Bericht zur Cyber-Resilienz 2023

Das ist Artikel Teil 9 von 14 In diesem Bericht.

August 01, 2023 / 6 Lesezeit in Minuten

Wie intelligente Fertigung das Geschäftsrisiko erhöht

Aufkommende Risiken wie die Integration von Blockchain und „intelligenten Anlagen“, Unterbrechungen der globalen Lieferketten, das industrielle Internet der Dinge (IIoT) und der Diebstahl geistigen Eigentums stellen für Hersteller eine große Herausforderung dar.

Wesentliche Erkenntnisse

  1. Zwischen 2020 und 2022 hat sich das allgemeine Cyber-Risikoprofil der Hersteller stetig verbessert.
  2. Ransomware-Schäden in der verarbeitenden Industrie gingen zwischen 2020 und 2022 um 32 Prozent zurück.
  3. Die Resilienz ist noch nicht ausgereift, und 65 Prozent der US-Hersteller gaben an, dass sie bislang noch keinerlei Tabletop-Übungen im Rahmen eines geschäftlichen Resilienzplans durchgeführt haben.

Aufkommende Risiken wie die Integration von Blockchain und „smarten Anlagen“, Unterbrechungen der globalen Lieferketten, das industrielle Internet der Dinge (IIoT) und der Diebstahl geistigen Eigentums können für Hersteller eine große Herausforderung darstellen. Ein kürzlich vom MIT durchgeführtes Projekt hat die Auswirkungen von Lieferkettenunterbrechungen auf die Halbleiterlieferketten aufgezeigt und festgestellt, dass es nach einer 10-tägigen Unterbrechung der Produktion in einem Unternehmen im Durchschnitt mindestens 300 Tage dauert, bis der ursprüngliche Lagerbestandszustand wieder hergestellt ist.1

Das verarbeitende Gewerbe ist ein wichtiger Motor der Weltwirtschaft. China ist eine Fertigungs-Supermacht, und die USA, Japan und Deutschland gehören zu den Spitzenländern, wenn es um die Wertschöpfung der Branche im Verhältnis zum Bruttoinlandsprodukt (BIP) geht.2 Die verarbeitende Industrie in den USA trug im vierten Quartal 2022 2,3 Billionen US-Dollar zum BIP des Landes bei.3 Die schiere Größe und die Verflechtung der verarbeitenden Industrie bedeuten, dass es auch ein großes Potenzial für einen schwerwiegenden Cyber-Vorfall gibt. Zumindest war die Branche im Jahr 2022 am meisten von Ransomware-Angriffen betroffen.4

Große Hersteller sind in der Lieferkette auf ein ausgedehntes Netzwerk von kleineren Unternehmen angewiesen. Diese kleinen Unternehmen sind in der Regel nicht so ausgereift wie ihre großen Konkurrenten, wenn es um Cyber-Reife geht. In den USA sind 98,6 Prozent aller Fertigungsunternehmen kleine Betriebe, und die meisten von ihnen haben weniger als 20 Beschäftigte.5 Unserer Erfahrung nach bergen auch Fusionen und Übernahmen (M&A) Risiken, wobei einige der größten Cyber-Vorfälle in der verarbeitenden Industrie auf eine unzureichende oder schlechte Integration der übernommenen Unternehmen in das Ganze zurückzuführen sind.

Hinzu kommt ein schwieriges wirtschaftliches und operatives Umfeld. Wir haben ja gesehen, dass die globale Fertigungsindustrie während der COVID-19-Pandemie zwei harte Jahre durchgemacht hat, die von hohen Versandkosten, Personalmangel und Lieferkettenproblemen geprägt waren. Die Führungskräfte, denen nur ein begrenztes Budget zur Verfügung stand, mussten Herausforderungen aus allen Blickwinkeln betrachten und Entscheidungen auf der Grundlage der Rentabilität der einzelnen Ausgaben treffen.

