringent.3 Die Versicherer konzentrieren sich auf kritische Kontrollen zwecks Verringerung der Wahrscheinlichkeit oder des Schweregrades eines Ransomware-Ereignisses, welches die betrieblichen Abläufe zu stören vermag. Zu diesen vorrangigen Kontrollen gehören die Zugriffsverwaltung, geschäftliche Resilienz und die Datensicherheit/Patchmanagement.4
Ergebnisse der ergänzenden Red-Flag-Kontrolldaten in Bezug auf Ransomware: Aon Kundenbericht
Die Kunden berichteten insgesamt eine Verbesserung der Umsetzung kritischer Kontrollen im Jahr 2022 gegenüber 2021 bei diesen von den Versicherungsträgern als vorrangig eingestuften Kontrollen. In den USA meldeten das Baugewerbe (+10 Prozent), die verarbeitende Industrie (+9 Prozent) sowie das Finanz- und Versicherungswesen (+7 Prozent) die größten Fortschritte bei den kritischen IT-Kontrollen. Um global wettbewerbsfähig zu bleiben, wechseln Fertigungsunternehmen zu stärker digitalisierten und integrierten Internet-of-Things (IoT)-Prozessen sowohl intern als auch in ihren Lieferketten5, was mit ihrem Bekenntnis zur Betriebsrisikoreife korreliert. Ähnlich verhält es sich im Baugewerbe. Viele Unternehmen haben damit begonnen, IoT-Technologien einzusetzen, um die Sicherheit am Arbeitsplatz zu verbessern und den Fortschritt zu überwachen.6 Diese Digitalisierung vergrößert aber leider wiederum die Angriffsfläche. Selbst herkömmliche Bautrupps haben mittlerweile ihre papierbasierten Arbeitsabläufe in die Cloud verlagert, was wiederum neue Schwachstellen mit sich bringt und Ransomware und Phishing Tür und Tor öffnet. In der EMEA-Region und im Vereinigten Königreich zeigten die Daten aus dem Jahr 2022, dass die Fertigungs- und Bauindustrie bei kritischen IT-Kontrollen weniger ausgereift sind, wobei das Baugewerbe bei mehr als der Hälfte dieser Kontrollen Mängel meldet.
Die Unternehmen konzentrierten sich im Jahr 2022 auf die Verstärkung kritischer Backup-Kontrollen, wobei 61 Prozent der Kontrollen 2022 durchgeführt wurden im Vergleich zu 55 Prozent im Jahr 2021. Betrachtet man die Daten jedoch genauer, werden Lücken sichtbar. Fast 90 Prozent der Unternehmen in den USA gaben an, keine Backups in der Cloud zu speichern, und 70 Prozent speichern keine Backups außerhalb des Unternehmens oder haben veränderliche Backups. Die Sicherheit von Backups ist nach wie vor ein äußerst wichtiges Thema, und das zu Recht. Ransomware hat sich mittlerweile so gut entwickelt, dass sie auch Backups angreift, wodurch Daten einem erhöhten Risiko ausgesetzt werden. Unveränderliche Backups sind wichtig für Unternehmen, die auf die Sicherheit der Daten angewiesen sind, für die sie verantwortlich sind. Nur unveränderliche Backups bieten eine saubere, aktuelle Kopie der Daten und ermöglichen eine schnelle Wiederherstellung und einen wirksamen Schutz.
Geschäftliche Resilienz war auch im Jahr 2022 eines der wichtigsten Anliegen der Kunden. Die Versicherer sind dazu übergegangen, nicht mehr nur einfache Checkbox-Fragen zu stellen, z. B. ob das Unternehmen über Backups verfügt, sondern auch zu fragen, wie belastbar sie sind. Die Unternehmen müssen nachweisen, dass der Geschäftsprozess den Auswirkungen eines Cyber-Angriffs standhalten kann. Kunden aus der verarbeitenden Industrie (67 Prozent gegenüber 59 Prozent im Jahr 2021) und dem Baugewerbe (66 Prozent gegenüber 55 Prozent im Jahr 2021) meldeten die deutlichsten Verbesserungen bei kritischen Kontrollen im Zusammenhang mit Resilienz. Bei der Untersuchung der Unterschiede zwischen den verschiedenen Unternehmensgrößen gaben mittelständische und kleine bis mittelgroße Unternehmen häufiger als Großunternehmen und Weltkonzerne an, dass es ihnen im Wesentlichen an Kontrollen zur Gewährleistung der geschäftlichen Resilienz mangelt. Dieser Trend kehrte sich jedoch bei der Endpunktsicherheit um, da die Tools zur Erkennung und Reaktion auf Endpunkte nicht alle technologischen Endpunkte von Unternehmen und multinationalen Konzernen abdecken. Alarmierend ist in diesem Zusammenhang, dass mehr als die Hälfte aller Kundenunternehmen angaben, dass es keine Tabletop-Übungen als Teil der Geschäftskontinuitätsplanung gibt, und mehr als ein Drittel gab an, dass es überhaupt keine Incident-Response-Planung gibt.
Referenzen
1 “E&O- und Cyber-Marktbericht Q4/2022“. E&O- und Cyber-Marktbericht | 2022 (aon.com)”
2 „Käuferfreundlicher Cyber- und E&O-Markt: Wie Sie von den Vorteilen profitieren können” Käuferfreundlicher Cyber- und E&O-Markt: Wie Sie von den Vorteilen profitieren können | Aon
3 Trends nach Geschäftsbereichen – Globale Markteinblicke Q4/2022 (aon.com)
4 “E&O- und Cyber-Marktbericht Q4/2022“. E&O- und Cyber-Marktbericht | 2022 (aon.com)
5 Cyber-Sicherheit in der Fertigung. Palo Alto Networks. Bericht. 2023. https://www.paloaltonetworks.com/industry/unit42-manufacturing
6 Cyber-Risiken in der Baubranche verstehen. IT Chronicles. Artikel. 21. März 2022. https://itchronicles.com/information-security/understanding-cyber-risk-in-the-construction-industry/
Versicherungsprodukte und -dienstleistungen werden angeboten von: Aon Risk Insurance Services West, Inc, Aon Risk Services Central, Inc, Aon Risk Services Northeast, Inc, Aon Risk Services Southwest, Inc, und Aon Risk Services, Inc. in Florida sowie deren lizenzierten Tochtergesellschaften.
Die hierin enthaltenen Informationen und Aussagen sind allgemeiner Natur und beziehen sich daher nicht auf die Umstände einzelner Personen oder Rechtsträger. Obwohl wir uns bemühen, genaue und aktuelle Informationen zu liefern und diese aus Quellen beziehen, die unseres Erachtens verlässlich sind, besteht keine Gewähr dafür, dass die Informationen zum Zeitpunkt der Kenntnisnahme korrekt sind und es bleiben werden. Die genannten Informationen sollten nicht ohne eingehende Prüfung der jeweiligen Sachlage und eine vorherige professionelle Beratung als Entscheidungs- oder Handlungsgrundlage dienen.
Cyber-
Management in sechs vorgestellten Risikobereichen
Der diesjährige Bericht dient als Leitfaden für Führungskräfte, um den Risikoreifegrad ihres Unternehmens mit dem anderer Unternehmen vergleichen zu können und um bessere Entscheidungen für den Umgang mit Cyber-Risiken in den sechs vorgestellten Risikobereichen zu treffen: Cyber-Risiken, betriebliche Risiken, Lieferkettenrisiken, Insiderrisiken, Reputationsrisiken und systemische Risiken.