Auf dem Weg zur geschäftlichen Cyber-Resilienz

Bericht zur Cyber-Resilienz 2023

Unternehmen aller Größenordnungen können diesen Bericht als Ressource und Hilfsmittel für die Entscheidungsfindung in Bezug auf Cyber-Risiken im Jahr 2023 und darüber hinaus nutzen. Cyber-Resilienz ist eine Reise, die am besten gemeinsam mit Partnern und durch Teamarbeit bewältigt wird.

Erfahren Sie mehr

Einleitung

Die Unternehmen haben vier herausfordernde Jahre hinter sich, die durch die steigende Anzahl und Schwere von Cyber-Bedrohungen und Ransomware-Angriffen gekennzeichnet waren, gefolgt von einem Versicherungsmarkt mit steigenden Prämien und Selbstbehalten sowie einer strengen Underwriting-Prüfung. Bei der Zusammenarbeit mit unseren Kunden haben wir festgestellt, dass die Führungskräfte erkannt haben, dass sich Cyber-Ereignisse auf alle Bereiche ihres Unternehmens auswirken können. Folglich ist das Erreichen von Cyber-Resilienz ein wiederkehrendes Thema in den Vorstandsetagen, und die Bedrohung wird endlich aus einer ganzheitlichen Risikoperspektive betrachtet.

Zwischen 2020 und 2022 reagierten die Versicherer auf das enorme Ausmaß des Cyber-Risikos und die Notwendigkeit, die Rentabilität zu sichern.

Auf dem Cyber- und E&O-Markt wurden strengere Underwriting-Richtlinien eingeführt, was zu einer genaueren Prüfung der Sicherheitskontrollen, strengeren Richtlinien und einer Neubewertung des Cyber-Risikos insgesamt geführt hat.1 Nach Angaben von Aon-Kunden haben die Unternehmen auf diese strengeren Richtlinien reagiert und damit begonnen, sich stärker auf die Verbesserung der Risikoreife von Kontrollen zu konzentrieren, die von den Versicherern als kritisch oder als „Red Flag“ eingestuft wurden.

Der diesjährige Bericht dient als Leitfaden für Führungskräfte, um den Risikoreifegrad ihres Unternehmens mit dem anderer Unternehmen vergleichen zu können und um bessere Entscheidungen für den Umgang mit Cyber-Risiken in den sechs vorgestellten Risikobereichen zu treffen: Cyber-Risiken, betriebliche Risiken, Lieferkettenrisiken, Insiderrisiken, Reputationsrisiken und systemische Risiken. Dieser Bericht basiert auf Daten, die weltweit von mehr als 2.000 Aon-Kunden aus verschiedenen Regionen, Branchen und Umsatzklassen mit Hilfe von Aons Cyber Quotient (CyQu), einer globalen eSubmission- und Risikobewertungsplattform, erhoben wurden. Ergänzt werden diese CyQu-Daten durch Daten aus dem Zusatzantrag von Aon in Bezug auf Ransomware und dem Operational Technology Supplemental, die einen erweiterten Einblick in die Sicherheitskontrollen geben, die von den Versicherungsträgern als vorrangig eingestuft werden.2 Dieser Kundeninput wurde dann durch Informationen über den Markt für Cyber-Schadensfälle ergänzt und mit Kommentaren der Cyber Advisory und Digital Forensic Incident Response Teams von Aon angereichert, so dass wir mit diesem Bericht nun eine umfassende Untersuchung der Cyber-Resilienz und des Cyber-Risikos anbieten können. Die CyQu-Daten verdeutlichen, dass man weithin verstanden hat, dass gerade der Versicherungsmarkt die bereits anerkannten Kontrollen auf dem Weg zur Cyber-Sicherheitsreife entscheidend weiter vorantreibt. Die Kunden berichteten, dass sich die Cyber-Reife und dementsprechend die Vorbereitung auf eventuelle Angriffe zwischen 2020 und 2022 verbessert hat, wobei im globalen Durchschnitt eine Verschiebung von „basic“ zu „managed“ Cyber-Reife zu verzeichnen ist. Die Unternehmen haben generell Maßnahmen ergriffen, um die von den Versicherern als kritisch eingestuften Sicherheitsbereiche und -kontrollen zu stärken. Dabei hat man sich verstärkt auf das Zugriffsmanagement und auf Strategien zur Multi-Faktor-Authentifizierung (MFA) konzentriert. In diesem Zusammenhang konnten wir einen Rückgang der Ransomware-Schäden um 32 Prozent sowie einen Rückgang der Schadenhäufigkeit in der Cyber-Versicherung um insgesamt 14 Prozent im Jahr 2022 beobachten.3