Aon Kundenbericht: Die verarbeitende Industrie und ihre Risiken

Die Ransomware-Schäden in der verarbeitenden Industrie sind zwischen 2020 und 2022 um 32 Prozent zurückgegangen, da die Unternehmen eine stetige Verbesserung der allgemeinen Cyber-Reife vermelden konnten. Der durchschnittliche Prozentsatz des IT-Budgets, der den Angaben zufolge für Sicherheit ausgegeben wird, stieg ebenfalls weltweit an, wobei die Unternehmen angaben, 8,5 Prozent des IT-Budgets für Sicherheit ausgegeben zu haben. Laut dem E&O Cyber Insurance Broking 2023 H1 Snapshot von Aon stand bei der Betrachtung der Schadentrends in der APAC-Region das verarbeitende Gewerbe aufgrund der großen Produktionszentren in der Region besonders im Fokus, wobei die operative Technologie weiterhin ein Hauptrisiko für die regionalen Märkte darstellt.6

Die CyQu-Daten von Aon7 zeigen, dass sich der Gesamtrisiko-Scorewert für mittelständische Kunden von 2,2 auf 2,5 im Jahr 2022 verbessert hat; allerdings meldeten 56 Prozent der Unternehmen einen Risiko-Scorewert von weniger als 2,5 im Jahr 2022. Wir gehen davon aus, dass die Risikoreife bei kleinen und mittelgroßen Unternehmen weiter zunehmen wird, da immer mehr namhafte Hersteller zusätzliche Anforderungen an die Cyber-Reife ihrer Lieferketten stellen. Infolgedessen müssen möglicherweise auch kleinere Hersteller ihre Resilienz nachweisen, um Cyber-Versicherungspolicen abschließen zu können.

Bei den Weltkonzernen verbesserte sich der Scorewert geringfügig von 2,7 auf 2,8, dennoch meldeten 80 Prozent der Unternehmen Werte über 2,5, was zeigt, dass sich dieser Umsatzsektor insgesamt einem „managed“ Risikoprofil annähert.

CyQu-Risiko-Scorewerte für Kundensegmente der Fertigungsbranche

Jahresumsatz (Gruppe) 2020 2022 Veränderung
Weltkonzern
2.7
2.8
+0.1
Großunternehmen
2.6
2.7
+0.1
Mittelständisch
2.2
2.5
+0.3
KMU
2.1
2.3
+0.2

CyQu-Risiko-Reifegrad-Scoring

Initial: 1.0 - 1.9

Basic: 2.0 - 2.5

Managed: 2.6 - 3.4

Advanced: 3.5 - 4.0

Mit Blick auf die USA meldeten die Hersteller dort Verbesserungen bei der Umsetzung von IT-Kontrollen zwischen 2021 und 2022. Laut den von Aon erhobenen Daten für Red-Flag-Kontrollen für Zusatzanträge in Bezug auf Ransomware meldeten 90 Prozent der Kunden im Jahr 2022 Verbesserungen bei der Implementierung von Zugriffsmanagementkontrollen, die sich auf eindeutige Anmeldedaten für Systemadministratoren konzentrieren. Im Durchschnitt haben die Kunden im Jahr 2022 75 Prozent der wichtigsten Kontrollmechanismen für die Multi-Faktor-Authentifizierung (MFA) implementiert – gegenüber 58 Prozent im Jahr 2021. Die Fortschritte in diesen Bereichen sind jedoch keineswegs überraschend. Die verarbeitende Industrie war vor der Pandemie kein Sektor für Heimarbeit, und die Verlagerung zur Telearbeit in Verbindung mit neuen Versicherungsanforderungen im Zusammenhang mit MFA hat diesen Fortschritt wahrscheinlich vorangetrieben.

Die US-Hersteller berichteten aber auch, dass die geschäftliche Resilienz noch nicht ganz ausgereift sei. Auffallend ist, dass im Jahr 2022 65 Prozent der Unternehmen angaben, keine Tabletop-Übungen im Rahmen eines geschäftlichen Resilienzplans durchgeführt zu haben. Diese Statistik scheint die Tatsache zu bestätigen, dass Unternehmen dazu neigen, sich mehr auf die Absicherung der Technologie zu konzentrieren, als auf Menschen, Richtlinien und Verfahren, wenn es um Incident Response und Wiederherstellung geht.


