Allianz Risk Barometer 2019

Die Angst vor Cyber-Angriffen wächst

Martin Bayer ist Chefredakteur von COMPUTERWOCHE, CIO und CSO. Spezialgebiet Business-Software: Business Intelligence, Big Data, CRM, ECM und ERP.
Eine Umfrage des Allianz-Konzerns zeigt, dass Unternehmen in Cyber-Attacken ein wachsendes Risiko sehen. Die daraus resultierenden Schäden werden zudem größer. Nicht immer helfen Versicherungen.
Die Angst vor den Gefahren aus dem Cyber-Raum nimmt zu.
Die Angst vor den Gefahren aus dem Cyber-Raum nimmt zu.
Foto: Syda Productions - shutterstock.com

Cyber-Risiken wie Datenskandale, großflächige IT-Ausfälle und die Einführung strengerer Datenschutzbestimmungen rücken zunehmend in den Blickpunkt der Unternehmen. Laut dem Allianz Risk Barometer 2019 gehören Cyber-Vorfälle gemeinsam mit ­Betriebsunterbrechungen (je 37 Prozent der Antworten) zu den größten Geschäftsrisiken weltweit. Erstmals rangieren beide Negativ­szenarien im weltweiten Ranking auf den Spitzenplätzen – damit setzen Cyber-Risiken ihren kontinuierlichen Aufstieg im Risk-Ranking fort. Auf dem dritten Platz folgt die Sorge vor Naturkatastrophen.

Neu unter die Top Ten der glo­balen Geschäftsrisiken bewegte sich in diesem Jahr der Fachkräfte­mangel – von Platz 15 auf Rang zehn. Neun Prozent der Befragten (2018: sechs Prozent) bezeichneten Probleme, die richtigen Skills im Arbeitsmarkt zu finden, als Gefahr für ihren Geschäftsbetrieb. Auch die Risiken rund um neue Technologien wie künstliche Intelligenz, autonome Fahrzeuge und Blockchain – Platz sieben im Ranking – werden nach wie vor als hoch eingeschätzt. Der Anteil der Befragten, die diese Aspekte als gefährlich einstuften, stieg im Jahresvergleich von 15 auf 19 Prozent.

Cyberrisiken haben es gemeinsam mit Betriebsunterbrechungen an die Spitze des Ranking geschafft.
Cyberrisiken haben es gemeinsam mit Betriebsunterbrechungen an die Spitze des Ranking geschafft.
Foto: Allianz

Das Allianz Risk Barometer des Industrieversicherers Allianz Global Corporate & Specialty (AGCS) untersuchte zum achten Mal die wichtigsten Risiken für Unternehmen weltweit. An der aktuellen Umfrage, die zum Jahresende 2018 veranstaltet wurde, beteiligten sich 2415 Experten aus 86 Ländern.

Neue Technologien – Chance und Risiko

Deutsche Betriebe fürchten am meisten das Risiko einer Betriebsunterbrechung (48 Prozent) knapp vor den Gefahren eines Cyber-Vorfalls (44 Prozent). Die Sorge vor rechtlichen Veränderungen im Wirtschaftsumfeld, wie sie zum Beispiel durch Handelskriege, Zölle, Wirtschaftssanktionen oder den nach wie vor unsicheren Ausgang der Brexit-Verhandlungen hervorgerufen werden, nimmt erstmals Platz drei im deutschen Ranking ein (35 Prozent) und rangiert damit noch vor den Naturkatastrophen (28 Prozent). Risiken, die von neuen Technologien wie künstlicher Intelligenz oder autonomem Fahren ausgehen, sind ein weiterer Aufsteiger im deutschen Ranking und liegen erstmals auf Platz fünf (20 Prozent) gegenüber Platz sieben im Vorjahr.

Der Fachkräftemangel wird in Deutschland offenbar nicht als ein besonders gravierendes Top-Risiko eingestuft.
Der Fachkräftemangel wird in Deutschland offenbar nicht als ein besonders gravierendes Top-Risiko eingestuft.
Foto: Allianz

Interessanterweise findet sich hierzulande der Fachkräftemangel nicht unter den zehn wichtigsten Risikofaktoren. Dabei weisen Verbände wie der Bitkom immer wieder darauf hin, dass gerade im IT-Umfeld Zehntausende Stellen nicht besetzt werden könnten, weil die benötigten Spezialisten auf dem Arbeitsmarkt nicht verfügbar seien. Als gravierender wird das Problem in unseren Nachbarländern eingeschätzt: Niederlande (Platz zehn, zwölf Prozent), Österreich (Platz neun, 13 Prozent), Belgien (Platz acht, 13 Prozent) Schweiz (Platz neun, 15 Prozent) und Polen (Platz sechs, 23 Prozent).

Viele weitere nützliche Informationen rund um das Thema Cybersecurity finden Sie in unserem Online-Speicial

"Wir sind jetzt an einem Punkt angelangt, an dem Cyber-Risiken für Unternehmen genauso wichtig sind wie traditionelle Geschäftsrisiken", sagt Jens Krickhahn, Practice Leader Cyber bei AGCS Zentral- und Osteuropa. Cyber-Kriminalität koste die Unternehmen heute global schät­zungsweise 600 Milliarden Dollar pro Jahr, kalkuliert der deutsche Versicherungskonzern unter Berufung auf Zahlen des Center for Strategic and International Studies.

