Im Zuge der fortschreitenden Digitalisierung bleiben Cyberrisiken eine der größten Herausforderungen für Unternehmen: Im jüngsten von AXA wurden Cyberrisiken nach dem Klimawandel als zweitgrößtes sogenanntes Emerging Risk eingestuft. Die Bewältigung von Bedrohungen durch Ransomware, Angriffe auf die Lieferkette und künstliche Intelligenz erfordert eine enge Zusammenarbeit und Transparenz.
Anfang dieses Jahres wurde eine der aktivsten Ransomware-Gruppen, LockBit, von einer internationalen Koalition von Strafverfolgungsbehörden infiltriert und unschädlich gemacht. Trotz dieses erfreulichen Erfolgs bleiben Ransomware und Cyber-Erpressung eine anhaltende Bedrohung. Laut wird Ransomware seine Opfer bis 2031 jährlich rund 265 Milliarden Dollar kosten, gegenüber 42 Milliarden Dollar im Jahr 2024.
Cyberkriminelle werden immer raffinierter und organisierter und nutzen sogenannte Zero-Day-Software-Schwachstellen aus, um massenhaft Daten zu stehlen. Die Zahl der Unternehmen, die auf Ransomware- und Datendiebstahlseiten gelistet sind, stieg im Jahr 2023 um 73 % und erreichte damit ein Rekordhoch. Dies geht aus einer Studie von S-RM Intelligence and Risk Consulting hervor, einem Partnerunternehmen von É«¶à¶àÊÓƵ das Cyber-Bedrohungsanalysen anbietet und Unternehmen bei der Reaktion auf Vorfälle unterstützt. Die Zahl der BEC-Vorfälle (Business Email Compromise), die in der Regel eine Vorstufe zu einem Ransomware- oder Datenerpressungsangriff sind, stieg um 67 %.
Eine positive Entwicklung ist, dass große Unternehmen zunehmend besser vorbereitet und in der Lage sind, mögliche Auswirkungen eines Cyberangriffs zu mindern, indem sie beispielsweise unveränderliche oder cloudbasierte Backups verwenden, um wichtige Daten vor Ransomware zu schützen. So zahlten 2023 laut S-RM weniger als ein Viertel (24%) der Unternehmen Lösegeld. Die Kosten für Datenschutzverletzungen steigen jedoch weiter an. Nach Angaben von IBM betrugen die durchschnittlichen Kosten eines Vorfalls im Jahr 2023 weltweit 4,45 Millionen US-Dollar, was einem Anstieg von 15 % innerhalb von drei Jahren entspricht.
Während große Unternehmen ihre Cyber-Resilienz erhöht haben, hat sich der Fokus der Angriffe auf kleinere Firmen verlagert, die in der Regel nicht über die Ressourcen für Cybersicherheit und die Aufrechterhaltung des Geschäftsbetriebs verfügen wie größere Unternehmen. So waren kleine und mittlere Unternehmen (KMU) im Jahr 2023 das Hauptziel von BEC-Angriffen, wobei sich die Zahl der KMU-Opfer verdoppelte. Im Gegensatz dazu sind die Vorfälle bei größeren Unternehmen im letzten Jahr zurückgegangen, was laut S-RM auf den verstärkten Einsatz von Multi-Faktor-Authentifizierungsverfahren, stärkeren E-Mail-Filterlösungen und verbesserten Zahlungsgenehmigungsverfahren zurückzuführen ist.
Transparenz in der Lieferkette
Besonders herausfordernd sind die Risiken im Hinblick auf Cyberangriffe auf Lieferketten. Beim größten davon nutzten Hacker eine Schwachstelle in der Dateiübertragungssoftware MoveIT aus, um Daten von zu stehlen, hauptsächlich in Nordamerika. Die globalen Kosten von Angriffen auf Software-Lieferketten könnten laut bis zum Jahr 2025 schon 60 Milliarden US-Dollar und bis zum Jahr 2031 sogar 138 Milliarden US-Dollar erreichen.
