Funk Cyber-Schadenspiegel 2019

Cyber-Risiken sind ein zunehmendes internationales Problem. Schäden werden aus nahezu allen industrialisierten Ländern berichtet, Unternehmen weltweit sind betroffen. Spezifische Attacken mit Schadprogrammen können nicht an internationalen Grenzen aufgehalten werden. Zurückliegende Cyber-Angriffe wie WannaCry, ein Erpressungstrojaner, infizierten im Jahr 2017 IT-Systeme in mehr als 150 Ländern. Nur wenig später betraf der Angriff NotPetya mit einer Schadsoftware rund 65 Länder. Cyber-Attacken sind zu einem weitläufigen Risiko mit potenziell hohen finanziellen Schäden geworden, die aktuell ein weltweites und systemisches Problem darstellen.

Fast jeder dritte Mittelständler war bereits Opfer von Cyber-Angriffen, so das Kernergebnis einer Forsa-Umfrage aus dem Jahr 2018 unter 300 Unternehmern, beauftragt vom Gesamtverband der deutschen Versicherer. In fast jedem zweiten betroffenen Unternehmen (43 Prozent) resultierten aus dem Cyber-Angriff auch zeitweise Betriebsstillstände. Viele Unternehmer hoffen jedoch, dass es sie nicht treffen wird, und agieren zurückhaltend: 72 Prozent der Befragten sehen ein hohes Risiko für Cyber-Kriminalität im Mittelstand, doch nur 37 Prozent schätzen das Cyber-Risiko für das eigene Unternehmen als hoch ein.

Schaden in Milliardenhöhe

Bei Befragungen der IT-Branche zeigt sich ein differenzierteres Bild. Hier gaben in einer Studie unter 500 Industrieunternehmen des IT-Branchenverbandes Bitkom zum Herbst 2018 sieben von zehn befragten Unternehmen an, von Datendiebstahl, Industriespionage oder Sabotage betroffen gewesen zu sein. Cyber-Angriffe haben bei 47 Prozent der Industrieunternehmen finanzielle Schäden verursacht. Die Bitkom geht von einem Gesamtschaden von 43,4 Milliarden Euro aus den letzten zwei Jahren aus. Jeweils rund 20 Prozent der Kosten stammen von Imageschäden und Patentrechtsverletzungen. Betriebsunterbrechungen sind für 15 Prozent der Kosten verantwortlich und rangieren damit an dritter Stelle, gefolgt von Ermittlungs- bzw. Aufklärungskosten.

Eine große Schwachstelle ist der Mensch. Hauptquellen der Cyber-Angriffe sind nach Einschätzung der Bitkom-Studie überwiegend ehemalige oder derzeitige Mitarbeiter sowie das unternehmerische Umfeld, also Kunden, Lieferanten, Dienstleister und Wettbewerber. Das bestätigt eine Studie des Versicherers Hiscox aus dem Jahr 2018, der zufolge sich rund zwei Drittel aller Cyber-Schäden auf eine Form von menschlichem Versagen zurückführen lassen. „Aufmerksame Mitarbeiter sind hier der beste Schutz und geben bei entsprechender Sensibilisierung gute Hinweise, erst dann unterstützt ein professionelles IT-Sicherheitssystem“, sagt Dr. Alexander Skorna. Werfen wir einen Blick in die Schadenstatistiken. In den vergangenen zwei Jahren haben viele Unternehmen ihre individuelle Risikosituation beleuchten lassen und als Folge Cyber-Deckungen abgeschlossen. Gleichzeitig stieg das Risiko vor allem durch die Verbreitung von Ransomware (Verschlüsselungstrojaner) und Malware (Schadsoftware) erheblich. 