Im Gegensatz dazu hatten wohl die Unternehmen aus allen Sektoren Probleme mit dem Risikomanagement für Dritte, wobei aus keinem Sektor ein „managed“ Profil gemeldet wurde. Dieses Ergebnis ist zwar nicht überraschend, bestätigt allerdings, dass dieses Thema in der Cyber-Branche an Bedeutung gewinnt: Das Risiko, das in der Lieferkette eines Unternehmens entsteht, ist komplex, und die immer stärkere Vernetzung der Technologie-Systeme erhöht das Risiko für Dritte exponentiell. Infolge dieses erhöhten Risikos, das erst kürzlich durch eine Datenpanne bei einer Lieferplattform offenkundig wurde, erwarten wir, dass viele Versicherer ihr Augenmerk in diesem Jahr auf die Gefährdung durch systemische und damit zusammenhängende Risiken und deren Auswirkungen richten werden.

Diese vorläufigen Daten markieren nur die Spitze der in diesem Bericht vermittelten Erkenntnisse. Die einzelnen Artikel sind in diesem Bericht enthalten. Dieser enthält branchenbezogene Analysen für das Finanz- und Versicherungswesen, das Gesundheitswesen und die verarbeitende Industrie, und darüber hinaus werden Nordamerika, EMEA, das Vereinigte Königreich, Lateinamerika und der asiatisch-pazifische Raum noch regional betrachtet.

Für jedes Unternehmen ist es eine große Herausforderung, den Weg zur Cyber- und letztlich zur Unternehmensresilienz zu finden. Resilienz ist eine unverzichtbare Komponente zur Risikominimierung in finanzieller, betrieblicher und reputationsbezogener Hinsicht. Sie erfordert eine ganzheitliche Sichtweise, die proaktives Risikomanagement, Reaktionsvorbereitung und Risikotransfermechanismen miteinander verbindet. Der Risikotransfer ist ein grundlegender Bestandteil der Widerstandsfähigkeit und beschränkt sich nicht nur auf die traditionelle Vermittlung von Versicherungen. Eigenmittel und alternatives Kapital sind praktikable Optionen, die für den Schutz der Bilanz in Betracht gezogen werden sollten. Unabhängig davon, ob Sie Geschäftsführer eines Fortune-100-Unternehmen oder eine kleinen bis mittelgroßen Unternehmens, das mit ähnlichen Risiken konfrontiert ist, sich aber vom Markt unterversorgt fühlt, hoffe ich, dass der vorliegende Bericht eine Ressource und ein Hilfsmittel für Ihre Entscheidungsfindung im Jahr 2023 und darüber hinaus bietet. Cyber-Resilienz ist eine Reise, die man am besten in Partnerschaft und durch Teamarbeit bewältigt.