Prozentsatz der fehlenden kritischen IT-Kontrollen für eine bestimmte Branche in den USA (Red Flags)


Zwar liegen noch keine Trenddaten vor, dennoch können wir das Jahr 2022 als Richtwert für das Vereinigte Königreich ansehen. Die Hersteller im Vereinigten Königreich meldeten jeweils den höchsten Reifegrad beim Zugriffsmanagement. Die britischen Hersteller lagen jedoch bei allen IT-Kontrollen im Jahr 2022 hinter vergleichbaren US-Unternehmen zurück, mit Ausnahme des Zugriffsmanagements, bei dem sie die gleiche Punktzahl erreichten.


Prozentsatz der fehlenden kritischen Kontrollen für eine bestimmte Branche in EMEA und GB (Red Flags)


Im Bereich der operativen Technologie (OT) wiesen die verarbeitenden Industrien in den USA und im Vereinigten Königreich im Durchschnitt einen höheren Reifegrad auf als andere Bereiche. In der Vergangenheit konzentrierte sich die Fertigungsindustrie auf die OT-Resilienz; daher haben wir diese höheren Werte auch erwartet. Die Fertigungsunternehmen haben jedoch noch viel Arbeit vor sich, was Kontrollen und Segmentierung angeht. Die Kunden meldeten einen Mangel von 41 Prozent bei kritischen OT-Kontrollen, eine Lücke, die noch geschlossen werden muss.


Prozentsatz der fehlenden OT-Kontrollen für eine bestimmte Branche in den USA


Prozentsatz der fehlenden OT-Kontrollen für eine bestimmte Branche in EMEA und GB


Was nun? Maßnahmen für Fertigungsunternehmen

Referenzen

1 „Reparatur der US-Halbleiterlieferkette.“ Levi, David Simchi-Levi, Zhu, Feng, Loy, Matthew. Artikel. Harvard Business Review. 25. Oktober 2022.

2 „Wertschöpfungsanteil der verarbeitenden Industrie am BIP im Jahr 2020 nach Ländern.“ Datendiagramm. Statista. Abgerufen von https://www.statista.com/statistics/456342/realtive-comparison-of-value-added-in-manufacturing-of-leading-countries/ 

3 „Beitrag der verarbeitenden Industrie zum BIP der Vereinigten Staaten.“ Datendiagramm. US-amerikanische Statistikbehörde (US Census Bureau).

4 „X-Force Bedrohungsanalyse 2023.“ Bericht. IBM. 2023.

5 „Fertigung und Kleinunternehmen.“ SCORE. Infographic. 24. Mai 2022.

Käuferfreundlicher Cyber- und E&O-Markt: Wie Sie von den Vorteilen profitieren können | Aon

7 Aon Cyber Quotient. Zum Patent angemeldete Technologie

8 Cyber-Sicherheitsrahmen 2.0 des NIST. Abgerufen von https://www.nist.gov/system/files/documents/2022/10/03/NIST_CSF_update_Fact_Sheet.pdf

9 EU-Cybersicherheitsgesetz (ENISA). Abgerufen aus dem EU-Cybersicherheitsgesetz | Gestaltung der digitalen Zukunft Europas (europa.eu)


Versicherungsprodukte und -dienstleistungen werden angeboten von: Aon Risk Insurance Services West, Inc, Aon Risk Services Central, Inc, Aon Risk Services Northeast, Inc, Aon Risk Services Southwest, Inc, und Aon Risk Services, Inc. in Florida sowie deren lizenzierten Tochtergesellschaften.

Die hierin enthaltenen Informationen und Aussagen sind allgemeiner Natur und beziehen sich daher nicht auf die Umstände einzelner Personen oder Rechtsträger. Obwohl wir uns bemühen, genaue und aktuelle Informationen zu liefern und diese aus Quellen beziehen, die unseres Erachtens verlässlich sind, besteht keine Gewähr dafür, dass die Informationen zum Zeitpunkt der Kenntnisnahme korrekt sind und es bleiben werden. Die genannten Informationen sollten nicht ohne eingehende Prüfung der jeweiligen Sachlage und eine vorherige professionelle Beratung als Entscheidungs- oder Handlungsgrundlage dienen.