News

Herausforderungen, Strategien und Lösungen

Cyberrisiken vielfach unterschätzt

Redaktion RiskNET11.10.2013, 08:37

Deutsche Mittelständler unterschätzen die Risiken durch Cyber-Kriminalität. Das ergab eine aktuelle Umfrage der Zurich Versicherung unter Geschäftsführern und Vorstandsmitgliedern mittelständischer Betriebe. In Deutschland betrachten nur knapp sechs Prozent der Manager das Thema Cyber-Kriminalität, etwa durch Hacker-Angriffe, als mögliches Risiko für ihr Unternehmen. Ähnlich gering wird das Risiko durch Cyber-Kriminalität auch weltweit eingeschätzt: Die von Zurich in zwölf Ländern aufgesetzte Befragung zeigt, dass im internationalen Durchschnitt sogar nur vier Prozent Cyber-Kriminalität als mögliches Risiko für ihr Unternehmen sehen.

Das Internet ermöglicht es Straftätern heute, schnell und interaktiv mit ihren potentiellen Opfern zu kommunizieren und mit wenig Aufwand Webseiten scheinbar legitimer Firmen,  Lotteriegesellschaften oder Anwaltskanzleien aufzubauen. Ziel ist vielfach das sogenannte Social-Engineering – dabei versuchen Straftäter beispielsweise, private Zugangsdaten ihrer Opfer zu erlangen. Derartige Straftaten, und dazu gehören auch die "normalen" Betrugsstraftaten im Online- oder Auktionshaushandel, bei denen nach Vorauskasse keine, minderwertige oder gefälschte Ware versandt wird, werden aus Sicht der Strafverfolgungsbehörden als "Cybercrime im weiteren Sinne" verstanden – und werden in der Polizeilichen Kriminalstatistik (PKS) als "Straftaten mit dem Tatmittel Internet" ausgewiesen. In Abgrenzung dazu betrachten die Strafverfolgungsbehörden die Straftaten, die erst durch das Internet selbst ermöglicht wurden oder sich gegen das Internet selbst richten, als "Cybercrime im engeren Sinn". Dieser Begriff umfasst in Deutschland alle Straftaten, die unter Ausnutzung der Informations- und Kommunikationstechnik oder gegen diese begangen werden.

Risikowahrnehmung hinkt dem faktischen Risiko hinterher

Laut polizeilicher Kriminalstatistik hat Cyber-Kriminalität mit 64.000 Fällen im Jahr 2012 einen neuen Höchststand erreicht. Damit ist die Zahl der Fälle im Vergleich zu 2011 um 7,5 Prozent gestiegen. Seit 2007 sogar ein drastischer Anstieg um insgesamt 87 Prozent. Unternehmer sollten Cyber-Kriminalität daher nicht unterschätzen. Interne Risikolücken im Bereich der Informationstechnologie müssen identifiziert und geschlossen werden, um Angriffe aus dem Netz bestmöglich abzuwehren.

Diverse Cyberattacken der jüngsten Zeit beweisen, dass Infrastruktur ein immer häufigeres Angriffsziel abgibt. Als besonders kritisch gelten dabei Systeme aus den Bereichen

  • Telekommunikation
  • Verkehrskontrollsysteme (Straßen-, Schiffs-, Luftverkehr)
  • Versorgungsinfrastruktur – insbesondere für Wasser- und Strom (zum Beispiel intelligente Netze)
  • Systeme der medizinischen Versorgung
  • Steuerungssysteme (zum Beispiel von Kernkraftwerken).


Erleichtert werden die Cyberattacken durch den zunehmenden Einsatz von remote access. Sie ermöglichen den Zugang zu Infrastruktursystemen über Internet- und Software-Schnittstellen, was das Risiko eines Systemausfalls durch missbräuchlichen Zugriff erhöht. Schwere Konsequenzen drohen, wenn etwa die Stromversorgung plötzlich zusammenbricht.

Denn im Alltag und in der Industrie läuft ohne elektronische Bauteile kaum noch etwas, die modernen Gesellschaften sind erheblich verwundbarer geworden. Ein Blackout für wenige Stunden dürfte noch überschaubare Schäden anrichten. Fällt aber die Stromversorgung großräumig für einen längeren Zeitraum (mehrere Tage) aus, steht im Extremfall die wirtschaftliche und soziale Stabilität einer Gesellschaft auf dem Spiel. Schließlich würden auch andere kritische Infrastruktur wie die Wasserversorgung, die Telekommunikation und das Transportwesen bestenfalls eingeschränkt funktionieren.