Cyber-Schäden nach gemeldeten Vorfällen

Schadenfälle nehmen zu

Entsprechend steigen aktuell die versicherten Schäden, bei manchen Versicherern um bis zu 50 Prozent pro Jahr. Alleine im Jahr 2017 erfasst die American International Group in ihrem aktuellen Schadenreport vom Mai 2018 so viele Schadenfälle wie in den Jahren von 2013 bis 2016 zusammen. Entsprechend groß ist die Sorge der Versicherer vor Kumulschäden die durch großflächige Angriffe von Hackern oder durch Würmer bei vielen Unternehmen gleichzeitig entstehen können. „Wir sehen im Markt derzeit eine Kürzung von Kapazitäten sowie in Teilen auch eine allgemeine Zurückhaltung der Versicherer bei hochexponiertem Neugeschäft“, fasst Dr. Alexander Skorna die Marktsituation zusammen. Die Schadenhöhen unterscheiden sich je nach Größe des Unternehmens stark. Laut einer Studie des Ponemon Institute von 2018 liegt die durchschnittliche Schadenhöhe einer Datenverletzung weltweit bei 3,86 Millionen US-Dollar – ein Anstieg von 6,4 Prozent im Vergleich zum Vorjahr (bei einer Verletzung von einer Million oder mehr Datensätzen schnellen die Kosten laut Studie jedoch hoch und betragen durchschnittlich rund 40 Millionen US-Dollar). Diese Zahlen beziehen sich lediglich auf Kosten, die durch Datenschutzverletzungen entstehen.

Die Kosten eines durchschnittlichen Cyber-Vorfalls liegen laut einer KPMG-Studie bei 6,1 Millionen Euro. „Bei kleinen und mittelständischen Unternehmen sind die Schadensummen durch Cyber-Vorfälle meist deutlich niedriger, aber auch hier ist ein klarer Aufwärtstrend zu beobachten“, sagt Dr. Skorna. „In Deutschland steigen die Schadenkosten für Cyber von Jahr zu Jahr besonders stark an.“ Kostentreiber sind sowohl bei Großkonzernen als auch bei Mittelständlern Betriebsunterbrechungsschäden, Benachrichtigungskosten betroffener Kunden bei Datenpannen sowie Kosten zur Schadenfeststellung. Bei den betroffenen Branchen zeigt sich in den Studien ein relativ einheitliches Bild. Die meisten Schäden (Anzahl) entfallen auf Finanzdienstleister, Rechts-/Unternehmensberater, Unternehmen aus dem Gesundheitswesen sowie auf Einzelhändler. Die in Deutschland starke industrielle Maschinenbauproduktion befindet sich in den Schadenstatistiken im Mittelfeld – etwa jeder zehnte Schadenfall betrifft den Maschinenbau. Die höchsten finanziellen Schäden verursachen Cyber-Angriffe in der Finanzwirtschaft, der Energiewirtschaft sowie in der Luftfahrt-/Verteidigungsindustrie. Die industrielle Produktion und der Handel (vor einigen Jahren noch am stärksten betroffen) sind gemessen an der Schadenhöhe aktuell eher im Mittelfeld anzusiedeln.

Kunden machen Druck

Schlussendlich bleibt ein Blick auf die Treiber für einen Abschluss von Cyber-Versicherungen. Gemäß einer Studie der PartnerRe zusammen mit Advisen im Jahr 2018 schließen Unternehmen Versicherungen gegen Cyber-Risiken überwiegend auf externen Druck Dritter – meist Kunden – ab. Weitere Treiber sind die Verschärfung der Datenschutzgrundverordnung und das größere Haftpflichtrisiko. Auch die mediale Präsenz sowie die eigene Betroffenheit von Unternehmen führen zu vermehrten Abschlüssen. Die Prämien sind derzeit volatil und unterscheiden sich je nach Versicherer stark. „Ein Versicherungsmakler wie Funk hat hier den Mehrwert, eine Marktkonsistenz durch eine einheitliche Police sicherzustellen und das beste Preis-Leistungs-Verhältnis im Sinne des Kunden zu bieten“, sagt Dr. Skorna. Grundvoraussetzung für einen effizienten Cyber-Schutz ist jedoch, dass Unternehmen ihre Risikogefährdung einschätzen können. Hierzu kann eine Risk-Analyse beitragen. Zudem sollten sich Unternehmen mit Notfallplänen oder einem Business Continuity Management auf Betriebsunterbrechungen in Folge eines Cyber-Angriffs vorbereiten. Erst die ganzheitliche Absicherung von Cyber-Angriffen wird Unternehmen helfen, den Vorfall möglichst unbeschadet zu überstehen.

05.11.2019