Unternehmen können dazu beitragen, die Widerstandsfähigkeit ihrer Lieferketten zu verbessern, indem sie Mindestanforderungen an die Cybersicherheit der Zulieferer und/oder die Einhaltung von Cybersicherheitsstandards wie ISO 2701 vorschreiben, die durch mindestens jährliche Cybersicherheitsaudits der Zulieferer unterstützt werden. Lieferketten können auch durch Endpunktsicherungen, sogenannte Endpoint Detection and Response (EDR)-Lösungen sowie eine gute Segmentierung, z. B. durch den Einsatz von Privilege Access Management (PAM)-Lösungen, sicherer gemacht werden.
Cloud Kumul
Die zunehmende Nutzung von Cloud-Diensten und -Infrastrukturen stellt eine weitere Herausforderung im Bereich der Cyber-Risiken dar. Nach Angaben von geben 95 % der europäischen Unternehmen an, dass sie IT-Ressourcen wie z.B. Software, Speicherkapazität oder auch Rechenleistung aus der Cloud beziehen. Jedes dritte Unternehmen beabsichtige, für mehr als die Hälfte seiner Aufgaben künftig Cloud Computing-Technologie zu verwenden. Mit der zunehmenden Abhängigkeit von Cloud-Diensten konzentrieren sich die Risiken von Ausfällen und Cyberangriffen auf eine relativ kleine Anzahl von Anbietern. Ende letzten Jahres hatten die drei größten Cloud-Anbieter – Google, Microsoft und Amazon – einen Anteil von 67 % am weltweiten Cloud-Markt.
Als zunehmend wichtiger Teil der digitalen Lieferkette werden die Versicherer mehr Transparenz in Bezug auf die Gefährdung durch Cloud-Risiken verlangen. Die Versicherer werden wissen wollen, mit welchen Cloud-Anbietern ein Kunde Verträge abschließt, wie sie gehostet werden und wie kritisch die Daten oder Dienste in der Cloud sind. Erstklassige Cloud-Anbieter verfügen über eine hohe Cybersicherheit und Ausfallsicherheit, doch selbst die sichersten Unternehmen sind anfällig: Im Juli 2023 deckte Microsoft auf, dass Hacker einen digitalen Authentifizierungsschlüssel gestohlen hatten, mit dem sie auf E-Mail-Konten von Kunden zugreifen konnten.
KI-gestützte Cyberangriffe
Zusätzlich zu den sich entwickelnden Cyber-Bedrohungen wie Ransomwareangriffe auf Lieferketten sind die Versicherer stets auf der Hut vor neuen Risiken, nicht zuletzt vor den Auswirkungen der künstlichen Intelligenz auf die Cybersicherheit. Bei allen Vorteilen künstlicher Intelligenz für die Gesellschaft ist KI in den Händen von Hackern ein mächtiges Werkzeug, das die Cyberbedrohungen wie Ransomware- und BEC-Angriffe neue Formen der Cyber-Kriminalität ermöglichen oder beschleunigen kann.
Nach Angaben des britischen wird KI in den nächsten zwei Jahren das Volumen und die Auswirkungen von Cyberangriffen erhöhen. Sie kann Cyberangriffe rascher und automatisiert durchführen, potenzielle Ziele und Schwachstellen identifizieren sowie einen Angriff erleichtern und steuern. Sie könnte die Einstiegshürde für technisch weniger versierte Täter senken, indem sie beispielsweise Kriminellen mit geringen technischen Kenntnissen ermöglicht, Malware zu schreiben oder anzupassen.
Auch das (BSI) warnte kürzlich, dass der Missbrauch generativer KI neue Sicherheitsbedenken aufwirft, darunter die Schaffung eines effektiveren Social Engineering, das zur Kompromittierung von Geschäfts-E-Mails oder zum CEO-Betrug eingesetzt wird. Anfang dieses Jahres überzeugten Kriminelle einen Finanzangestellten eines multinationalen Unternehmens, 25 Millionen Dollar an Betrüger zu überweisen, indem sie sich mithilfe von Deep Fake-Technologie in einem Videokonferenzgespräch als Finanzchef des Unternehmens ausgegeben hatten. Das BSI warnte auch davor, dass KI eingesetzt werden könnte, um Personen aus anonymisierten Daten zu identifizieren.
