News

Herausforderungen, Strategien und Lösungen

Cyberrisiken vielfach unterschätzt

Redaktion RiskNET11.10.2013, 08:37

Deutsche Mittelständler unterschätzen die Risiken durch Cyber-Kriminalität. Das ergab eine aktuelle Umfrage der Zurich Versicherung unter Geschäftsführern und Vorstandsmitgliedern mittelständischer Betriebe. In Deutschland betrachten nur knapp sechs Prozent der Manager das Thema Cyber-Kriminalität, etwa durch Hacker-Angriffe, als mögliches Risiko für ihr Unternehmen. Ähnlich gering wird das Risiko durch Cyber-Kriminalität auch weltweit eingeschätzt: Die von Zurich in zwölf Ländern aufgesetzte Befragung zeigt, dass im internationalen Durchschnitt sogar nur vier Prozent Cyber-Kriminalität als mögliches Risiko für ihr Unternehmen sehen.

Das Internet ermöglicht es Straftätern heute, schnell und interaktiv mit ihren potentiellen Opfern zu kommunizieren und mit wenig Aufwand Webseiten scheinbar legitimer Firmen,  Lotteriegesellschaften oder Anwaltskanzleien aufzubauen. Ziel ist vielfach das sogenannte Social-Engineering – dabei versuchen Straftäter beispielsweise, private Zugangsdaten ihrer Opfer zu erlangen. Derartige Straftaten, und dazu gehören auch die "normalen" Betrugsstraftaten im Online- oder Auktionshaushandel, bei denen nach Vorauskasse keine, minderwertige oder gefälschte Ware versandt wird, werden aus Sicht der Strafverfolgungsbehörden als "Cybercrime im weiteren Sinne" verstanden – und werden in der Polizeilichen Kriminalstatistik (PKS) als "Straftaten mit dem Tatmittel Internet" ausgewiesen. In Abgrenzung dazu betrachten die Strafverfolgungsbehörden die Straftaten, die erst durch das Internet selbst ermöglicht wurden oder sich gegen das Internet selbst richten, als "Cybercrime im engeren Sinn". Dieser Begriff umfasst in Deutschland alle Straftaten, die unter Ausnutzung der Informations- und Kommunikationstechnik oder gegen diese begangen werden.

Risikowahrnehmung hinkt dem faktischen Risiko hinterher

Laut polizeilicher Kriminalstatistik hat Cyber-Kriminalität mit 64.000 Fällen im Jahr 2012 einen neuen Höchststand erreicht. Damit ist die Zahl der Fälle im Vergleich zu 2011 um 7,5 Prozent gestiegen. Seit 2007 sogar ein drastischer Anstieg um insgesamt 87 Prozent. Unternehmer sollten Cyber-Kriminalität daher nicht unterschätzen. Interne Risikolücken im Bereich der Informationstechnologie müssen identifiziert und geschlossen werden, um Angriffe aus dem Netz bestmöglich abzuwehren.

Diverse Cyberattacken der jüngsten Zeit beweisen, dass Infrastruktur ein immer häufigeres Angriffsziel abgibt. Als besonders kritisch gelten dabei Systeme aus den Bereichen

  • Telekommunikation
  • Verkehrskontrollsysteme (Straßen-, Schiffs-, Luftverkehr)
  • Versorgungsinfrastruktur – insbesondere für Wasser- und Strom (zum Beispiel intelligente Netze)
  • Systeme der medizinischen Versorgung
  • Steuerungssysteme (zum Beispiel von Kernkraftwerken).


Erleichtert werden die Cyberattacken durch den zunehmenden Einsatz von remote access. Sie ermöglichen den Zugang zu Infrastruktursystemen über Internet- und Software-Schnittstellen, was das Risiko eines Systemausfalls durch missbräuchlichen Zugriff erhöht. Schwere Konsequenzen drohen, wenn etwa die Stromversorgung plötzlich zusammenbricht.

Denn im Alltag und in der Industrie läuft ohne elektronische Bauteile kaum noch etwas, die modernen Gesellschaften sind erheblich verwundbarer geworden. Ein Blackout für wenige Stunden dürfte noch überschaubare Schäden anrichten. Fällt aber die Stromversorgung großräumig für einen längeren Zeitraum (mehrere Tage) aus, steht im Extremfall die wirtschaftliche und soziale Stabilität einer Gesellschaft auf dem Spiel. Schließlich würden auch andere kritische Infrastruktur wie die Wasserversorgung, die Telekommunikation und das Transportwesen bestenfalls eingeschränkt funktionieren.