Christian E. Hoffman
Der Globale Cyber-Champion von Aon

 

References

1 Aon | E&O- und Cyber-Marktbericht | Jahresmitte 2022. Snapshot der E&O- | Cyber-Versicherung zur Jahresmitte 2021 (aon.com)

2 Siehe den Artikel „Methodik“ im Bericht zur Cyber-Resilienz 2023 von Aon

3 Quelle: Risikobasierte Sicherheit, Analyse von Aon. Stand der Daten: 1. März 2023

Zu den Kapiteln
  1. Die CyQu-Story
  2. Die wichtigsten Risiko-Themen
  3. Branchen
  4. Regionen
  5. Datenmethodik

Cyber-
Management in sechs vorgestellten Risikobereichen

Der diesjährige Bericht dient als Leitfaden für Führungskräfte, um den Risikoreifegrad ihres Unternehmens mit dem anderer Unternehmen vergleichen zu können und um bessere Entscheidungen für den Umgang mit Cyber-Risiken in den sechs vorgestellten Risikobereichen zu treffen: Cyber-Risiken, betriebliche Risiken, Lieferkettenrisiken, Insiderrisiken, Reputationsrisiken und systemische Risiken.

Wie Cyber-Gefahren nahezu alle Aspekte des Geschäftsrisikos berühren

Eine strengere Zeichnungspolitik auf dem Cyber- und Haftpflichtversicherungsmarkt hat im Jahr 2022 dazu beigetragen, den Cyber-Risiko-Reifegrad in allen Branchen und Umsatzklassen zu erhöhen.

Erfahren Sie mehr
Insider-Cyber-Bedrohungen sind ein wachsendes Geschäftsrisiko

Böswillige Akteure kennen die menschlichen Fehler sehr genau. Im Jahr 2022 gaben zwei von fünf Unternehmen an, über keinerlei Kontrollen im Security Operations Center (SOC) zu verfügen, was das Insider-Risiko erhöht.

Erfahren Sie mehr
Maßnahmen zur Minderung betrieblicher Risiken

Die Versicherungsträger haben den Kontrollen im Zusammenhang mit betrieblichen Risiken im Jahr 2022 hohe Priorität zugewiesen, und die Kunden haben entsprechend darauf reagiert. Während Datenschutzverletzungen durch Ransomware zwar kurzfristig zurückgingen, stiegen diese im ersten Quartal 2023 wieder an. Phishing und Spear-Phishing stellen dabei ein großes Risiko dar.

Erfahren Sie mehr
Wie Sie den Gefahren des Reputationsrisikos begegnen können

Cyber-Angriffe können dem Unternehmenswert schaden. Aber nicht alle Unternehmen verlieren aufgrund eines Angriffs an Wert. Eine Untersuchung ergab, dass es nach einem Ereignis bei 17 Unternehmen eine Wertsteigerung von +18 Prozent über dem Marktdurchschnitt gegeben hat bzw. eine Gesamtwertsteigerung von 445 Milliarden Dollar nach einem Vorfall erzielt wurde.

Erfahren Sie mehr
Cyber-Angriffe auf Lieferketten haben weitreichende Auswirkungen

Cyber-Bedrohungen erhöhen die Komplexität von Lieferkettenrisiken. Das Risikomanagement von Dritten, das für den Schutz eines Unternehmens von zentraler Bedeutung ist, erhielt von allen neun bewerteten Bereichen den niedrigsten CyQu-Scorewert.

Erfahren Sie mehr
Mit welchen Schritten lassen sich die Auswirkungen von Cyber-Bedrohungen auf das systemische Risiko verringern

Das Managen von Systemrisiken steht auf der Prioritätenliste der Versicherungsbranche ganz oben, da folgenschwere Cyber-Ereignisse in der Vergangenheit deutlich gezeigt haben, dass die systemischen Risiken beträchtlich sind und weitreichende Auswirkungen haben können.

Erfahren Sie mehr

Aufbau einer branchen-
übergreifenden Cyber-Resilienz

In den diversen Branchen sieht man sich häufig mit einer komplexen, weltweit vernetzten Risikolandschaft konfrontiert, und die Führungskräfte sollten Entscheidungen treffen, die eine schnelle Analyse und Umsetzung fordern.

