Bericht zur Cyber-Resilienz 2023
Das ist Artikel Teil 5 von 14 In diesem Bericht.
August 01, 2023 / 4 Lesezeit in Minuten
Mit welchen Schritten lassen sich die Auswirkungen von Cyber-Bedrohungen auf das systemische Risiko verringern
Das systemische Risiko entsteht innerhalb und außerhalb eines Unternehmens und bringt einen regelrechten Multiplikatoreffekt auf Ausmaß und Umfang eines Cyber-Vorfalls mit sich.
Wesentliche Erkenntnisse
- Die Umsetzung des Systemrisikomanagements steht jetzt in der Versicherungsbranche ganz oben auf der Liste der Prioritäten.
- Aon prognostiziert, dass schon ein einziger heftiger und erfolgreicher Cyber-Schlag bis zu 20 Prozent der Unternehmen weltweit betreffen könnte.
- Daher kann die Modellierung extremer Cyber-Ereignisse das Gesamtrisiko aufzeigen und durchaus die Wahrscheinlichkeit eines Angriffs vorhersagen.
Nach den Angriffen auf SolarWinds (2020) und Kronos (2021) wissen wir, dass systemische Risiken gravierend sind. Tausende von Unternehmen aus verschiedenen Branchen waren seinerzeit von dem Ransomware-Angriff die private Cloud von Kronos betroffen. Aufgrund dieser weitreichenden Auswirkungen warfen die entscheidende Frage nach der Haftung des Anbieters auf und wer für den Verlust nach diesem Vorfall verantwortlich war.
Systemische Risiken haben weitreichende Folgen und vor allem zwei Ursachen: der verbreitete Einsatz von Standardtechnologien und die Tatsache, dass unsere heutigen globalen Volkswirtschaften stark miteinander vernetzt sind. Umsichtige Regulierungsbehörden sind besorgt über die systemischen Risiken, die mit Aggregation und Akkumulation einhergehen.1 Ein Gesamtrisiko entsteht, wenn eine gesamte Branche von einer begrenzten Anzahl von Technologieanbietern abhängt, und ein einziger Ausfall kann gleichzeitig eine ganze Reihe von Unternehmen lahmlegen. Fällt beispielsweise eine betriebskritische Technologie aus, könnten auch zahlreiche Banken, die darauf bauen, lahmgelegt werden. Andererseits bezieht sich Kumulationsrisiko auf gemeinsame systemische Schwachstellen, die durch die gemeinsame Nutzung von Technologien innerhalb einer Branche entstehen. Ein Beispiel wäre, dass mehrere Banken von derselben Zero-Day-Sicherheitslücke betroffen sind, die, wenn sie geschickt ausgenutzt wird, weitreichende Schäden verursachen könnte.
Das systemische Risiko entsteht innerhalb und außerhalb eines Unternehmens und bringt einen regelrechten Multiplikatoreffekt auf Ausmaß und Umfang eines Cyber-Vorfalls mit sich. Bestimmte Unternehmen können dadurch erhebliche finanzielle Verluste erleiden, wenn nämlich systemische Risiken nicht effektiv gemanagt werden.2 Kein Wunder also, dass die Aufgabe, systemische Risiken zu managen, auf der Prioritätenliste der Versicherungsbranche ganz oben steht. Da sich die Cyber-Bedrohungen ständig weiterentwickeln, werden die Modelle zur Risikoquantifizierung und Szenarioplanung verfeinert, um das Risikoprofil eines Unternehmens genau zu bestimmen. Daraus ergibt sich dann der Umfang des Cyber-Versicherungsschutzes, der zur Absicherung gegen potenzielle Verluste aus systemischen Risiken erforderlich ist. Ähnlich wie bei der Beobachtung von Gewitterzellen kann dank der Modellierung extremer Cyber-Ereignisse das Gesamtrisiko aufgezeigt und die Wahrscheinlichkeit eines Angriffs vorhergesagt werden. Die Qualität der erhobenen Daten, einschließlich einer detaillierten Übersicht über die technologische Ausstattung eines Unternehmens (interne Technologie-Systeme und solche von Drittanbietern), liefert einen guten Einblick in den Grad der Vernetzung und in die Raffinesse der Bedrohungsakteure, und die Berücksichtigung von Standardsicherheitsmechanismen bildet dann die Grundlage für Risikomodelle.