Cyberattacken sind vor allem deshalb ein attraktives Geschäft geworden, weil sie meist enorme Gewinne ohne großen finanziellen Aufwand versprechen. Denn viele Daten eines Unternehmens oder einer Privatperson lassen sich zu einem hohen Preis verkaufen. Kreditkarteninformationen werden heute bereits offen gehandelt, und andere wertvolle Informationen lassen sich über den Schwarzmarkt oder auf Auftrag beschaffen.

Materielle versus immaterielle Schäden durch Cyberattacken

Eine allgemeine Attacke durch Malware richtet sich gegen eine große Zahl von Computersystemen, um möglichst hohe Schäden hervorzurufen. Bei einem gezielten Angriff dagegen geraten ein bestimmtes Unternehmen, eine bestimmte Institution oder ein bestimmtes Land ins Visier. Ein Beispiel dafür ist der Computerwurm Stuxnet, der es speziell auf Steuerungssysteme von Siemens abgesehen hatte und dem es erstmalig gelang, materielle Schäden an Objekten anzurichten.

Für Versicherer ist die Unterscheidung zwischen "materiellem" und "immateriellem" Schaden relevant:

  • Der deckungsauslösende Sachverhalt, also die Schadenursache, ist in allen IT-Szenarien und IT-/Cyber-Eigenschadendeckungen immer ein immaterieller Schaden. Das Verschwinden von Daten, deren Nichtverfügbarkeit, Blockierung oder Manipulation reicht aus, um die Deckung auszulösen.
  • Dagegen muss bei einem materiellen Schaden das versicherte Objekt gewöhnlich chemischen oder physikalischen Einwirkungen, etwa in Folge eines Brandes, einer Überschwemmung oder eines Erdbebens, ausgesetzt gewesen sein.


Die meisten Sachdeckungen beruhen auf dem Konzept eines materiellen Schadens. Sollten in Zukunft häufiger Viren auftreten, die einen materiellen Schaden verursachen und damit Deckung unter der regulären Sachversicherung auslösen, könnte dies zu einem erheblichen Kumulrisiko für die Erst- und Rückversicherer führen.




[Eigener Text basierend auf Quellen der Zurich Versicherung und der Munich Re: Cyberrisiken, Herausforderungen, Strategien und Lösungen für Versicherer, München 2012, Bildquelle oben: © aetb - Fotolia.com]



Kommentare zu diesem Beitrag

Keine Kommentare

Themenverwandte Artikel

Interview

Smarte Maschinen: Diener oder Dämonen?

Wie Künstliche Intelligenz unser Leben verändert ...

Redaktion RiskNET10.12.2018, 20:23

Ulrich Eberl, Zukunftsforscher und Buchautor, reiste in seiner Keynote "Smarte Maschinen – neue Sicherheitsanforderungen im Zeitalter der Künstlichen Intelligenz" auf dem RiskNET Summit...

Studie

Klima-Risiko-Index

Risiken zukünftiger klimabedingter Schäden

Redaktion RiskNET05.12.2018, 07:53

Mit mehr als 11.500 Todesopfern und über 375 Milliarden US-Dollar (in Kaufkraftparitäten) Schäden geht das Jahr 2017 als das bisher verheerendste Extremwetterjahr weltweit in die jüngere Geschichte...

Kolumne

Neue Slogans oder ein Gebot der Stunde?

Robuste Energiesysteme und resiliente Menschen

Herbert Saurugg19.11.2018, 17:07

In den vergangenen Jahrzehnten hat die technische Vernetzung rasant zugenommen. Ermöglicht wurde diese durch eine zunehmend leistungsfähigere Informations- und Kommunikationstechnik (IKT). Kaum ein...

Interview

Emotionalität und Risiko

Wege zu einem intelligenten Risikomanagement

Redaktion RiskNET12.11.2018, 17:15

So ziemlich jede unternehmerische Entscheidung basiert auf einem Abwägen von Chancen und Risiken. Allerdings tendiert unser Gehirn dazu, Sinneseindrücke und Informationen möglichst einfach und...

Kolumne

Reputations-Risikomanagement

Die größten Risiken für Marken

Wolfgang Schiller [Redaktion RiskNET]07.11.2018, 07:51

Marken als Vertrauenssysteme gewinnen und binden am effizientesten Kunden als die einzigen Wertschöpfungstreiber an das Unternehmen. Sie bieten eine attraktive Plattform für die Produkte des...