Finanz- und Versicherungswesen

Die Sicherheit von Backups ist nach wie vor ein Schwachpunkt der Branche, und US-Unternehmen meldeten Mängel bei fast 40 Prozent der kritischen IT-Kontrollen. Dieser Bereich muss im Jahr 2023 unbedingt schwerpunktmäßig betrachtet werden.

Erfahren Sie mehr

Gesundheitswesen

In keinem anderen Sektor müssen Sicherheitsentscheidungen getroffen werden, die sich so stark auf die Sicherheit und das Wohlergehen von Patienten auswirken könnten, wie im Gesundheitswesen. Kunden aus mittelständischen Unternehmen, Großunternehmen und Weltkonzernen, die im Gesundheitswesen tätig sind, meldeten verbesserte Cyber-Risikoprofile, wobei die Mehrheit von ihnen infolgedessen von „basic“ auf „managed“ wechselte.

Erfahren Sie mehr

Fertigung

Zwischen 2020 und 2022 hat sich das allgemeine Cyber-Risikoprofil der Hersteller stetig verbessert. Die Resilienz ist jedoch noch nicht ausgereift. Vor allem fehlt es US-Herstellern noch an ausreichend aussagekräftigen IT-Kontrollen hinsichtlich ihrer geschäftlichen Resilienz.

Erfahren Sie mehr

Cyber-Reifegrad nach Region

Der allgemeine Cyber-Reifegrad von Unternehmen kann je nach Region unterschiedlich sein. Erfahren Sie mehr über Lücken, Herausforderungen und Chancen sowie über die Maßnahmen, die Führungskräfte ergreifen können, um die Cyber-Resilienz und Widerstandsfähigkeit ihres Unternehmens zu verbessern.

UK: Die Bedrohungslandschaft ändert sich

Sich eines Risikos bewusst zu sein, bedeutet nicht zwangsläufig, dass man darauf vorbereitet ist. Der generelle Cyber-Risiko-Reifegrad britischer Unternehmen hat sich zwischen 2020 und 2022 geringfügig verschlechtert. Während einige Sicherheitsbereiche außergewöhnlich gut abschnitten, fielen andere zurück.

Erfahren Sie mehr
Europa, Naher Osten und Afrika: Weiterentwicklung zeigt veränderte Denkweise

Die Unternehmen in der EMEA-Region konzentrierten sich im Jahr 2022 auf die Verbesserung der Datensicherheit und den Schutz von Unternehmensdaten, was teilweise auf den Konflikt zwischen der Ukraine und Russland zurückzuführen ist.

Erfahren Sie mehr
Lateinamerika: drei entscheidende Risikokontrollbereiche

Hinsichtlich des Cyber-Risiko-Reifegrades sind lateinamerikanische Unternehmen ähnlich gut gerüstet wie die Unternehmen in der EMEA-Region und im Vereinigten Königreich, dennoch sind drei wesentliche Diskrepanzen zu erkennen: Third Party Management, geschäftliche Resilienz und Anwendungssicherheit.

Erfahren Sie mehr
Nordamerika: Trotz gestiegener Cyber-Resilienz gibt es noch Raum für Wachstum

Unternehmen in ganz Nordamerika haben in wichtigen Bereichen der Cyber-Resilienz umfassende Verbesserungen erzielt. In Schlüsselbereichen wie der Backup-Strategie und Multi-Faktor-Authentifizierung (MFA) gibt es jedoch Verbesserungspotenziale, insbesondere für kleine und mittelgroße Unternehmen.

Erfahren Sie mehr
Two people collaborating over a single laptop by the bannister of the sixth floor.

Datenmethodik

Hinter den Daten: Forschungsmethodik

Der Bericht zur Cyber-Resilienz 2023 basiert auf kundeneigenen Daten, die aus der Aon Cyber Quotient Evaluation (CyQu) und dem Zusatzantrag von Aon in Bezug auf Ransomware sowie aus dem Operational Technology Supplemental gesammelt wurden.

Mehr Informationen