Bericht zur Cyber-Resilienz 2023

Das ist Artikel Teil 7 von 14 In diesem Bericht.

August 01, 2023 / 7 Lesezeit in Minuten

Maßnahmen zur Verbesserung der Cyber-Resilienz im Finanz- und Versicherungssektor

Cyber-Bedrohungen entwickeln sich ständig weiter und sind ein kritischer Schwerpunkt für Aufsichtsbehörden, Kunden, Aktionäre und Vorstände in der Finanz- und Versicherungsbranche.

Wesentliche Erkenntnisse

  1. Die Kunden gaben an, dass sich die Gesamtrisikobewertung im Jahr 2022 verbessert hat und sich der Kategorie „managed“ nähert.
  2. Die Sicherheit von Backups ist nach wie vor ein Schwachpunkt, und US-Unternehmen meldeten Mängel bei fast 40 Prozent der kritischen IT-Kontrollen.
  3. Die Versicherungsansprüche nehmen zu, und bei den Ransomware-Schäden gab es vom vierten Quartal 2022 bis zum ersten Quartal 2023 ein Anstieg von 38 Prozent.

Regierungen, Unternehmen und Kunden sehen in den Finanzinstituten das Rückgrat der Weltwirtschaft.1 Aufgrund der wichtigen Rolle, die die Branche spielt, ist deren Sicherheit stark reguliert und wird genauestens geprüft. Die US-Wertpapier- und Börsenaufsichtsbehörde SEC hat kürzlich einen Vorschlag zum Umgang mit Cyber-Sicherheitsrisiken vorgelegt, der die Notwendigkeit von Cyber-Resilienz unterstreicht. Dieser würde alle Marktteilnehmer dazu verpflichten, Richtlinien und Verfahren einzuführen, die auf ihre Cyber-Sicherheitsrisiken ausgerichtet sind. Darüber hinaus müssen Finanz- und Versicherungsunternehmen mindestens einmal jährlich die Gestaltung und Wirksamkeit ihrer Cyber-Sicherheitsrichtlinien und -verfahren überprüfen und bewerten, einschließlich der Überprüfung, ob diese die Veränderungen bezüglich des Cyber-Sicherheitsrisikos während des von der Überprüfung abgedeckten Zeitraums widerspiegeln.2 In der Europäischen Union haben Finanzinstitute zwei Jahre Zeit, um ihre betriebliche Resilienz zu managen und die Verordnung über die digitale operative Resilienz im Finanzsektor (DORA) zu erfüllen.3

Täglich werden neue Risiken erkannt und Sicherheitslücken entdeckt, und Führungskräfte in der Finanz- und Versicherungsbranche stuften in der jüngsten Umfrage zum globalen Risikomanagement von Aon die Gefahr eines Cyber-Angriffs oder einer Datenverletzung als das größte Risiko ein.

Die Branche sieht sich mit einer komplexen, weltweit vernetzten Risikolandschaft konfrontiert, und die Führungskräfte sollten Entscheidungen treffen, die eine schnelle Analyse und Umsetzung fordern. Neue Technologien und neue Geschäftsmodelle verändern den Bereich ständig. Eine grundlegende Entwicklung sind zum Beispiel die mobilen Wallets. Offline- oder Online-Zahlungen, die mit einem mobilen Gerät, Smartphone oder Wearable durchgeführt werden, sind an der Tagesordnung, und FinTech ist auf dem Vormarsch. Der neue Fintech-Sektor vergrößert die Angriffsfläche exponentiell und macht größere Finanzinstitute, die mit diesen kleineren, technisch weniger erfahrenen Unternehmen in Verbindung stehen, noch angreifbarer durch Dritte. Während Asien bei der Anzahl von FinTech-Unternehmen gemessen am Umsatz führend ist, weist Nordamerika die meisten FinTech-Start-ups auf: 8.775 Unternehmen operieren derzeit am Markt. In Europa, dem Nahen Osten und Afrika gibt es 7.385 FinTech-Start-ups4 und 4.765 im asiatisch-pazifischen Raum.5