Im Jahre 2014 habe sich der weltweite Schaden durch Cyber-Vorfälle noch auf 445 Milliarden Dollar belaufen. Zum Vergleich: Der durchschnittliche wirtschaftliche Schaden durch Naturkatastrophen betrug in den vergangenen zehn Jahren 208 Milliarden Dollar per annum – das entspricht gerade einmal einem Drittel der Schäden durch Cyber-Risiken.

Risiken werden komplexer

Das Gefahrenpotenzial im Cyber-Raum dürfte sich auch in Zukunft kaum verringern. Der Versicherer verweist darauf, dass Kriminelle immer ausgefeiltere Methoden für Datenklau, Online-Betrug oder Cyber-Erpressung einsetzten. Darüber hinaus wachse die Bedrohung durch Hacker-Gruppen, die teilweise eng mit Nationalstaaten verbunden seien. Diese zielten oft darauf ab, Betreiber kritischer Infrastruktur zu attackieren oder wertvolle Daten oder Geschäftsgeheimnisse von ausländischen Unternehmen zu rauben.

Dazu komme, dass Cyber- und Betriebsunterbrechungs-Risiken zunehmend miteinander verknüpft seien, da Ransomware-Angriffe oder IT-Ausfälle oft zu Betriebs- und Serviceunterbrechungen führten, heißt es in der Analyse der Umfrageergebnisse. Demnach seien Cyber-Vorfälle der am meisten gefürchtete Auslöser von Betriebsunterbrechungen (50 Prozent der Antworten), gefolgt von Feuer/Explosion (40 Prozent) und Naturkatastrophen (38 Prozent). Bestes Beispiel dafür seien die Malware-Attacken durch "WannaCry" und "NotPetya" aus dem Jahr 2017, die weltweit Hunderte Betriebe lahmlegten. "Die Szenarien und Auslöser werden immer vielfältiger und komplexer", konstatierte der Sachversicherungs-Experte Volker Münch von AGCS.

Die einzelnen Risikofaktoren sind immer enger miteinander verknüpft: So sind Cybervorfälle oft für Betriebsunterbrechungen verantwortlich.
Die einzelnen Risikofaktoren sind immer enger miteinander verknüpft: So sind Cybervorfälle oft für Betriebsunterbrechungen verantwortlich.
Foto: Allianz

Die Risiko-Gemengelage könnte mit neuen Technologien noch undurchsichtiger werden. Diese bieten der Allianz zufolge zwar neue Geschäftsmöglichkeiten, schaffen aber auch neue Gefahren. Beispielsweise werde künstliche Intelligenz sowohl als höchst nützlich (69 Prozent der weltweiten Antworten) wie auch als besonders risikoreich (67 Prozent) bewertet.

Auch autonomes Fahren wird als risiko­behaftet eingeschätzt (43 Prozent). Die Vernetzung von Maschinen, Geräten und Lieferketten im Internet der Dinge bringe neue Möglichkeiten für das Risiko-Management durch vorausschauende Datenanalysen und den Einsatz von Sensoren. Gleichzeitig werfen vernetzte Geräte viele Fragen rund um ­Cyber-SicherheitCyber-Sicherheit, Datenschutz, Business Continuity und Haftung von Drittanbietern sowie den Ausfall kritischer Infrastrukturen auf. Alles zu Security auf CIO.de

Neue Technologien werden oft auch als ein Risikofaktor eingestuft.
Neue Technologien werden oft auch als ein Risikofaktor eingestuft.
Foto: Allianz

Cyber-Versicherungen helfen nicht immer

Angesichts der steigenden Schäden durch Cyber-Angriffe dürften entsprechende Versicherungen interessanter werden. ­Allerdings würden die Policen noch nicht so stark nachgefragt wie erhofft, räumen die Verantwortlichen der Allianz ein. Die Zurückhaltung lässt sich wohl auch damit erklären, dass noch viel Unsicherheit herrscht.

Studie Managed Security 2018 - so lösen Anwender ihre Sicherheitsherausforderungen

Erst vor Kurzem sorgte ein Fall für Schlagzeilen. Beim Lebensmittelkonzern Mondelez brach infolge einer Attacke durch NotPetya 2017 die Logistikkette zusammen. Der Schaden belief sich auf rund 180 Millionen Dollar. Der US-Konzern glaubte sich dagegen durch eine Police bei der US-Tochter der ­Zürich Versicherung abgesichert. Zunächst schien der Fall klar. Doch dann verweigerte der Versicherer die Regulierung des Schadens und verwies auf eine Klausel, wonach Schäden aus "kriegsähnlichen Handlungen in Kriegs- oder Friedenszeiten" durch Truppen ­eines Staates oder Akteure im Auftrag eines Staates nicht ver­sichert seien.

Lesen Sie mehr zum Thema Cyberversicherungen:

Die Schweizer Versicherungsgruppe argumentierte, dass NotPetya nicht das Werk einer kriminellen Hacker-Gruppe war, sondern als Angriffswerkzeug eines Staates gegen einen anderen vorgesehen gewesen sei, dann aber außer Kontrolle geriet. Die Schäden bei Mondelez und den anderen betroffenen Konzernen wären damit als Kollateralschäden eines Angriffs mit einer Kriegswaffe zu bewerten und deswegen nicht versichert. Bei Mondelez sieht man den Fall erwartungsgemäß anders.

Nun soll ein US-Gericht darüber entscheiden, wie der ­Cyber-Vorfall einzuordnen ist. Knackpunkt: "Die Beweislast dafür, dass tatsächlich ein staatlicher Akteur verantwortlich für den Cyber-Angriff ist, liegt beim Versicherer", sagte der Cyber-Experte Jens Krickhahn von AGCS der Zeitung "Die Welt".

Zur Startseite