Die Untersuchungen der Arbeitsgruppe Cyber-Rückversicherungen von Aon zeigen, dass die Auswirkungen des Angriffs auf NotPetya im Jahr 2017, das ein Paradebeispiel für ein Kumulationsszenario ist, nur einen kleinen Teil der Zerstörungspotenziale darstellen, die durch ähnliche, aber größere Cyber-Angriffe verursacht werden könnten. Stellen Sie sich einmal diese denkbaren Folgeszenarien vor: Aon prognostiziert, dass schon ein einziger heftiger und erfolgreicher Cyber-Schlag bis zu 20 Prozent der Unternehmen weltweit betreffen könnte. Das ist in höchstem Maße beunruhigend. Es ist absehbar, dass die Versicherer bei der Gestaltung von Policen entsprechend vorsichtiger sein werden und die in der Zukunft möglicherweise auf sie zukommenden Schadenleistungen mit einkalkulieren. Auch wenn die durchschnittliche Schadenquote der Branche geringfügig von 67 Prozent auf 66 Prozent gesunken ist, mussten drei Viertel der 20 größten Versicherer eine Veränderung ihrer Schadenquote um mehr als 5 Prozent nach oben oder nach unten hinnehmen. Angesichts der gestiegenen Schadenhäufigkeit in den letzten Jahren begannen die Versicherer im Jahr 2022, verbesserte Sicherheitskontrollen für versicherte Unternehmen vorzuschreiben.3 Aufgrund der gestiegenen Schadenhäufigkeit in den letzten Jahren haben die Versicherer im Jahr 2022 verbesserte Sicherheitskontrollen für Unternehmen gefordert. Unternehmen, die keinerlei Investitionen getätigt und ihre Sicherheitslandschaft nicht verbessert haben, mussten eingeschränkte Vertragsbedingungen hinnehmen oder wurden schlichtweg abgelehnt.
Bei Cyber-Risiken gibt es noch mehr Ausschlüsse, und das Gesamtrisiko führt entweder zu einer Erhöhung der Prämien oder es muss ein zusätzlicher Versicherungsvertrag abgeschlossen werden. Die Schadenhäufigkeit ist gegenüber ihrem Höchststand im Jahr 2021 weiter zurückgegangen, bleibt aber höher als 2019. Besorgniserregend ist, dass die Häufigkeit von Ransomware-Angriffen stark zugenommen hat, und zwar um 49 Prozent im ersten Quartal 2023. Angesichts der verbesserten Schadenhäufigkeit und die beispiellose Tarifentwicklung im Jahr 2022 erwarten wir ein robustes Marktwachstum. Dies deutet darauf hin, dass Cyber-Versicherungen in den kommenden Jahren zu einem hochprofitablen Produktsegment werden könnten.4
Referenzen
1 „Systemisches Cyber-Risiko.“ European Systemic Risk Board (ESRB). Bericht. Februar 2020.
2 „Cyber-Risiko-Aggregation.“ DeNexus. Blog. 29. November 2021 https://blog.denexus.io/cyber-risk-aggregation | Buyer-Friendly Cyber and E&O Market: Wie Sie von den Vorteilen profitieren können | Aon/a>
3 Cyber-Versicherungsbericht 2021 & 2022 der National Association of Insurance Commissioners (NAIC).
4 Käuferfreundlicher Cyber- und E&O-Markt: Wie Sie von den Vorteilen profitieren können | Aon
Versicherungsprodukte und -dienstleistungen werden angeboten von: Aon Risk Insurance Services West, Inc, Aon Risk Services Central, Inc, Aon Risk Services Northeast, Inc, Aon Risk Services Southwest, Inc, und Aon Risk Services, Inc. in Florida sowie deren lizenzierten Tochtergesellschaften.
Die hierin enthaltenen Informationen und Aussagen sind allgemeiner Natur und beziehen sich daher nicht auf die Umstände einzelner Personen oder Rechtsträger. Obwohl wir uns bemühen, genaue und aktuelle Informationen zu liefern und diese aus Quellen beziehen, die unseres Erachtens verlässlich sind, besteht keine Gewähr dafür, dass die Informationen zum Zeitpunkt der Kenntnisnahme korrekt sind und es bleiben werden. Die genannten Informationen sollten nicht ohne eingehende Prüfung der jeweiligen Sachlage und eine vorherige professionelle Beratung als Entscheidungs- oder Handlungsgrundlage dienen.
Cyber-
Management in sechs vorgestellten Risikobereichen
Der diesjährige Bericht dient als Leitfaden für Führungskräfte, um den Risikoreifegrad ihres Unternehmens mit dem anderer Unternehmen vergleichen zu können und um bessere Entscheidungen für den Umgang mit Cyber-Risiken in den sechs vorgestellten Risikobereichen zu treffen: Cyber-Risiken, betriebliche Risiken, Lieferkettenrisiken, Insiderrisiken, Reputationsrisiken und systemische Risiken.