Cyberattacken sind vor allem deshalb ein attraktives Geschäft geworden, weil sie meist enorme Gewinne ohne großen finanziellen Aufwand versprechen. Denn viele Daten eines Unternehmens oder einer Privatperson lassen sich zu einem hohen Preis verkaufen. Kreditkarteninformationen werden heute bereits offen gehandelt, und andere wertvolle Informationen lassen sich über den Schwarzmarkt oder auf Auftrag beschaffen.

Materielle versus immaterielle Schäden durch Cyberattacken

Eine allgemeine Attacke durch Malware richtet sich gegen eine große Zahl von Computersystemen, um möglichst hohe Schäden hervorzurufen. Bei einem gezielten Angriff dagegen geraten ein bestimmtes Unternehmen, eine bestimmte Institution oder ein bestimmtes Land ins Visier. Ein Beispiel dafür ist der Computerwurm Stuxnet, der es speziell auf Steuerungssysteme von Siemens abgesehen hatte und dem es erstmalig gelang, materielle Schäden an Objekten anzurichten.

Für Versicherer ist die Unterscheidung zwischen "materiellem" und "immateriellem" Schaden relevant:

  • Der deckungsauslösende Sachverhalt, also die Schadenursache, ist in allen IT-Szenarien und IT-/Cyber-Eigenschadendeckungen immer ein immaterieller Schaden. Das Verschwinden von Daten, deren Nichtverfügbarkeit, Blockierung oder Manipulation reicht aus, um die Deckung auszulösen.
  • Dagegen muss bei einem materiellen Schaden das versicherte Objekt gewöhnlich chemischen oder physikalischen Einwirkungen, etwa in Folge eines Brandes, einer Überschwemmung oder eines Erdbebens, ausgesetzt gewesen sein.


Die meisten Sachdeckungen beruhen auf dem Konzept eines materiellen Schadens. Sollten in Zukunft häufiger Viren auftreten, die einen materiellen Schaden verursachen und damit Deckung unter der regulären Sachversicherung auslösen, könnte dies zu einem erheblichen Kumulrisiko für die Erst- und Rückversicherer führen.




[Eigener Text basierend auf Quellen der Zurich Versicherung und der Munich Re: Cyberrisiken, Herausforderungen, Strategien und Lösungen für Versicherer, München 2012, Bildquelle oben: © aetb - Fotolia.com]



Kommentare zu diesem Beitrag

Keine Kommentare

Themenverwandte Artikel

News

Im Interview: Thorsten Kodalle

Vom Wargaming und der Resilienz

Redaktion RiskNET12.02.2018, 08:00

Oberstleutnant i. G. Thorsten Kodalle, Dozent für Sicherheitspolitik an der Führungsakademie der Bundeswehr, stellt die Frage, ob die Welt heute noch kontrollierbar sei? Seiner Meinung nach nein....

News

Im Interview: Herbert Saurugg

Energieversorgung und die Risiken

Redaktion RiskNET10.02.2018, 08:00

Der Experte für die Vorbereitung auf den Ausfall lebenswichtiger Infrastrukturen, Herbert Saurugg, erwartet in den kommenden Jahren einen europaweiten Strom- und Infrastrukturausfall. Das Risiko...

Kolumne

Merkwürdige Reaktion der Kapitalmärkte auf Populismus

Risikofaktor Populismus

Martin W. Hüfner, Chief Economist, Assenagon Asset Management S.A.07.02.2018, 21:34

Ray Dalio ist einer der reichsten Männer Amerikas. Er hat den Hedgefonds Bridgewater gegründet, der zu den erfolgreichsten der Branche gehört. Er interessiert sich aber nicht nur für Geld. Er ist...

News

Im Interview: Günther Schmid

Von einer Welt in Unordnung

Redaktion RiskNET02.02.2018, 14:33

Für Günther Schmid, vormals Mitarbeiter beim Bundesnachrichtendienst und Professor für Internationale Politik und Sicherheit an der Beamtenhochschule, schreite der Zerfall von Strukturen und Ordnung...

Kolumne

Risiken proaktiv managen

Branding – Nur eine schöne Fassade?

Wolfgang Schiller26.01.2018, 10:51

Ein neues Zauberwort hat sich mittlerweile im Marketing etabliert: Branding. Schnell gegoogelt und schon weiß man, dass Branding zum einen etwas mit "Einbrennen bestimmter Muster in die...