Auch bei der Cyber-Haftpflichtversicherung gab es in den letzten zwei Jahren erhebliche Veränderungen. Vorfälle wie der Ransomware-Angriff auf eine US-amerikanische Pipeline im Jahr 2021 veränderten den Marktplatz, und die Versicherer haben das enorme Risiko von Betriebsunterbrechungen und Vernetzungen erkannt. Die Versicherer verlangen jetzt von den Finanzinstituten einen Nachweis über die Cyber-Resilienz, um diesen eine erschwingliche bzw. überhaupt eine Police anbieten zu können. Bei Gesprächen bezüglich der Verlängerung des Versicherungsschutzes bringen einige Versicherer unabhängige Technologieexperten mit, um den im jeweiligen Finanzinstitut arbeitenden Verantwortlichen für Informationssicherheit (CISO) zu befragen.

Daher kann dann im Zuge der Verlängerung von Versicherungsverträgen stets geprüft werden, ob die entsprechenden Kontrollen und Systeme auch implementiert wurden. Dies ist hilfreich, um den Risikomanagementprozess abzurunden.

Aon Kundenbericht: Die Finanz- und Versicherungsbranche und das Cyber-Risiko

Die aggregierten Daten des Cyber Quotienten (CyQu) von Aon zeigen, dass die Kunden über alle Finanz- und Versicherungsunternehmen hinweg im Jahr 2022 eine Verbesserung der Gesamtrisikobewertung von 2,7 auf 2,9 (und sich der Kategorie „managed“ nähern) gemeldet haben. Kleine und mittelgroße Unternehmen gaben an, dass sich ihr Risikoprofil von „basic“ auf „managed“ verbessert hat, und 64 Prozent meldeten sogar Risikobewertungen von mehr als 2,5. Dieser starke Anstieg der Cyber-Reife wird sich wahrscheinlich fortsetzen, da sich die Versicherer weiterhin auf genau diese sich im Puncto Cyber-Risiko verbessernden Organisationen fokussieren werden, die ja für das Ökosystem der Finanzdienstleistungen so wichtig sind.

Das für Sicherheit eingeplante IT-Budgets ist ebenfalls prozentual durchschnittlich weltweit angestiegen, wobei Finanz- und Versicherungsunternehmen angaben, 8 Prozent des IT-Budgets für Sicherheit im Jahr 2022 ausgegeben zu haben.

CyQu-Risiko-Scorewerte für Kundensegmente des Finanz- und Versicherungswesens

Jahresumsatz (Gruppe) 2020 2022 Veränderung
Weltkonzern
3.4
3.0
-0.4
Großunternehmen
2.9
3.2
+0.3
Mittelständisch
2.8
3.0
+0.2
KMU
2.5
2.7
+0.2

CyQu-Risiko-Reifegrad-Scoring

Initial: 1.0 - 1.9

Basic: 2.0 - 2.5

Managed: 2.6 - 3.4

Advanced: 3.5 - 4.0

Derzeit beobachten wir ein Wiederaufleben besonders aggressiver Bedrohungsakteure, die es gezielt auf Finanzdienstleister abgesehen haben. Und diese Angriffe sind leider in der Mehrzahl der Fälle erfolgreich. Die Versicherungsansprüche nehmen zu, und zwischen dem vierten Quartal 2022 und dem ersten Quartal 2023 gab es einen Anstieg der Ransomware-Schäden von 38 Prozent, obwohl eine stetige Verbesserung des allgemeinen Cyber-Risikoprofils aus sämtlichen Umsatzklassen gemeldet wurde. Finanz- und Versicherungsunternehmen verbesserten die Umsetzung von IT-Kontrollen zwischen 2021 und 2022 und legten ihren Schwerpunkt auf die Stärkung der Multi-Faktor-Authentifizierungs- (MFA) Kontrollen. US-Unternehmen meldeten eine deutliche Verbesserung bei den kritischen MFA-Kontrollen und setzten 80 Prozent im Vergleich zu 65 Prozent im Jahr 2021 ein. Trotz dieser Verbesserung stellt Aon fest, dass viele diese Lösungen noch nicht gründlich genug umgesetzt haben, was vielleicht zu dem derzeitigen Anstieg der Cyber-Kriminalität beiträgt.