Das richtige Gleichgewicht finden
Angesichts einer sich entwickelnden Bedrohungslandschaft und neuen Technologien wie KI ist eine solide Risikobewertung für einen nachhaltigen Cyberversicherungsmarkt unerlässlich. Die Bewertung von Cyber-Risiken in der Lieferkette oder der Cloud beispielsweise ist eine besondere Herausforderung, die jedoch immer wichtiger wird. Lieferketten- und Cloud-Risiken bergen für Versicherer potenziell große Kumul- und Aggregationsrisiken und erfordern eine viel größere Transparenz, damit letztere ihre eigenen Risiken verstehen und entsprechend handeln können.
Wir sind uns bewusst, dass sich der Informationsbedarf eines Versicherers und die Bedürfnisse und Sicherheitsbedenken seiner Kunden in einem ausgewogenen Verhältnis befinden müssen. Eine enge Zusammenarbeit und Transparenz sind jedoch entscheidend, um neu aufkommende Cyberrisiken wie Ransomware, Cloud-Risiken und generative KI zu bewältigen. Die Versicherer müssen in der Lage sein, diese komplexen Risiken richtig zu bewerten, um die besten Lösungen für die Kunden zu finden und partnerschaftlich zusammenzuarbeiten, um Cyberrisiken zu kontrollieren. In einem wachsenden und zunehmend wettbewerbsintensiven Cyberversicherungsmarkt stehen die Versicherer jedoch unter dem Druck, schneller und intelligenter zu arbeiten.
Der Mangel an Cyberexperten auf dem Markt ist eine weitere Herausforderung, sowohl für die Versicherer als auch für die Kunden. Weltweit fehlen schätzungsweise vier Millionen Fachkräfte im Bereich der Cybersicherheit, ein Rekordwert, so der Verband der Cybersicherheitsexperten . Wir von É«¶à¶àÊÓƵinvestieren mittels eines umfangreichen Trainee-Programms in die nächste Generation von Cyber-Underwritern, Risikoingenieuren und Schadenexperten, um sicherzustellen, dass wir über die benötigten Fähigkeiten und das Fachwissen für die wachsenden Herausforderungen verfügen.
Licht am Ende des Tunnels
Obwohl Bedrohungen wie KI und Angriffe auf die Lieferkette besorgniserregend sind, gibt es Licht am Ende des Tunnels.
KI kann die Cybersicherheit verbessern und dabei helfen, Systeme zu sichern, Bedrohungen zu erkennen und schnell auf verdächtige Aktivitäten zu reagieren. É«¶à¶àÊÓƵist beispielsweise eine Partnerschaft mit SecurityScorecard eingegangen, die KI für die Bereitstellung von Cybersicherheitsbewertungen und Bedrohungsinformationen nutzt, damit die Kunden Schwachstellen erkennen und Maßnahmen zur Risikominderung priorisieren können. KI kann auch Versicherern und Kunden dabei helfen, die Risiken in der Lieferkette besser zu verstehen, Beziehungen zwischen Lieferanten abzubilden und potenzielle Risiken zu bewerten.
Auch die Gesetzgebung trägt zur Stärkung der Cybersicherheit bei. Die überarbeitete EU-Richtlinie zur Netzwerk- und Informationssicherheit (NIS2), die bis zum 17. Oktober 2024 in nationales Recht der EU-Mitgliedstaaten umgesetzt werden muss, weitet den Geltungsbereich der bestehenden Cybersicherheitsanforderungen and andere Sektoren aus. Zu diesen gehören u.a. Chemie, Fertigung und Lebensmittelproduktion. Ebenfalls legt NIS2 größeren Wert auf die Cybersicherheit in der Lieferkette und verlangt von Unternehmen, die Cyberrisiken innerhalb ihrer Lieferketten zu bewerten.
Richtlinien wie NIS2 sollten die Messlatte für die Cyber-Resilienz höher legen (auch der EU-Datenschutz-Grundverordnung wird zugeschrieben, dass sie die Datenschutzkontrollen und -prozesse verbessert hat) und möglicherweise das Verständnis der Unternehmen für die Risiken in ihrer Lieferkette verbessern. Nur durch enge Zusammenarbeit und den Austausch von Erkenntnissen können wir diesen komplexen und sich ständig weiterentwickelnden Cyber-Risiken einen Schritt voraus sein.
