Studie: Eine Cyber-Attacke pro Tag

Besonders die am 25. Mai 2018 in Kraft getretene Datenschutzgrundverordnung (DSGVO) steht im Mittelpunkt der Analyse, wird doch aufgrund der damit einhergehenden, noch strengeren Regeln nicht nur ein sprunghafter Anstieg im Hinblick auf Datenschutzverletzungen erwartet, sondern auch eine Zunahme an Versicherungsfällen aufgrund anderweitiger Angriffe auf die Sicherheit.

Der aktuelle Schadenreport von AIG zeigt auf, dass über ein Viertel (26 Prozent) aller in 2017 gemeldeten europäischen Cyberschäden auf Ransomeware als Hauptursache zurück zu führen sind.

Häufigste Ursachen für Datenschutzverletzungen

• Erpressung mit Ransomware: 26 Prozent
• Datenschutzverletzungen durch Hacker: 12 Prozent
• Sonstige Sicherheitsausfälle / unautorisierte Zugriffe: 11 Prozent
• Identitätsbetrug: 9 Prozent

Obwohl der Anteil der Schadenmeldungen, die auf fahrlässigem Verhalten von Mitarbeitern basieren, mit sieben Prozent marginal zurückgegangen ist (acht Prozent in den Jahren 2013-2016), ist der Faktor des „menschlichen Versagens“ – auf den Großteil aller Cyberschäden bezogen – nach wie vor als äußerst signifikant einzuschätzen.

Nepomuk Loesti, Head of Liabilities, Financial Lines und Client Engagement für die DACH-Region bei AIG, konkretisiert:

„In 2017 sahen wir uns mit einer Reihe von hochkomplexen, systematisch ausgerichteten Cyber-Attacken durch Schadsoftware und Ransomware konfrontiert – WannaCry und NotPetya waren hier ganz vorne mit dabei. Viele europäische Unternehmen und Organisationen hatten durch die daraus entstandenen Betriebsunterbrechungen mit großen Herausforderungen zu kämpfen – die finanziellen Auswirkungen spiegelten sich vor allem in einem zum Teil erheblichen Bilanzverlust wieder.“

Zwar machen reine Lösegeldzahlungen bei dieser Erhebung nur rund 150.000 USD aus; die gesamtwirtschaftlichen Verluste jedoch, die durch WannaCry verursacht wurden, werden auf rund acht Milliarden USD geschätzt. Eine halbe Milliarde wurde dabei allein durch unmittelbare Kosten und die sogenannten indirekten Betriebsunterbrechungen verursacht. Erschreckende Erkenntnis hierbei: Die Mehrheit aller Verluste war nicht ausreichend versichert.

Nepomuk Loesti erläutert:

„In diesem Kontext ist die Befürchtung legitim, dass mit der Einführung der DSGVO nun ein weiteres, bei Erpressern gern gesehenes Instrument geschaffen wird. Es ist abzusehen, dass die proaktive Bedrohung der Datensicherheit eines Unternehmens dazu führt, dass Erpressungsgelder gezahlt werden – schlicht aus dem Bewusstsein heraus, dass die Konsequenzen einer Verletzung des Datenschutzes unter der neuen Verordnung wesentlich härter ausfallen werden. Gleichermaßen werden Unternehmen Missbräuche weitaus schneller melden; mit der Folge, dass der Umfang der Cyberschadenmeldungen rasant steigen wird.“

Diese Erwartungen kommen nicht von ungefähr: Nach der Einführung der Gesetze zur Meldepflicht bei Sicherheitsverletzungen in vielen Bundesstaaten der USA im Jahr 2002 konnte man einen eben solchen Effekt beobachten – fast jeder bekannte Cyber-Vorfall ging dort mit mindestens einer Sammelklage einher.

Unabhängig von Bereich und Branche

Eine weitere wichtige Erkenntnis der Studie ist, dass mittlerweile keine Branche mehr vor einer Cyberattacke gefeit ist bzw. unterschiedlichen Branchen bestimmte Risikopotenziale zugesprochen werden können.

Bei der Auswertung der Schadenmeldungen wurde ersichtlich, dass im Jahr 2017 allein in acht Branchen, die in den Vorjahres-Statistiken bisher nicht aufgetaucht waren, Cybervorfälle gemeldet wurden.

Als Nummer Eins auf der Liste der Cyberschäden zählen die Bereiche der Professionellen Dienstleistungen und Finanzdienstleistungen mit jeweils 18 Prozent.

Cyberschäden nach Branchen (nicht abschließend):

• Professionelle Dienstleistungen: 18 Prozent
• Finanzdienstleistungen: 18 Prozent
• Handel: 12 Prozent
• Unternehmensdienstleistungen: 10 Prozent
• Herstellung / Produktion: 10 Prozent

Unternehmen, die sich in der heutigen eng vernetzten und digitalisierten Welt bewegen und operieren, müssen sich immer stärker auf die damit einhergehenden Cyber-Risiken einstellen. Auch müssen sie ich der Relevanz einer guten Cyber-Hygiene in Kombination mit einer entsprechenden Cyber-Versicherung bewusst sein, um potenzielle einschneidende finanzielle Konsequenzen frühzeitig einzudämmen.

Bild: © Syda Productions / fotolia.com