In den USA meldeten die Finanz- und Versicherungsunternehmen eine stetige Verbesserung der IT-Kontrollen zwischen 2021 und 2022. Die von Aon erhobenen Daten für Red-Flag-Kontrollen für Zusatzanträge in Bezug auf Ransomware machen deutlich, dass bei der Implementierung wesentlicher Underwriting-Kontrollen die signifikantesten Verbesserungen mit 15 Prozent bei der MFA und bei der geschäftlichen Resilienz mit einer Verbesserung von 8 Prozent zu verzeichnen sind. Im Vergleich mit dem Gesundheitswesen und der verarbeitenden Industrie scheint die Finanzdienstleistungsbranche in Bezug auf geschäftliche Resilienz einen wesentlich höheren Reifegrad erreicht zu haben. Die Backup-Sicherheit wird jedoch nach wie vor als Schwachstelle angesehen, denn die Unternehmen geben immer noch einen Bedarf an IT-Kontrollen von fast 40 Prozent an. Dieser Kontrollbereich sollte im Jahr 2023 ein Schwerpunkt sein, da die Ransomware-Bedrohungen erneut eskalieren.


Prozentsatz der fehlenden kritischen IT-Kontrollen für eine bestimmte Branche in den USA (Red Flags)


Während für das Vereinigte Königreich noch keine Trenddaten verfügbar sind, meldeten die Finanz- und Versicherungsunternehmen des Landes im Jahr 2022 den höchsten Reifegrad beim Zugriffsmanagement, der Email-Sicherheit und dem Patchmanagement und hier verzeichneten die Unternehmen in jedem Kontrollbereich Lücken von 20 Prozent oder weniger. Die Kunden gaben erhebliche Lücken im Softwaremanagement sowie in der Netz- und Datensicherheitskontrolle an. Wie schon bei vergleichbaren Unternehmen in den USA muss wohl auch hier dem Schutz von Datensicherungen mehr Aufmerksamkeit gewidmet werden.


Prozentsatz der fehlenden kritischen IT-Kontrollen für eine bestimmte Branche in GB (Red Flags)


Was nun? Maßnahmen für Finanz- und Versicherungsunternehmen

Referenzen

1 „Wie Finanzinstitute die Agenda in einem volatilen Umfeld neugestalten.“ Fibel für die Finanz- und Versicherungsbranche von Aon. Aon 2023

2 „Die SEC führt neue Anforderungen ein, um Cyber-Sicherheitsrisiken für den US-Wertpapiermarkt zu managen.“ Pressemitteilung. Securities and Exchange Commission (SEC). 15. März 2023.

3 Verordnung (EU) 2022/2554 über die digitale operative Resilienz im Finanzsektor (DORA). Abgerufen von https://www.digital-operational-resilience-act.com

4 „Die Bedeutung besserer Entscheidungsfindung in Zeiten erhöhter Volatilität.“ Umfrage von Aon zum globalen Risikomanagement. Bericht. 2021. Cover – Umfrage zum globalen Risikomanagement 2021 (aon.com)

5 „FinTech-Statistiken.“ Artikel. Alles ins Gleichgewicht bringen. 03. März 2023.


Versicherungsprodukte und -dienstleistungen werden angeboten von: Aon Risk Insurance Services West, Inc, Aon Risk Services Central, Inc, Aon Risk Services Northeast, Inc, Aon Risk Services Southwest, Inc, und Aon Risk Services, Inc. in Florida sowie deren lizenzierten Tochtergesellschaften.

Die hierin enthaltenen Informationen und Aussagen sind allgemeiner Natur und beziehen sich daher nicht auf die Umstände einzelner Personen oder Rechtsträger. Obwohl wir uns bemühen, genaue und aktuelle Informationen zu liefern und diese aus Quellen beziehen, die unseres Erachtens verlässlich sind, besteht keine Gewähr dafür, dass die Informationen zum Zeitpunkt der Kenntnisnahme korrekt sind und es bleiben werden. Die genannten Informationen sollten nicht ohne eingehende Prüfung der jeweiligen Sachlage und eine vorherige professionelle Beratung als Entscheidungs- oder Handlungsgrundlage dienen.